A principios de este año 2024, uno de los operadores de telefonía móvil más relevantes de España, Orange, sufrió un ciberataque que comprometió su capacidad de brindar sus servicios de Internet en el país. Este fue un incidente que, viniendo de una compañía del calibre de Orange España, no pasó desapercibido, y cuando se dieron a conocer las causas detrás de esta debacle más de uno levantó la ceja, pues es una situación que pudo haberse evitado del todo si Orange España hubiese seguido los consejos más básicos de ciberseguridad y de protección de contraseñas, un tema en el cual profundizamos hace poco.
Volviendo al tema principal, un análisis detallado del incidente por parte de Bleeping Computer y la firma Hudson Rock reveló que esto se debió -en gran parte- a unas credenciales débiles y malas prácticas de ciberseguridad, lo que permitió al hacker hacerse con el control de la cuenta de Orange en el centro de coordinación de redes IP (RIPE) y desarticular el funcionamiento de la tabla de enrutamiento global. Como resultado de todo esto se produjo la interrupción de los servicios de telecomunicaciones de Orange España, eso por no mencionar que la compañía recibió un fuerte golpe a su reputación, la cual no está en su mejor momento en comparación a la competencia, pero ese es un tema totalmente diferente.
¿Qué ocurrió exactamente?
Para ser exactos, Orange España sufrió el día miércoles 3 de enero de 2024 un corte de Internet después de que un pirata informático violase la cuenta RIPE de la empresa. Según la narrativa oficial, este incidente solo duró horas, pero muchos usuarios afirman haber pasado más de 24 horas sin servicio de Internet antes de que solventase la situación.
NOTA: La cuenta de Orange en el centro de coordinación de redes IP (RIPE) ha sufrido un acceso indebido que ha afectando a la navegación de algunos de nuestros clientes. El servicio está prácticamente restablecido
— Orange España (@orange_es) January 3, 2024
Naturalmente, Orange España hizo control de daños en sus redes sociales a medida que las quejas empezaban a inundar la sección de comentarios, pero nada en el mundo les salvaría de la vergüenza que estaba por venir al destaparse la verdad de lo ocurrido.
Para ser precisos, el atacante hizo cambios al enrutamiento BGP y la configuración en el centro RIPE, uno de los cinco Registros Regionales de Internet encargados de gestionar y asignar direcciones IP a proveedores de Internet, así como también de asociar números de sistemas autónomos (AS) y anunciarlos a otros enrutadores a los que están conectados, conocidos como sus pares. Entrando en detalles, estos anuncios BGP crean una tabla de enrutamiento que se propaga a todos los demás enrutadores perimetrales de Internet, lo que permite a las redes conocer la mejor ruta para enviar tráfico a una dirección IP particular.
Como podrán intuir, es posible secuestrar esos rangos de IP para redirigir el tráfico a sitios web o redes maliciosos, y esto es lo que posiblemente intentó el atacante, quien modificó el número de AS asociado con las direcciones IP Orange España y habilitó una configuración RPKI no válida. Hablando del hacker en cuestión, este va por el seudónimo Snow en Twitter y el día anterior al apagón se vanaglorió de sus actos en dicha red social, lanzando provocaciones publicas dirigidas a Orange España.
“Envíame un mensaje para recibir los nuevos credenciales”
Las credenciales “ridículamente débiles” de Orange España
Aquí viene la parte más vergonzosa de esta historia, pues resulta y acontece que las credenciales para acceder a la cuenta RIPE de Orange eran “ridículamente débiles”, o al menos así es como lo describe la firma de investigación Hudson Rock mediante su web Infoestalers.com. Para añadir sal a la herida, el propio hacker expuso cuán insegura era la cuenta mediante un vídeo publicado en X.
En este sentido, parece que nadie se tomó la molestia de cambiar la contraseña predeterminada, pues como bien verán, era super sencilla de averiguar, simplemente “ripeadmin”. Cualquier programa decente para crackear contraseñas la pudo haber descifrado en cuestión de segundos con un ataque de diccionario, pero como muy pronto descubriremos, nada de esto hizo falta. Para colmo, no había autenticación de dos factores ni alguna otra capa de seguridad para corroborar que el usuario tuviese autorización.
