En enero de 2024, Orange España sufrió un ataque cibernético significativo que resultó en una interrupción masiva de sus servicios de internet. Los atacantes comprometieron una cuenta de RIPE NCC (Réseaux IP Européens Network Coordination Center), permitiéndoles manipular el protocolo BGP (Border Gateway Protocol) y causar fallos generalizados en la conectividad de la red, interrumpiendo la navegación por internet de miles de usuarios durante varias horas.
Este ataque fue particularmente grave debido a la importancia de Orange en el panorama de las telecomunicaciones en España. Orange es uno de los principales proveedores de servicios de internet y telefonía en el país, con una base de millones de usuarios que dependen de sus servicios para comunicaciones personales y empresariales. La interrupción no solo afectó a los usuarios individuales, sino también a numerosas empresas y servicios críticos. Este artículo analiza el impacto del ataque, explica los detalles técnicos de manera accesible y sugiere medidas de seguridad para prevenir incidentes similares en el futuro.
Hackeo de la cuenta RIPE NCC
El incidente comenzó cuando un empleado de Orange España fue víctima del malware Raccoon, un tipo de software malicioso diseñado para robar credenciales. Raccoon es conocido por su capacidad de extraer información sensible como contraseñas, cookies y datos de formularios de los navegadores infectados.
Este malware se infiltró en la computadora del empleado el 4 de septiembre de 2023, capturando las credenciales de acceso a la cuenta de RIPE, una plataforma crítica para la gestión de recursos de internet. En la siguiente captura de pantalla se muestra que un empleado llamado Diego accedió a la plataforma RIPE con el correo adminripe-ipnt@orange.es y la contraseña ripeadmin.

Las credenciales robadas fueron posteriormente vendidas en la dark web, permitiendo al hacker, conocido como "Snow", acceder a la cuenta y realizar cambios críticos. El atacante utilizó esta información para alterar los anuncios de rutas del protocolo BGP, lo que permitió redirigir el tráfico de internet de Orange España y causar interrupciones significativas en sus servicios.
A pesar de que en este caso el hackeo fue debido al malware Raccoon, se pudo haber realizado con un ataque diferente, conocido como credential stuffing, ya que el correo se encuentra filtrado en páginas como phonebook.cz, como se observa a continuación, y la contraseña carece de seguridad. El credential stuffing utiliza combinaciones de nombres de usuario y contraseñas filtradas de otras brechas de datos para intentar acceder a diferentes servicios.

El ataque tuvo un impacto considerable en Orange España, afectando la capacidad de la empresa para proporcionar servicios de internet a sus clientes. Durante varias horas, miles de usuarios experimentaron interrupciones en la conectividad, lo que generó frustración y pérdida de confianza en la empresa. Aunque Orange España aseguró que no se comprometieron datos de clientes, la caída del servicio resaltó vulnerabilidades significativas en su infraestructura de seguridad.
Detalles técnicos simplificados
Manipulación del protocolo BGP
El Border Gateway Protocol (BGP) es esencial para dirigir el tráfico de internet, permitiendo que las redes intercambien información sobre las rutas más eficientes para el tráfico de datos. Al acceder a la cuenta de RIPE, el hacker pudo cambiar los números de sistema autónomo (AS) y las rutas BGP asociadas, redirigiendo el tráfico de Orange a través de rutas incorrectas y causando interrupciones generalizadas.
Configuración de RPKI
El protocolo Resource Public Key Infrastructure (RPKI) es una medida de seguridad criptográfica diseñada para proteger contra ataques de secuestro de rutas BGP. Sin embargo, al activar una configuración inválida de RPKI, el atacante hizo que las rutas legítimas de Orange no fueran reconocidas correctamente en la red global. Esto exacerbó las interrupciones del servicio y complicó los esfuerzos de recuperación.
Errores en ROA
El atacante creó registros de autorización de origen de ruta (ROA) incorrectos, que son utilizados por RPKI para validar las rutas BGP. Estos registros incorrectos indicaban que el AS legítimo de Orange no tenía autoridad sobre sus propias rutas, lo que llevó a que las rutas de Orange fueran ignoradas por otros routers en la red, aumentando el impacto del ataque.
Raccoon
Es un malware de acceso remoto que se especializa en robar información confidencial, como credenciales de inicio de sesión y datos financieros. Utiliza técnicas avanzadas para infiltrarse en sistemas objetivo, a menudo propagándose a través de correos electrónicos de phishing o descargas maliciosas. Una vez instalado, Raccoon puede actuar como un “keylogger”, registrando las pulsaciones de teclas del usuario para capturar contraseñas y otra información sensible.
