La tarde del miércoles 3 de enero fue una jornada dura para los empleados de Orange en España. Un fallo repentino estaba dejando sin conectividad a muchos de sus clientes, y lejos de tratarse de un fallo en la infraestructura como a los que estamos relativamente acostumbrados, se trataba de algo más grave que se confirmó en las horas posteriores: un hacker había secuestrado la cuenta de Orange en RIPE NCC.
De esta forma entendimos, al igual que en el pasado con Cloudflare, por ejemplo; que las incidencias de ciertos tipos de proveedores y organizaciones, habitualmente invisibles para el usuario final, tienen consecuencias tan graves o más que las de la infraestructura propia de quienes somos clientes.
Qué ocurrió exactamente. El ataque a Orange implicó la manipulación del sistema de enrutamiento de Internet conocido como BGP (Border Gateway Protocol). El atacante obtuvo las credenciales de Orange en RIPE NCC y eso le permitió redirigir el tráfico de Internet de los clientes de Orange, lo que provocó fallos al acceder a webs y aplicaciones.
Este método es conocido como hijacking de BGP. Implica tomar el control de las rutas de tráfico online para poder interceptar los datos que circulan por ellas o, como en este caso, redirigirlas.
Qué es RIPE NCC. Es el Centro de Coordinación de Redes IP europeas, el organismo responsable de asignar direcciones IP en Europa, así como en algunas áreas de Oriente Medio y Asia Central. Tiene más de 20.000 miembros, básicamente proveedores de acceso a Internet, gobiernos, reguladores, instituciones educativas, grandes empresas y organizaciones de telecomunicaciones.
Con su rol, RIPE NCC asegura que el tráfico de datos se dirija de forma eficiente y segura a través de la red. Si un intruso accede a una de sus bases de datos con fines maliciosos, puede impedirlo para un grupo de clientes, como ocurrió. Tiene su sede en Ámsterdam, fue formada en 1992 y es una organización sin ánimo de lucro. Cualquier persona puede adherirse a ella.
Cómo se hizo. Orange no ha dado detalles sobre este ataque, pero una teoría no confirmada sugiere que el atacante robó las credenciales de la cuenta en RIPE NCC mediante un ataque de phishing a un empleado de la operadora en septiembre de 2023. Este ataque inyectó un software malicioso (infostealer) que le permitió lograr el usuario y la contraseña de esa cuenta.
Según los detalles publicados, se trataría de una contraseña extremadamente simple y carente de una verificación de doble factor, lo que permitió que el atacante pudiese acceder únicamente con la contraseña.
La dirección de correo que usa Orange para la cuenta de RIPE NCC fue publicada por el propio atacante, y Hudson Rock, una firma de ciberseguridad, dice que puede confirmar "con gran certeza" que esta teoría es cierta.
¿Puede ocurrir a otra operadora? Por supuesto, pero dependerá de si un atacante pone su diana en ella, si es capaz de lograr las credenciales de la operadora en RIPE NCC (muy posiblemente esto haya servido para que todas repasen su sistema de seguridad para preservarlas) y si tiene vulnerabilidad, técnicas o humanas, que lo puedan hacer posible.
Un nuevo ataque así podría secuestrar direcciones IP para redirigir el tráfico de Internet destinado a la operadora, y hacer que pase hacia los atacantes. También podría manipular las rutas BGP e interceptar el tráfico o datos sensibles de los clientes, si bien Orange ha asegurado que esto no sucedió con su ataque.
RIPE NCC publicó un comunicado en el que explicó que está investigando el ataque a una de sus cuentas, que restauró el acceso a su legítimo propietario y que contactará con titulares de cuentas que hayan podido verse afectados.
Lo que podemos aprender. Sin duda, que ya hablemos de cuentas personales o de cuentas corporativas, de cualquier tamaño, siempre es buena idea blindar nuestras credenciales tanto como sea posible.
En primer lugar, usando contraseñas robustas. Una demasiado débil puede ser robada en cuestión de segundos o como mucho unas pocas horas, ya sea mediante el uso de palabras de diccionario o mediante ataques de fuerza bruta.
En esta demo puedes comprobar en tiempo real cuánto costaría obtener una cualquiera. La contraseña que sugiere la teoría era muy débil, aunque no fue mediante fuerza bruta como la obtuvo el atacante.
En segundo lugar, activando la verificación de doble factor. Hay muchos métodos para ello y será una forma estupenda de protegernos en el caso de que alguien nos robe una contraseña. Hasta la propia RIPE NCC lo recomienda explícitamente.
En Xataka | Trashing: qué es, cómo funciona y cómo protegerte de él
Imagen destacada | Shoaib Asif en Unsplash.
Ver 7 comentarios