Así ha sido el 'ciberataque' a Orange que ha dejado a muchos españoles sin internet: por qué el primer gran incidente de 2024 es tan preocupante

Este miércoles 3 de enero muchísimos usuarios de Orange en España —y de sus otras marcas, como Simyo o Jazztel— detectaron anomalías en su conexión a internet. Mientras las quejas y llamadas a atención al cliente de la teleco se multiplicaban, la firma trataba de resolver un incidente de ciberseguridad muy preocupante.

De hecho, uno de los más preocupantes para la industria de la ciberseguridad española de los últimos años. Y eso que apenas han pasado unos días desde que comenzó 2024.

Por ahora lo que se sabe es lo siguiente: en septiembre de 2023 un ordenador corporativo de Orange España fue infectado con un infostealer, un tipo de troyano cuyo objetivo es extraer las credenciales almacenadas en el dispositivo. Así lo han asegurado los especialistas en ciberseguridad de una empresa especializada llamada Hudson Rock.

El malware empleado para esa extracción de contraseñas sería un infostealer conocido como Raccoon, cuyo presunto principal desarrollador es un jovencísimo ucraniano que fue detenido a finales de 2022. De las contraseñas extraídas de ese ordenador de Orange España sobresaldría una con la que Orange accedía a RIPE.

El RIPE es el registro regional de internet (RIR) para toda Europa, Oriente Medio y Asia Central. Es uno de los cinco grandes registros regionales de la red de redes. Estos RIR supervisan la asignación y registro de los recursos de la red (direcciones IP y números AS, es decir, los números de los sistemas autónomos, los grandes conjuntos de redes que conforman internet).

De ahí que este miércoles saltaran todas las alarmas cuando, tras varias horas de problemas en el servicio, una usuaria en X —la plataforma antes conocida como Twitter—, @Ms_Snow_OwO, lanzara su órdago: "¡Miau, miau, miau! He arreglado la seguridad de vuestra cuenta de administración en RIPE. Escribidme para obtener las nuevas contraseñas :^)".

¿Cómo consiguió la hacker Ms_Snow_OwO la contraseña con la que Orange administraba sus recursos en el registro regional europeo RIPE? Se puede deducir que el infostealer hizo su trabajo tras la infección de septiembre. La protagonista de la historia, por su parte, responde a todos los que se preguntan "cómo accedió a la cuenta":

"Permitidme decir que la seguridad de la contraseña era muy cuestionable. Estaba buscando filtraciones públicas y me topé con esta cuenta en RIPE con la contraseña ripeadmin sin doble factor de autenticación ni nada", responde.

Orange, operadora y prestadora de servicios y accesos a internet, gestionaba sus recursos en el registro regional europeo de la red de redes con una cuenta de correo, adminripe-ipnt@orange.es, y con una contraseña sencillísima, ripeadmin. 

No había multifactor de autenticación, algo básico y que cada vez es más exigido a los usuarios domésticos finales de servicios digitales —al iniciar sesión en un servicio, autenticar tu credencial mediante SMS o mediante otros medios, por ejemplo—.

La propia Ms_Snow_OwO desliza incluso el nombre del empleado cuyo ordenador fue infectado por el infostealer. "Seguramente sea el empleado del mes", ironizaba. Además del acceso al control de administración en RIPE, la empresa Hudson Rock también ha demostrado que otras contraseñas del mismo empleado habrían sido comprometidas el pasado 4 de septiembre.

Los expertos temen que en 2024 la IA ayude a cada vez más gente a abrazar una impopular 'salida profesional': convertirse en ciberdelincuentes

Pero, ¿cómo había logrado Ms_Snow_OwO tumbar parte de la red de Orange en España con una contraseña insegura en el registro regional de internet para Europa?

Es muy sencillo. Lo que hizo la hacker fue modificar, desde la cuenta de administración de Orange España en el registro RIPE, el número del sistema autónomo (AS, la red) asociada al rango de direcciones IP que gestiona la operadora naranja en el país. Después, activó una configuración RPKI inválida para ese sistema autónomo.

El RPKI, que es una funcionalidad que todavía se está estandarizando, permitiría a los titulares que gestionan estos rangos IP declarar sus recursos de forma verificada, como explica Felipe Cañizares, jefe de Tecnología de DMNTR Network Solutions en este hilo en X. Pero claro, de poco sirve el RPKI si tu cuenta para gestionar tus recursos se protege solo con una contraseña como ripeadmin.

El propio Cañizares, que ha explicado todo el problema ocasionado este miércoles en este reportaje de Bleeping Computer, también ha advertido que el que se ha vivido estas últimas horas es "uno de los ataques a un gran operador de internet más ingeniosos" de los que recuerda.

Pero no solo es ingenioso: es extremadamente preocupante.

La preocupante fragilidad de una infraestructura crítica

Los usuarios de Orange y sus filiales han ido recobrando la normalidad en sus conexiones en las últimas horas. La hacker que responde al pseudónimo de Ms_Snow lanzó su órdago con un mensaje en X en el que animaba a la proveedora a ponerse en contacto con ella para conocer las nuevas contraseñas de su cuenta en RIPE.

Orange respondió. "Hola, Snow. Hemos recibido y respondido tu mensaje privado. Atentamente, MD".

No está claro cómo ha sido la negociación entre la teleco y la atacante que logró comprometer sus redes. Ms_Snow ha asegurado públicamente que no ha recibido ni exigido ninguna cantidad monetaria. "No tenía intención de provocar ningún corte de ninguna manera. El acceso se le ha devuelto a Orange", aclaró.

Preguntada por sus motivaciones, continuó: "Por el lulz fundamentalmente", reconocía, en referencia a hacerlo por "la coña" en argot de internet. "Pero también para evitar que un agente malicioso REAL encontrara la cuenta y la comprometiera. Existía la opción de eliminar objetos maduros en la cuenta", incidió.

Orange, después de todo, ha tenido mucha suerte de toparse con una hacker con buenas intenciones. "No ha habido nada de ingeniería social, ni phishing ni nada de eso. Era literalmente el log en línea público del stealer", detalló. Y aunque las buenas intenciones estaban ahí, la sorna también ha estado muy presente: "Orange, chicos, ¿podéis bloquearme por el lol?".

"El gran sueño del internet global entra en crisis": así será la nueva red fracturada si Rusia se desconecta del resto del mundo

De hecho, Snow no ha tenido que realizar un ataque informático demasiado sofisticado. Solo ha tenido que comprobar contraseñas robadas que han estado siendo de acceso público durante meses, sin que nadie se haya preocupado de cambiar la credencial, cuando la principal recomendación es cambiar la contraseña periódicamente incluso sin que esta haya sido sustraída.

Varios especialistas en ciberseguridad consideran que Orange dejó, simplemente, una puerta abierta. La pregunta es: cuántas puertas abiertas quedarán ahí fuera.

Pasado el peor momento y el mal trago, el humor continúa y algunos usuarios sostienen que la nueva contraseña que habrá empleado Orange para preservar su cuenta en RIPE será ripeadmin2 o, en palabras de la propia Snow, r1p3adm1n.

Pero si todo el incidente de Orange en España deja una enseñanza, esta es la absoluta fragilidad con la que se preserva la seguridad de infraestructuras tan críticas como el acceso a internet. En palabras de DMNTR Network Solutions, la empresa de Felipe Cañizares, seguramente en el registro regional europeo habrán detectado un récord en activación del doble factor de autenticación.

Cuando las barbas de tu vecino veas cortar...