El pasado 3 de enero un gigante de las telecomunicaciones cayó en España, Orange tuvo 3 horas de horror y cortes de servicio, que afectaron a prácticamente a la mitad del tráfico de su red.

Hablamos de una empresa con 21 millones de clientes en nuestro país, sin duda fue una jornada muy dura para ellos, y también para las muchas personas y negocios que usan su servicio, ya que las caídas afectaron a todo: servicios de internet fijo y móvil, telefonía e incluso TV. 

Que a ver, el no poder ver la tele durante 3 horas seguramente sea hasta bueno para la salud, pero quedarte ese tiempo sin internet en tu empresa, o sin poder comunicarte por teléfono, supone en la mayoría de casos un quebradero de cabeza e incluso una pérdida económica grave.

En general, Orange estimó que 15.000.000 de clientes se vieron afectados.

En todo caso no es cuestión de hacer leña del árbol caído, bastante tuvieron que sufrir los técnicos de Orange que solucionaron el entuerto en tiempo récord, pero sí creo interesante que conozcáis cómo se fraguó dicho ciberataque, porque tiene tela.

Preámbulo:

Si andas por este mundillo puedes dirigirte al párrafo siguiente, si no quizá te interese saber lo que es una IP y por qué es tan importante, y para ello qué mejor que un ejemplo sencillo:

En el mundo real utilizamos direcciones para localizar lugares (calles, avenidas…), si nos van a enviar un paquete de Amazon (no digo carta porque están en periodo de extinción) damos la dirección de nuestra casa, si vamos a visitar un lugar tan emblemático como El Cristo del Otero de Palencia, metemos su dirección en nuestro GPS. 

Pues en internet pasa lo mismo, se identifica todo a través de direcciones IP, de hecho nada más conectarte a internet recibes una dirección IP, y cuando visitas una web como ciberseguridadtotal.com, ese nombre se traduce en la IP del servidor correspondiente que aloja el portal web.

Pues bien, como es lógico esas IPs tienen que estar controladas y organizadas, y a nivel mundial hay 5 organismos que gestionan la asignación de IPs por regiones. En concreto RIPE, es la organización sin ánimo de lucro que controla las direcciones IP para las zonas de Europa, Asia Central y Oriente Medio.

Una vez nos hemos puesto en situación, pasamos al punto siguiente…

Como es lógico, una compañía de telecomunicaciones como Orange necesita IPs, y tiene por tanto línea directa con RIPE, es decir, posee una cuenta en RIPE desde la cuál gestionar sus lotes de IPs y enrutamientos (cómo llegar a esas direcciones). Si no funciona bien esto, los servicios de Orange quedan “desconectados”.

La protagonista:

El ataque fue perpetrado por la hacker Ms Snow, de hecho a través de su cuenta de X @Ms_Snow_OwO:  https://twitter.com/Ms_Snow_OwO/status/1742666456058470739  cuenta con todo lujo de detalles cómo fue el proceso:

Incluso ha publicado un video dónde detalla cómo accedió a RIPE con la cuenta de Orange, hay que reconocerlo, te deja con la boca abierta:

Y ojo, a pesar del mal trago, afortunadamente para Orange, Ms Snow no tuvo “malísimas intenciones”, podría haberla liado realmente parda, y tampoco intentó chantaje alguno, más bien se centró en llamar la atención, denunciar las malas prácticas de una gran empresa como Orange, y alertar sobre el daño que podría haber ocasionado alguien con más mala leche. Incluso mantuvo una conversación a través de X con Orange, aunque desconocemos el contenido de los privados a los que hacen referencia en ella.

El modus operandi: sencillo y bestial

Y ahora lo bueno, ¿cómo consiguió nuestra protagonista poner en jaque a una compañía como Orange?

Pues tan sencillo como que Ms Snow encontró la contraseña que usaba Orange para acceder al panel de gestión de RIPE, en una de las miles de bases de datos de contraseñas robadas que deambulan en la dark web. 

Sobre esto tampoco me voy a extender demasiado, porque hemos hablado de ello en artículos anteriores, simplemente apuntar que deambulan por el internet profundo bases de datos con millones de contraseñas robadas, que se han obtenido por diversos métodos, por ejemplo pueden obtener una de tus contraseñas porque caíste en un phishing, porque se comprometió tu PC o smartphone con un #malware, o porque se la robaron a quién te la custodiaba y con esto me refiero a brechas de seguridad o filtraciones de servicios que utilizamos a menudo (facebook, linkedin, adobe, canva…etc…)  que están mucho más al orden del día de lo que podemos imaginar.

Puedes incluso comprobar ahora mismo desde https://haveibeenpwned.com/ si alguna de tus credenciales aparece en unas de esas bases de datos robadas de referencia, simplemente mete tu e-mail y espera a que muestre si hay resultado de brechas.

Sea como fuere y sin liarnos más con lo anterior, a Ms Snow le llamó la atención una credencial robada de entre las millones que suelen tener esas bases de datos:

  • Usuario: adminripe-ipnt@orange.es
  • Contraseña: ripeadmin

Encendida la bombilla, la hacker introdujo esas credenciales en la web de RIPE https://access.ripe.net y voilá, todo el panel de gestión de IPs y enrutamientos de Orange a su disposición.

Como supondréis, a partir de ahí Ms Snow simplemente se dedicó a hacer daño desconfigurando cosas y enredando en el panel de control que estaba a su alcance.

Moraleja:

Lo que podemos aprender de todo esto es que no es oro todo lo que reluce, lo normal es que pensemos que una empresa con el tamaño de Orange España, con millones de clientes, que factura una barbaridad de dinero, y que posee una capacidad tecnológica bestial, cuide con mimo de los servicios que presta, y ofrece a sus clientes.

Porque al fin y al cabo esto se basa también en confianza, cuando damos nuestros datos a Google, subimos nuestras fotos a Facebook, navegamos con Orange, o introducimos nuestra tarjeta de crédito en Amazon, esperamos que se cuide esa información y servicio.

Y ojo, nadie, absolutamente nadie está a salvo de un ciberataque, la seguridad absoluta no existe, pero esperas que se pongan los mejores medios al alcance, y todo se viene abajo cuando ves como una compañía top, basa su servicio en una contraseña como: ripeadmin, totalmente insegura, fácilmente descifrable y que a saber cuánto tiempo llevaba comprometida y rodando por ficheros de claves robadas.

Por ponernos en contexto, cuando un cliente de Orange accede a su área privada de usuario, el mismo Orange no le permite poner un password tan sencillo como ripeadmin.

Para más inri, debido a la criticidad de los servicios que gestiona, RIPE proporcionaba mecanismos de seguridad como doble factor de autenticación que hubieran evitado el ataque, pero Orange no los había activado. En todo caso también cabe preguntarse cómo es posible que RIPE no exija una contraseña segura en el acceso a sus sistemas, y políticas de seguridad como caducidad periódica y 2FA como obligatorios, al fin y al cabo visto lo visto, no es descartable que otras grandes compañías usen accesos inseguros como hacía Orange.