RIPE localiza y resetea 800 cuentas de acceso a sus sistemas que se habían filtrado en brechas de seguridad para evitar que se repita la intrusión que dejó durante varias horas a la red de Orange desconectada de internet.
La intrusión sufrida recientemente por Orange España en su cuenta de usuario de RIPE, que utilizaron para desconfigurar el direccionamiento IP que la operadora tiene asignado y como consecuencia, dejar desconectados a sus clientes durante varias horas, ha causado estupor en el seno del registro regional de internet que atiende a las operadoras en Europa, Oriente Medio y Asia Central.
El caso de Orange es el resultado de un cúmulo de despropósitos, cada cual más increíble, que incluye el uso de spyware para activar una copia de Windows pirata en el ordenador de un empleado, la filtración pública de las credenciales que el atacante encontró de forma casual y finalmente el uso de una contraseña que no podía ser más simple, junto con la ausencia de doble factor de autenticación protegiendo un acceso tan crítico.
RIPE intervino de forma temprana para que Orange pudiera recuperar su cuenta y reconfigurar sus registros ROA, trabajo que le llevó más de dos días en completar. A la vez abrió una investigación para sacar conclusiones que impidan que un incidente similar se repita.
RIPE toma medidas
En la lista de anuncios de RIPE, los responsables del registro han publicado una actualización sobre el incidente1 en el que explican que ayudaron a Orange a recuperar sus servicios y cómo han pasado, a raíz de este caso, a actuar preventivamente con otras cuentas de usuario.
El primer cambio es que todas las cuentas RIPE requieren ahora que 2FA esté activo, lo que evitará que un tercero pueda usarlas incluso si se filtran las credenciales. A la vez se ha realizado una búsqueda de credenciales de cuentas RIPE en filtraciones de datos públicas, a partir de la que se han reseteado las claves de 800 cuentas de usuario que estaban comprometidas. Se recomienda a los titulares de cuentas hacer sus propias comprobaciones con servicios de confianza como haveibeenpwned.com para asegurarse de que el email o clave utilizado no está incluido en ninguna filtración.
Finalmente RIPE recuerda que es necesario generar claves aleatorias con un mínimo de 14 caracteres que no se usen en ningún otro sitio y que se restrinja el acceso solo al personal necesario, retirándolo a los empleados que ya no estén en plantilla.
