La operadora Orange se ha llevado es dudoso honor de ser la primera organización en 2024 de la que se ha conocido que ha sufrido un ciberataque. El pasado día 3 de enero, la compañía sufrió la caída de su sistema de navegación, lo que afectó a decenas de miles de usuarios y clientes de la operadora. El ciberdelincuente provocó el desastre, presumió del hackeo y lo explicó a través de su cuenta de Twitter, accedió a la cuenta de RIPE de Orange, mediante un malware obtuvo acceso a la cuenta y descubrió con facilidad su contraseña. La operadora carecía de la preventiva doble autenticación para que cualquiera no pudiera acceder a su cuenta.
RIPE significa Centro de Coordinación de redes IP europeas, es decir, es el Registro Regional de Internet para Europa, Oriente Medio y partes de Asia Central. La operadora naranja fue objeto de un ataque que modificó la ruta y provocó que el sistema autónomo de Orange no supiera por sí mismo encontrar a las redes para poder conectar a Internet. Así, sus clientes en España se encontraron aislados de la red y sin poder navegar por la misma, sobre todo por páginas de fuera del entorno web de nuestro país.
La incidencia duró entre las cuatro y las ocho de la tarde del miércoles, tiempo en el que la operadora estuvo solucionando el problema y restaurando la configuración.
La incidencia duró entre las cuatro y las ocho de la tarde del miércoles, tiempo en el que la operadora estuvo solucionando el problema y restaurando la configuración. La nueva tuvo después que propagarse a otros operadores y proveedores de tránsito, por lo que la normalidad no se alcanzó hasta horas después. Todo ese tiempo los usuarios de Orange no dejaron de publicar en X sus quejas, y llegaron superaron los 90.000 mensajes.
Lógicamente, el hackeo afectó no solo a la marca Orange, sino también a las marcas Jazztel y Simyo, y a operadoras actualmente ajenas a la marca, como MásMóvil, con la que Orange está en pleno proceso de fusión, y los operadores que utilizan su red. Clientes de Movistar y Vodafone también notaron el problema si querían navegar en cualquier web de Orange. La compañía confirmó la resolución del problema hacia las 19:30 horas de la tarde, y señaló un «acceso indebido» a la consola de la empresa en RIPE como el motivo, y que no había afectado en absoluto a los datos de los usuarios.
LA «INGENUIDAD» DE ORANGE
Lo increíble y novedoso es que el hacker en vez de anunciar su hazaña en las web «profesionales» o en la «dark web», se pavoneó de su acción en su cuenta de Twitter sin disimulo alguno, arrobando a Orange con total naturalidad y sacando los colores de la compañía al advertirles de cómo había realizado el hakeo. «@orange_es Miau, miau, miau! He arreglado la seguridad de tu cuenta de administrador de RIPE. Envíame un mensaje para obtener las nuevas credenciales :^)», rezaba el tuit de @Ms_Snow_OwO, que con total impunidad se vanagloriaba del ciberataque.
Muchos usuarios se mostraron visiblemente enfadados con el individuo, al que profirieron todo tipo de insultos. El o la muchacha se lo había trabajado bastante con el fin de conseguir la infiltración de identidad en la red RIPE de Orange. Tal y como el hacker explicó en un tuit posterior, había llegado hasta el final consiguiendo la cuenta, dando con la clave y sin encontrar más obstáculos que se lo impidieran.
«Para aquellos que se preguntan cómo obtuve acceso a la cuenta en primer lugar, permítanme decirles que la seguridad de la contraseña era muy cuestionable. Estaba investigando filtraciones públicas de datos de bots y encontré la cuenta madura con la contraseña «ripadmin» y sin 2FA, sin SE en absoluto», describió con total soltura.
@Ms_Snow_OwO hizo llegar un malware de tipo InfoStealer llamado Raccoon hasta el buzón de correo de un trabajador de Orange que resultó «infectada» el pasado mes de septiembre. El hacker recopiló todas las claves y web que el empleado utilizaba y entre ellas también se encontró con las del acceso a RIPE, qeu tal y como ha publicado era el email adminripe-ipnt@orange.es y la contraseña «ripadmin», que inclumple todas las recomendaciones en cuanto a contraseñas de seguridad; solo tiene ocho caracteres, ninguno es numérico, ninguno es un símbolo, y es el resultado de dos palabras que encajan con su función, ripe y administración. Lo tenía todo para ser hackeada.
LA NECESARIA DOBLE AUTENTICACIÓN
El ciberdelincuente se había hecho hasta con 78 credenciales de la operadora, aunque el acceso a RIPE fue la más importante. Según explica el experto en ciberseguridad de ERNI, David Soto, sobre la cuestión de la debilidad de la contraseña, «aquí hay discrepancias de concepto, si la contraseña es débil, es malo, pero si es demasiado compleja, malo también, porque los usuarios tienden a usar patrones para construirlas, así que es un tema de equilibrio y existen opiniones de todo tipo. En este caso, dado que se trata de un robo de credenciales, es irrelevante, ya que la habrían robado independientemente de la complejidad».
Lo que sí nos asegura este experto es que «el doble factor de autentificación aquí hubiera marcado la diferencia, porque establecer factores múltiples siempre ayuda a evitar las vulnerabilidades«. Soto explica lo que es básico en materia de ciberseguridad; poner varias «puertas» de entrada siempre frena la posibilidad de un infiltración inadecuada en los sistemas y evita riesgos. De ahí que se recomiende protocolos como en Zero Trust para mantener a salvo los sistemas TI de cualquier compañía.
el doble factor de autentificación aquí hubiera marcado la diferencia, porque establecer factores múltiples siempre ayuda a evitar las vulnerabilidades
La cuestión de cómo se podría dar con el hacker, que además no se ha escondido en absoluto, y hacerle «pagar» por su acción delictiva David Soto indica que puede ser complicado dar con él, «porque depende de cómo esté registrado y en caso de ser un usuario anónimo, de cómo accede a la red. Si se conecta desde su propia IP, seguramente no tarden en ir a buscarle, pero no será fácil si usa mecanismos de camuflaje (vpns, tor,…). Puede considerarse ‘seguro’ siempre que no haya introducido datos en las publicaciones que ayuden a identificarlo».
PENAS DE PRISIÓN DE SEIS MESES A DOS AÑOS
Una vez localizado y puesto a disposición de un juez, en este caso, el hecho de que la contraseña no sea nada segura podría llegar a convertirse en un atenuante, aunque en España sea delito el mero hecho de acceder a una red o aplicación sin permiso, según el experto consultado. No obstante, en el Articulo 197 bis 1 del código penal se establecen penas de seis meses a dos años de prisión solo por acceder de manera ilegal a los sistemas.
Tal y como queda legislado sobre el acceso ilegal a sistemas informáticos, «en este precepto se reubica el tipo penal previsto, hasta dicha reforma, en el art. 197.3, que sanciona el acceso ilegal a sistemas de información, también conocido como allanamiento o intrusismo informático, y que fue incorporado por primera vez en nuestra legislación por LO 5/2010, de 22 de junio».
El precepto, aun conservando básicamente su contenido inicial, ha sido objeto de una nueva
redacción: «el que por cualquier medio o procedimiento, vulnerando las medidas de seguridad
establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el
acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de
la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión
de seis meses a dos años«.
