La tarde de este 3 de enero estuvo marcada para todos los clientes de Orange España por una pérdida de conexión a internet de manera generalizada que se alargó durante varias horas. Una interrupción del servicio marcada por un ciberataque desarrollado por el conocido en X como "Ms_Snow_OwO", tal y como confirmo la propia Orange en su cuenta de X.
¿Cómo es posible hackear a una compañía tan importante como para tumbar toda la conectividad a internet? La respuesta radica en no seguir los consejos de seguridad que estamos cansados de escuchar en referencia a la seguridad de contraseñas y mantener activa la función F2A.
Un fallo de seguridad en Orange provoca la caída del servicio español
El atacante para desarrollar su ataque simplemente accedió a la cuenta de Orange España, centro del RIPE NCC, que es una organización que gestiona todas las direcciones IP y administra la infraestructura en Europa, Oriente Medio y Asia Central. En definitiva, un servicio fundamental para poder mantener activo el servicio de internet tan y como lo conocemos.
Ha sido el propio hacker en su cuenta de X, y encima mencionando a Orange, el que ha explicado con detalle como se ha infiltrado en la cuenta del RIPE de Orange afirmando que la "seguridad de la contraseña es muy cuestionable". Incluso, ha publicado un vídeo donde se ve como accede y visualiza los diferentes registros de las IP del operador.
Meses antes, el atacante consiguió la contraseña de acceso al RIPE de uno de los empleados a través de una infección con un malware "Raccoon" que tiene la capacidad de robar el llavero de los dispositivos donde está operando. Esto según la investigación hecha por Infostealers. Pero el atacante si ha mostrado que la contraseña era "ripeadmin" que destaca por ser sumamente débil y no cumplir con ninguno de los consejos que repetimos de manera constante.
Con esta contraseña, junto al correo electrónico que es 'adminripe-ipnt@orange.es' y el servicio de acceso a través de 'https://access.ripe.net' no le fue difícil acceder y cambiar el número AS que pertenece a la dirección IP de Orange España provocando la caída del servicio que se vio el miércoles con una pérdida del 50% del tráfico.
Una vez detectado, no quedó otra que recuperar el acceso a la cuenta de RIPE y comenzar a retirar los registros cambiados que se habían introducido por parte del atacante.
Ya las investigaciones están apuntando a como hemos comentado anteriormente al empleado de Orange que almacenada la contraseña en su ordenador que fue infectado con este malware. Lógicamente, tener una contraseña tan débil y sin doble factor de seguridad y sin pasar controles periódicos de seguridad ha sido un auténtico desastre. Porque desde que su ordenador fue infectado hasta que se ha producido el ataque ha pasado bastante tiempo.
De esta manera, recordamos nuevamente lo importante que es mantener una contraseña segura, tener un sistema 2FA en todas las cuentas compatibles y sobre todo no descargar documentos de fuentes que no sean de confianza. Sin duda en Orange habrán aprendido esta lección a partir de hoy.
Desde Genbeta hemos contactado con Orange España acerca de estas imágenes, de la veracidad de la contraseña o de si están realizando alguna investigación interna sobre este fallo de seguridad. La respuesta ha sido la siguiente:
Se han tomado las medidas oportunas para que no se repita un incidente así. Como sabéis, la cuenta de Orange en el centro de coordinación de redes IP (RIPE) sufrió un acceso indebido que afectó a la navegación de algunos de nuestros clientes. El servicio está ya restablecido desde ayer. Confirmamos que en ningún caso los datos de nuestros clientes están comprometidos, solo ha afectado a la navegación de algunos servicios.
Vía | Infostealers
Portada | Elaboración propia de José Alberto
En Genbeta | Las seis mejores webs para crear contraseñas aleatorias, seguras y fuertes
Ver 10 comentarios