Viniendo de una compañía tan grande como Orange España y tratándose de un sistema tan vital para sus operaciones como lo es RIPE, todo este incidente resulta desconcertante como mínimo, eso por no decir indignante para los clientes del operador que pagan su tarifa todos los meses. Normalmente esperaríamos que un elemento tan crítico estuviese resguardado por capa tras capa de seguridad, pero la realidad del asunto es otra.
La historia no acaba aquí, de hecho, se pone peor, pues la investigación de Hudson Rock -así como también las admisiones del propio hacker- revela que todo esto era una bomba de tiempo que eventualmente iba a estallar, dado que esa contraseña débil de la que tanto hemos hablado había estado flotando por Internet durante un buen tiempo.
Los datos de la cuenta fueron robados meses atrás
Si bien Orange España nunca admitió -ni admitirá- como el atacante se hizo con las credenciales, lo cierto del asunto es que estos datos ya habían aparecido en foros de hackers como parte de filtraciones de datos, así lo confirmó el propio hacker responsable de todo este asunto, quien las encontró por casualidad al estar investigando fugas de información de este tipo.
Ya sabemos dónde el ciberdelincuente encontró las credenciales y lo que hizo con ellas, pero ¿Cómo se filtraron esas credenciales en primer lugar? Pues todo apunta a que fue obra y gracia de algún tipo de malware de robo de datos.
“Un empleado de Orange vio su computadora infectada por un Infostealer tipo Raccoon el 4 de septiembre de 2023, y entre las credenciales corporativas identificadas en la máquina, el empleado tenía credenciales específicas para https://access.ripe.net usando la dirección de correo electrónico que se reveló por el ciberdelincuente (adminripe-ipnt@orange.es)” Explicó Hudson Rock.
Como sabrán, el spyware se ha convertido en una plaga para las grandes compañías, pues son el principal blanco de este tipo de malware, y cuando combinamos esto con el descuido de las personas a cargo de sistemas importantes, ocurren fiascos como el de la semana pesada.
Nos atrevemos a decir que a Orange le salió barata toda esta ordalía, pues más allá de manchar su reputación, las consecuencias fueron mínimas. En este sentido, el atacante confesó que hizo todo esto por las risas, no había ningún plan maestro que llevar a cabo. Como tal Orange solo sufrió una pérdida de tráfico del 50% durante poco más de 24 horas, pero les aseguramos que se pudo haber hecho muchísimo más daño al ganar acceso a una cuenta tan crítica para los operadores de telefonía como lo es centro de coordinación de redes IP.
Soy cliente de Orange España, ¿Tengo algo de que preocuparme?
Al parecer no, según Orange España no hubo ningún tipo de robo de datos apuntado a los usuarios o empleados de la compañía, y en esta les creemos. Más allá de los inconvenientes de navegación y conexión a Internet no ocurrió nada que afecte a los usuarios de Orange, pero sospechamos que alguien dentro de la empresa estará perdiendo su puesto de trabajo por este descuido.
También cabe acotar que este tipo de incidentes ocurre todo el tiempo a lo largo y ancho del mundo, así que nada nos garantiza que no nos pueda pasar algo así a futuro, a menos claro, que sepamos proteger nuestras contraseñas y privacidad en línea, lo que nos lleva al siguiente punto.
¿Qué podemos aprender de todo eso?
Definitivamente hay una moraleja detrás de toda esta historia, y una que aplica a nosotros los mortales, pues si este tipo de cosas le pueden ocurrir a empresas grandes como Orange, no tengan duda de que también le puede ocurrir al internauta promedio. En este sentido, aquí hay una valiosa lección que aprender sobre privacidad en línea y protección de contraseñas. No podemos hacer suficiente hincapié en lo importante que es establecer autenticación de dos factores o, mejor aún, autenticación multifactor para proteger nuestras cuentas en línea y verificar nuestra identidad.