También puede interceptar datos transmitidos a través de redes no seguras y acceder a archivos almacenados localmente. Su objetivo principal es recopilar datos valiosos de manera sigilosa y enviarlos de regreso a los servidores controlados por los atacantes.
Fallos de seguridad
El ataque a Orange España reveló varias fallas de seguridad críticas:
Contraseña débil: la cuenta de RIPE utilizaba una contraseña simple, "ripeadmin", que es fácilmente adivinable y vulnerable a ataques.
Falta de Autenticación de Dos Factores (2FA): la ausencia de 2FA en la cuenta de RIPE permitió que los atacantes accedieran solo con las credenciales robadas, sin necesidad de una segunda forma de verificación.
Gestión inadecuada de seguridad de contraseñas: la reutilización de contraseñas y la falta de complejidad en las mismas facilitaron el acceso no autorizado a la cuenta.
Medidas de seguridad recomendadas
Para prevenir futuros incidentes similares en cualquier tipo de organización, es esencial
implementar las siguientes medidas de seguridad:
Autenticación de Dos Factores (2FA): requerir un segundo factor de autenticación, como un código enviado al teléfono del usuario o una aplicación de autenticación, puede evitar accesos no autorizados incluso si las credenciales de inicio de sesión se ven comprometidas.
Gestor de contraseñas: utilizar gestores de contraseñas para crear y almacenar contraseñas seguras y únicas para cada cuenta. Los gestores de contraseñas pueden generar combinaciones complejas que son difíciles de adivinar o romper mediante ataques de fuerza bruta. Conoce Passguard®, securización y gestión de constraseñas
Contraseñas seguras: implementar políticas de contraseñas fuertes que requieran una combinación de letras mayúsculas, minúsculas, números y caracteres especiales. Además, es importante evitar la reutilización de contraseñas entre diferentes cuentas y servicios.
Monitoreo y actualización de seguridad: realizar auditorías de seguridad periódicas para identificar y corregir vulnerabilidades en la infraestructura. Mantener los sistemas y el software actualizados con los últimos parches de seguridad también es crucial para proteger contra nuevas amenazas.
Capacitación en ciberseguridad: educar a los empleados sobre las mejores prácticas de ciberseguridad, incluyendo la identificación de correos electrónicos de phishing y la importancia de mantener la seguridad de las credenciales.
El ataque a Orange España enfatiza la importancia de adoptar medidas de seguridad cibernética robustas y mantener una vigilancia constante ante las amenazas en evolución. La implementación de autenticación de dos factores, el uso de gestores de contraseñas y la adopción de políticas de contraseñas seguras son pasos esenciales para proteger las redes y los datos sensibles. La resiliencia cibernética requiere una combinación de tecnologías avanzadas y una cultura organizacional centrada en la seguridad.
Si deseas tener siempre a la mano el artículo escrito por Alejandro, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
REFERENCIAS
Kovacs, E. (2024, January 4). RIPE account hacking leads to major internet outage at Orange Spain. SecurityWeek. https://www.securityweek.com/ripe-account-hacking-leads-to-major-internet-outage-at-orange-spain/
FadilpaŠI, S. (2024, January 5). Orange Spain taken offline following massive cyberattack caused by “ridiculously weak” password. TechRadar. https://www.techradar.com/pro/security/orange-spain-taken-offline-following-massive-cyberattack-caused-by-ridiculously-weak-password
Abrams, L. (2024, January 4). Hacker hijacks Orange Spain RIPE account to cause BGP havoc. BleepingComputer. https://www.bleepingcomputer.com/news/security/hacker-hijacks-orange-spain-ripe-account-to-cause-bgp-havoc/
Hackean la cuenta de RIPE de Orange España con la contraseña ripeadmin. (n.d.). Blog elhacker.NET. https://blog.elhacker.net/2024/01/hackean-la-cuenta-de-ripe-de- orange-uni2-espana.html
El Centro Vasco de Ciberseguridad. (2021). RACCOON BCSC-MALWARE-RACCOON. En El Centro Vasco de Ciberseguridad. https://www.zibersegurtasun.eus/sites/default/files/2022-04/bcsc-malware-raccoon-tlpwhite2780.pdf
Las imágenes usadas en esta nota fueron tomadas respectivamente de: https://x.com/CiberPoliE
Comments