CARGANDO

Escribe para buscar

Vuelta a los básicos: Ciberataque en Orange

Vuelta a los básicos: Ciberataque en Orange

En los últimos días, la compañía Orange en España ha sufrido una sonora caída en el servicio provocada por un ciberataque. Son muchos los medios que se han hecho eco de la noticia y, en este blog, queremos tratar este tema para dar nuestro enfoque de todo ello.

Incidente

El día 3 de enero, sobre las 16:00 horas, fueron muchos los usuarios que, por diferentes fuentes, en especial X (antiguo Twitter), producían sus quejas a la cuenta de Orange por fallos en el servicio de Internet. Esto no fue casual, recibiéndose más de 90.000 mensajes de usuarios afectados.

En la siguiente imagen se puede observar el informe de Down Detector y como se aprecia el pico de cortes sobre las horas indicadas:

De igual forma, los operadores que utilizan la red de Orange también se vieron afectados, como pueden ser Jazztel, Simyo o MasMovil. Al igual que el acceso a recursos de Orange que toman como destino dicha red.

En definitiva, hubo una caída del servicio generalizada en la red de Orange.

Origen

El origen de la incidencia se localiza en un ciberataque a la cuenta RIPE de Orange. Aunque más adelante se detalla, estas cuentas administran los recursos de Internet a nivel europeo, asignando direcciones IP públicas y sistemas autónomos. Esto es un servicio super crítico para un ISP del tamaño de Orange, y la alteración de su configuración puede aislar todas sus comunicaciones (como así sucedió).

Sobre las 2:28 del día 3 de enero, el usuario de X “@Ms_Snow_OwO” publicaba el siguiente mensaje:

Dando a entender que se había accedido a la cuenta RIPE de Orange de forma ilegítima, y cambiando la configuración establecida.

¿Cómo se accede a una cuenta RIPE?

Para acceder a una cuenta RIPE únicamente se necesita entrar en el portal, https://access.ripe.net/, e introducir las credenciales oportunas.

Este ha sido el principal fallo. La cuenta de acceso de Orange se vio filtrada por lo que parece un ataque de phishing y robo de credenciales en un equipo corporativo. La siguiente imagen se extrae de un reporte de “Hudson Rocks Cavalier”, donde se pueden observar varias cuentas filtradas incluyendo la famosa de RIPE:

Aunque en una filtración de este tipo, una contraseña robusta poco puede servir, si es cierto que utilizar unas credenciales tan débiles no juegan a su favor…

Y muy importante, estamos hablando de un servicio CRÍTICO, que puede dejar a miles o cientos de miles de clientes sin acceso a Internet. Estamos hablando que puede dejar sin servicio a multitud de empresas que se apoyen en la red de Orange. ¿Cómo puede pasar esto a día de hoy?….

Un poquito sobre RIPE, BGP y sistemas autónomos

Entrando más en materia técnica sobre lo ocurrido, se puede decir que todo tiene relación con los sistemas autónomos o AS. Para hablar de ello tenemos que hablar también del protocolo de enrutamiento dinámico, BGP.

Para quien no esté muy familiarizado con BGP y los AS, podemos empezar con la declaración, “no hay Internet sin BGP”. Pensemos que para enviar o recibir información por Internet necesitamos tener una ruta, es decir, si necesitamos acceder, por ejemplo, a una web localizada en Irlanda, necesitaremos saber por donde pasar hasta llegar al destino.

Entre otros, BGP es nuestro gran amigo, pues se encarga de almacenar las rutas de cada proveedor de servicio y saber por donde debemos consultar la web. Y como os podéis imaginar, en Internet existe una inmensidad de rutas, cada ISP tiene sus IP/servicios y sus respectivas rutas, por lo que BGP realiza el intercambio de rutas entre los proveedores haciéndolo todo dinámico y automático.

Con relación a lo anterior, existen los sistemas autónomos o AS. Estos son redes o agrupaciones de redes con una política de enrutamiento. Así, es frecuente conocer como la información va saltando entre AS de diferentes organizaciones hasta llegar al destino.

Y como se ha comentado anteriormente, RIPE es el encargado de gestionar los AS e IPs públicas para la zona de Europa, Oriente Medio y pares de Asia Central.

Orange y BGP

Una vez comentado lo anterior y centrándonos en la incidencia, según lo que se ha podido ver, el ciberataque ha consistido en modificar las rutas del protocolo BGP, anunciando datos incorrectos para el AS de Orange. Esto ha producido incoherencia en la red, produciendo que otros operadores bloquearan la comunicación desde Orange, dejándola aislada.

En adición a esto (que ya es bastante grave), se activo el protocolo RPKI. Que está muy chulo pues aporta seguridad en la red mediante la inclusión de certificados digitales. Pero claro, si no se configura como se debe produce errores de invalidez, haciendo el problema aún más grave…

La solución al problema es relativamente sencilla, recuperar el acceso a la cuenta RIPE y restablecer la configuración, pero hay que tener en cuenta que BGP no es inmediato y se tiene que propagar mundialmente.

Opinión y conclusiones

Desde el punto de vista de la seguridad no se entiende lo ocurrido. No puedo comprender como un servicio tan crítico en un gran ISP puede cometer estos errores. La cuenta RIPE debería estar asegurada con credenciales seguras, doble factor y todas las validaciones oportunas. Es más, un cambio en el AS debería estar confirmado por mas de un único usuario (como si se tratara de una bomba!).

En este sentido, y desde mi opinión, tremendamente mal por parte de Orange por no garantizar la seguridad de la cuenta, y también mal por RIPE al no forzar mecanismos más seguros…

Y después de todo, el ataque en si es mediante phishing. Es cierto que la elaboración y éxito puede resultar muy complejo, pero pensad que con un simple robo de credenciales se tumba a todo un operador de red.

En fin… volvemos a los básicos más básicos….

Ah, hola 👋
Un placer conocerte.

Veo que te gusta la tecnología, ¿quieres que te mandemos una newsletter semanal?.

Acepto la política de privacidad *

¡No enviamos spam!. yo también lo odio a muerte!.

Tags:

Deja un Comentario

Your email address will not be published. Required fields are marked *