ACTUALIZACIÓN: Orange España lleva contestando a lo largo de la mañana en redes sociales a cientos de afectados para comunicarles que la incidencia fue resuelta anoche. Esto coincide con un comunicado del RIPE en el que confirman que el acceso a la cuenta fue restablecido a su dueño original.
Según han podido investigar expertos de Hudson Rock, la dirección de correo electrónico que salió a la luz como parte de las credenciales de Orange en el RIPE se ha asociado con un ordenador de un empleado de Orange que fue infectado a principios de septiembre de 2023 por el malware Raccoon Infostealer.
A modo de curiosidad, Ms_Snow_OwO actualizó su página de perfil con el texto "todo lo que hace lo hace por el lulz". Lulz fue un grupo hacker ya inexistente que llegó a atacar a webs de la CIA, Sony y otros grandes objetivos "solo por diversión", según afirmaban en su día.
Si eres cliente de Orange, Jazztel o Simyo, y ves que ninguna página web carga, lo más probable es que no sea problema de tu router, sino de un grave hackeo que ha habido contra la infraestructura de la operadora que ha provocado su caída.
Tal y como se puede ver en webs de registro de caídas como Down Detector, a partir de las 11 de la mañana de hoy los usuarios han comenzado a registrar anomalías, aunque la situación ha empeorado realmente sobre las 15:00 horas.
Aunque al principio se pensaba que se trataba de una gran caída de los servidores del operador, @weareDMNTRs y @malwrhunterteam han sido de los primeros en aportar pruebas que apuntan a algo peor: un hackeo por parte de un individuo que ha sido capaz de secuestrar la cuenta de RIPE NCC de Orange.
Una de las pruebas era bastante concluyente, y es el tweet de una cuenta llamada Ms_Snow_Owo en X (antes Twitter) que reivindica la autoría del ataque informático mencionando a la operadora y burlándose, afirmando que había "arreglado" la seguridad de su cuenta RIPE, y pidiendo que le envíen un mensaje para obtener las nuevas credenciales.
Seguramente, la intención de este ciberdelincuente es dar las credenciales a cambio de una suma económica, cosa que no creemos que la operadora esté dispuesta a aceptar y que tratará de tomar la vía oficial para restablecer el servicio.
Para entender qué es lo que ha pasado realmente, vamos a definir primero qué es el RIPE NCC. Sus siglas obedecen al nombre de la organización "Réseaux IP Européens Network Coordination Centre", que se encarga de gestionar la asignación y registro de números de Internet en Europa, Oriente Medio y algunas partes de Asia Central.
En otras palabras, si este ente no existiera, habría conflictos de direcciones y la calidad de los servicios de Internet sería peor, entre otras anomalías y problemas.
Tal es la importancia de esta organización, que solo existen cinco como ella en todo el mundo, y a pesar de lo sorprendente y complicado que resulta que alguien haya podido alterar los datos de esta infraestructura, que cuenta con autenticación de dos factores y políticas de seguridad estrictas, al parecer ha sido posible.
Entre el obvio problema de falta de conexión a Internet, hay otros que pueden resultar iguales o peores, como la pérdida de datos, cosa que puede suponer un gran coste reponer para las compañías afectadas.
Ahora es momento de que los usuarios esperen mientras Orange trabaja codo con codo con el equipo de seguridad del RIPE NCC para verificar identidades, solucionar posibles vulnerabilidades y cambiar credenciales y los métodos de acceso para que el ciberdelincuente no vuelva a perpetrar otro ataque.
Todo esto lleva tiempo, como mínimo unas 24 horas. No obstante, esperamos que Orange se pronuncie a través de sus canales oficiales para confirmar la buena noticia a los usuarios.
Por el momento se desconoce si el ataque se ha producido por una estrategia de ingeniería social o a través de una vulnerabilidad, y tampoco se han aclarado los motivos del hacker para realizar esta acción, aunque sabiendo cuánto cobran los hackers, es posible que haya algún tipo de organización detrás, aunque esto no deja de ser una mera suposición.
Para colmo en toda esta situación caótica, es bien sabido que Orange impide que uses otras DNS que no sean las suyas, por lo que solo aquellos que tengan conexión con otro operador se verán salvados mientras esta incidencia continúa activa.
Tras esta gran caída de Orange por el hackeo a su cuenta RIPE NCC, habría que preguntarse hasta qué punto están asegurados los datos que dan acceso a millones de conexiones de Internet, deseando que se trate de un incidente puntual y no de una dinámica que será tomada con frecuencia por los ciberdelincuentes.
Vía: Hudson Rock
- Ver Comentarios