Este miércoles, Orange sufrió un ataque cibernético que ocasionó que muchos de sus clientes no tuvieran acceso a Internet. El propio responsable del incidente ha explicado cómo lo hizo y ha dejado en evidencia la falta de seguridad de la compañía. Afortunadamente, ya se ha solucionado todo.
Es de suponer que, actualmente, los actores de amenazas cada vez lo tienen más complicado para perpetrar sus fechorías. Sin embargo, siempre se las acaban ingeniando para llevarlas a cabo, incluso contra las compañías con defensas más férreas. Pero este no ha sido el caso de Orange, que ha demostrado que la seguridad de sus sistemas deja mucho que desear y así lo ha hecho saber el propio autor de los hechos.
Los clientes de Orange sin acceso a Internet
Todo comenzó este miércoles, cuando los clientes de la operadora móvil comenzaron a experimentar problemas a la hora de acceder a algunos servicios web y aplicaciones. La causa no tardó demasiado en salir a relucir. Y es que el responsable, Snow en X, salió a la palestra y publicó un mensaje en la red social en el que se dirigía con bastante recochineo a Orange:
“@orange_es ¡Miau miau miau! He arreglado la seguridad de tu cuenta de administrador de RIPE. Envíame un mensaje para obtener las nuevas credenciales :^)”
@orange_es Meow meow meow! I have fixed your RIPE admin account security. Message me to get the new credentials :^) pic.twitter.com/NKFFDWb0Ec
— Snow 🏳️⚧️ (@Ms_Snow_OwO) January 3, 2024
Al parecer, el pirata informático se había hecho con el control de la cuenta de RIPE NCC de Orange, el organismo encargado de asignar direcciones IP en Europa, al cambiar el número AS perteneciente a la dirección IP de la compañía. De esta forma, consiguió redirigir el tráfico de los clientes de Orange y, como consecuencia, muchos de ellos se quedaron sin acceso a Internet.
Como muestra Downdetector, el incidente comenzó a partir de las 15:00 del miércoles y duró aproximadamente hasta las 21:00 del mismo día. Debido a ello, Orange se vio obligada a manifestarse sobre lo sucedido e insistir en que el problema no había comprometido los datos de sus clientes.
“NOTA: La cuenta de Orange en el centro de coordinación de redes IP (RIPE) ha sufrido un acceso indebido que ha afectado a la navegación de algunos de nuestros clientes. El servicio está prácticamente restablecido”.
NOTA: La cuenta de Orange en el centro de coordinación de redes IP (RIPE) ha sufrido un acceso indebido que ha afectando a la navegación de algunos de nuestros clientes. El servicio está prácticamente restablecido
— Orange España (@orange_es) January 3, 2024
Las burlas del autor de los hechos
No obstante, el responsable de lo ocurrido no tardó en regresar para echar más sal en la herida y dejar en evidencia la vulnerabilidad de la compañía. Su contraseña para acceder al servicio RIPE era bastante floja (“ripadmin”) y únicamente contenía letras minúsculas, una práctica nada recomendable en materia de seguridad. Y, para colmo, la cuenta tampoco contaba con verificación de dos pasos (2FA), lo que le habría complicado las cosas considerablemente a Snow. Este publicó incluso un vídeo en el que muestra lo fácil que le resultó generar un caos tan grande.
“Para aquellos que se preguntan cómo obtuve acceso a la cuenta en primer lugar, permítanme decirles que la seguridad de la contraseña era muy cuestionable. Estaba investigando filtraciones públicas de datos de bots y encontré la cuenta madura con la contraseña «ripadmin» y sin 2FA, sin SE en absoluto,” se regodeó en X.
For those wondering how i acquired access to the account in the first place, let me just say that the password security was very questionable.
I was just looking into public leaks of bot data and came across the ripe account with the password "ripeadmin" and no 2FA, No SE at all https://t.co/5sYFF2PJEg— Snow 🏳️⚧️ (@Ms_Snow_OwO) January 3, 2024
La propia organización detrás de RIPE publicó un comunicado en el que mencionó que estaba investigando el incidente de la cuenta de Orange, que ocasionó “que algunos servicios del titular de la cuenta se vieran afectados temporalmente”. Y de paso instaron a los titulares de las cuentas a habilitar la autenticación multifactor, algo que Orange no hizo en su momento, pero, probablemente, ya habrá aprendido la lección.
En cuanto a cómo obtuvo las credenciales para acceder al servicio no está del todo claro. La teoría más plausible es que logró comprometer el equipo de un empleado de la compañía a través de un malware de tipo “Raccoon”, con la capacidad de robar las credenciales del dispositivo infectado.
