A estas alturas y solo estamos a principios de año, ya ha sido comprometida una infraestructura crítica en España, como todo el mundo sabrá hablamos de Orange y sí, ha sido comprometida, aunque se le quiera restar importancia al asunto, que si no ha habido exposición de datos de usuarios, etc. Estamos hablando que han secuestrado la cuenta RIPE NCC de Orange que une la infraestructura de red del operador con el mundo, que no es poco.
El RIPE (Réseau IP Européens Network Coordination Centre), por si alguien no lo sabe, es la organización que asigna los rangos de direcciones IP en Europa, Oriente Medio y parte de Asia Central, es una de las cinco organizaciones que se encargan de gestionar los direccionamientos IP en Internet.
¿Ha sido una operación difícil y sofisticada?, pues por la información publicada hasta ahora parece que no, todo lo contrario, uso de credenciales débiles … que a estas alturas nos peguemos con la misma piedra, ya duele y escuece. Aunque valga decir, que estas credenciales (usuario/contraseña) se ha obtenido a través de un empleado que fue infectado según diversas fuentes por un malware en el mes de septiembre de este pasado año, en concreto el “Raccoon Stealer”.
Como la cuenta de usuario registrada en RIPE no tenía activado 2FA, pues el ciberatacante lo ha tenido fácil para poder realizar las acciones que ahora estamos conociendo.
El ciberataque ha sido reivindicado por alguien identificado como Ms_Snow_OwO en X (antiguo Twitter), que según parece se ha encargado de securizar la contraseña y lo hizo la madruga del martes al miércoles, bastantes horas antes de que se empezara a notar sus efectos en los usuarios de la red de Orange que se quedaron sin acceso a Internet.
En la publicación en la que se atribuye la autoría en su cuenta de X, ha dejado algunos pantallazos para demostrar su autoría.
Al tomar el control de esta credencial de Orange el autor no solo puede dejar sin acceso a Internet a los usuarios, sino que puede redirigir el tráfico de estos a través de infraestructura propia con lo que podría poner en peligro datos transferidos por la red de los usuarios de los rangos IP afectados.
¿Cómo es esto posible? En Internet los sistemas autónomos (AS de Autonomous System), publican fuera de su red (digamos que al resto del mundo para simplificar) las rutas de acceso a esas direcciones IP que se le han asignado (en este caso RIPE) y que gestiona en este caso Orange (ya sean para otros servicios de Internet como otros AS, servicios directos a empresas u organismos, así como usuarios finales (las ADSLs o conexiones de fibra que nos llega a casa). Para hacer esta publicación se utiliza un protocolo llamado BGP (Border Gateway Protocol) mediante el cual los routers llamados frontera (los que se encontrarían en el borde exterior de la infraestructura de red del sistema autónomo) se comunican con los siguientes routers adyacentes los cuales tienen la misión de encaminar el tráfico a través del punto o puntos publicados, es el funcionamiento básico de Internet.
Si se publican ya sea intencionadamente o por error unas rutas diferentes a las establecidas, se pueden producir cortes de servicio (no se encamina correctamente la información a través de Internet) o se puede hacer pasar, como ya se ha comentado, a través de otros routers bajo el control del actor malicioso y redirigido nuevamente a la infraestructura correcta (no interrumpiendo el servicio, pero si permitiéndole tener acceso a ese tráfico de datos). Así pues, todo el tráfico de red no cifrado o que utilice protocolos débiles al ser interceptado puede ser robado o modificado, se pierde la confidencialidad e integridad de la información, por lo tanto este incidente puede afectar a los 3 pilares de la seguridad de la información.
Por mucho que esto se pueda repetir, hay que utilizar contraseñas robustas, lo más extensas posible en longitud, mezclando caracteres alfanuméricos, utilizando mayúsculas y minúsculas, así como símbolos. Utilizar contraseñas diferentes para diferentes servicios y siempre siempre que sea posible activar MFA (Multiple Factor Authentication), es decir, para no extenderme más tener más de una forma de validar la identidad (no solo con la contraseña).
#ciberseguridad #ciberataque