Contraseñas filtradas o no, todo este embrollo se hubiese podido prevenir si a la hora de iniciar sesión en el centro de coordinación de redes IP hubiese saltado algún tipo de verificación de identidad del usuario, ya sea por código o reconocimiento biométrico. Recordemos que el hacker se burló de no haber encontrado obstáculo alguno a la hora de entrar al sistema. También cabe acotar que cuando tenemos 2FA activado se nos alerta de cualquier intento de inicio de sesión, por lo que como mínimo estaremos prevenidos de que algo está ocurriendo.
Estar atentos a las brechas de datos también es una buena idea. Cada vez que ocurre un caso de hackeo a una compañía o sitio importante, los datos de miles de usuarios terminan vendiéndose en foros de hackers por meros centavos. Esto es prácticamente lo que ocurrió en esta ocasión; las credenciales RIPE de Orange España fueron compartidas en Internet el año pasado y eventualmente alguien las encontró y ocurrió lo que tenía que ocurrir. Recordemos que muchos gestores de contraseñas, antivirus y servicios similares tienen una función que nos alerta en caso de brechas de datos, y esa es una señal tan buena como cualquier otra para cambiar nuestras contraseñas expuestas y prevenir una calamidad.
El Hackeo a Orange España es síntoma de un problema mayor
Afortunadamente para Orange y sus clientes, las repercusiones de este incidente son minúsculas en el gran esquema de las cosas, pero por cada caso así, hay uno o dos todavía más graves, y esto nos dice mucho sobre el tema de la ciberseguridad en España, revelando una verdad incómoda del país, y se trata de que muy pocas empresas incorporan todas las medidas de seguridad necesarias para tener un sistema de protección que puede considerarse como robusto.
Esto último no lo decimos nosotros, es una observación hecha por la tecnológica española Pandora FMS, la cual publicó un estudio que registró casi 700.000 ciberataques en España desde el año 2017 hasta 2023. Según Sancho Lerena, CEO de la empresa de gestión IT y seguridad Pandora FMS, “el nivel de ciberseguridad que hay en España sigue siendo inferior al requerido” y ciberataques como el sufrido por Orange lo demuestran.
“El nivel de ciberseguridad que hay en España sigue siendo inferior al requerido. Hay casi un 90% de empresas que tienen alguna medida de seguridad, pero apenas el 5% utiliza todas las que recogen organismos como el ONTSI”, indicó Sancho Lerena.
Según el informe de Pandora FMS, tan solo en 2022 se registró un total de 110.840 ciberataques en España, lo que representa un repunte en la cantidad de casos recientes.
El caso de Orange no es el único en la memoria reciente
Con todo eso en mente, no es necesario retroceder mucho en el tiempo para encontrar otros casos similares al de Orange, lo que conecta con el punto anteriormente discutido. Tan solo en noviembre de 2023 su rival Vodafone, sufrió un ciberataque en el cual se vio comprometida la información personal de un número limitado de clientes. En el incidente de Vodafone se expusieron datos importantes de los usuarios, entre ellos nombres, apellidos, DNI, números telefónicos de contacto, dirección, correo electrónico e incluso cuenta bancaria de clientes y CIF en el caso de empresas y personas jurídicas.
En octubre del mismo año PTV Telecom fue el protagonista de turno cuando un hackeo a sus bases de datos expuso los datos de más de 100.000 clientes en toda España. Para aquel entonces la empresa confirmó que los datos de los clientes fueron a parar a plataformas piratas donde se les puede dar usos fraudulentos, por lo que fue necesario contactar con los usuarios afectados para prevenirlos.
Esta lista de incidentes sigue y sigue, pero creemos que ya se entiende la idea. Por último, aunque en esta ocasión no hubo brecha de datos que afectase a miles de personas, no hay excusa que valga, pues consideramos que Orange y las demás compañías tecnológicas tienen la obligación de hacerlo mejor de cara al futuro, pues las amenazas informáticas no harán sino aumentar y no se justifica pasar un día sin servicio de internet o que se expongan los datos de los clientes debido a la irresponsabilidad de una compañía multimillonaria.
