📰 Artículos
Operadoras

Secuestran la cuenta RIPE de Orange España desconectando sus direcciones IP tras la infección del ordenador de un empleado

Joshua Llorach Actualizado 4 enero 2024 09:12

⋮

La cuenta de Orange España en el registro regional de internet que atiende a Europa ha sido comprometida, tras robar los credenciales a un empleado de Orange mediante malware instalado en su equipo. El atacante modificó algunos de sus prefijos de direcciones IP introduciendo datos inválidos, lo que ocasionó que otras redes se desconectasen de la de Orange, afectando al funcionamiento de la conexión de los clientes de Orange, Jazztel y Simyo.

Orange España ha sufrido un incidente sin precedentes que ha comprometido la integridad de su red en su nivel fundamental: las direcciones IP asignadas a la operadora. Los clientes de Orange y sus marcas Jazztel y Simyo han sufrido problemas para navegar con normalidad al perder el acceso a algunos destinos. Algunos casos pueden leerse en los foros:

DNS Orange no resuelven

Modifican la configuración de las IPs de Orange España en RIPE

La razón está en el acceso que un tercero ha conseguido a la cuenta de usuario de Orange España en RIPE, el organismo regional para Europa que se encarga de asignar las direcciones IP a los proveedores de internet. Las operadoras registran en la base de datos de RIPE la información necesaria para que los rangos de direcciones que utilizan se anuncien correctamente mediante el protocolo BGP y el tráfico se enrute de forma adecuada hacia su destino.

El usuario @aalmenar nos señala que el intruso, que se identifica como Ms_Snow_OwO, ha publicado en su cuenta de Twitter1 capturas de la interfaz de RIPE con algunos prefijos afectados. El usuario ha creado objetos ROA (Route Origin Attestations), que son utilizados para que otras redes puedan certificar que un rango de IP pertenece a un AS (Autonomous System) antes de levantar sesión BGP e intercambiar tráfico. Un Objeto ROA genera un certificado digital que el resto de redes consultan en los servidores RPKI de RIPE. El introducido por el atacante apunta a otro AS distinto del de Orange, lo que ha provocado que el resto de redes rechacen intercambiar tráfico con el AS 12479 de Orange2, dejando su red desconectada.

La clave de Orange era extremadamente simple

La empresa de ciberseguridad HudsonRock desvela3 que el equipo de un empleado de Orange España fue comprometido el pasado 4 de septiembre de 2023 mediante el malware Racoon. Entre la credenciales recopiladas está la contraseña utilizada para acceder a la cuenta de RIPE, que además era absurdamente simple: ripeadmin. El atacante encontró los credenciales buscando en "filtraciones públicas de datos de bots" y le llamó la atención el nombre de la cuenta y la ausencia de doble factor 2FA.

3 horas de caída

Cloudflare Radar muestra para el AS de Orange4 una pérdida de tráfico de casi el 50%, señalando el inicio de la caída a las 15:30 hora española. La recuperación se produjo 3 horas después, sobre las 18:45, tras la intervención de RIPE5 para que Orange pueda recuperar su cuenta y una vez Orange ha dejado de utilizar los prefijos afectados para acelerar la recuperación. La Operadora ha confirmado el incidente en su Twitter6:

La cuenta de Orange en el centro de coordinación de redes IP (RIPE) ha sufrido un acceso indebido que ha afectando a la navegación de algunos de nuestros clientes. El servicio está prácticamente restablecido

💬 Comentarios

Bilbokoa 3 enero 2024 17:43

⋮

La cosa está que arde, sí. Hay mucha gente del grupo Orange muy enfadada:

vukits 3 enero 2024 17:48

⋮

Muchas gracias a @skgsergio por su rol divulgador y de enlazar al Tweet ;)

Que sino, no me hubiese enterado de qué se habla. :P

Amenhotep 3 enero 2024 17:53

⋮

Explicación en directo

youtube.com/watch?v=JZZ0TZciGL4

lhacc 3 enero 2024 17:54

⋮

Mandar una mención por Twitter a los operarios de nivel más bajo del servicio de atención al cliente, que no van a entender de qué va la cosa, si es que llegan a leer algo, no es notificar nada.

Muy mal por Orange, pero espero que se le caiga el pelo al pavo este. Tirar la red de un operador nacional porque te sale de los huevos es moral y legalmente inadmisible.

✖

vukits 4 enero 2024 11:46

⋮

en una empresa bien estructurada en un par de correos llegas al CTO o al CEO.

otra cosa es que luego te echen la bronca que pa' qué escribes correos chorra.

✖

Aell6782 4 enero 2024 12:00

⋮

Si tu eres un picateclas sigue protocolo, tu alcance es muy pequeño, eres como el burro y la zanahoria, alcanzas hasta donde llega el protocolo de respuestas genéricas.

Al menos en el nivel mas bajo, soporte basico, rrss y eso.

Fuera de ahi, obviamente si, pero asi en un nivel bajo…

✖

vukits 4 enero 2024 12:16

⋮

he sido 'subcontratado de mie*da' (palabras mías :P) para soporte TIC de Nivel 2 para una gran petrolera española. ( y sé de buena mano de que Nivel 1 tenían los mismos medios de trabajo que nosotros).

y te aseguro de que todos teníamos correo y acceso al GAL y organigrama de dicha empresa petrolera.

En mi opinión, con la gente que atendía Twitter no han fallado los protocolos… Es más buen la ausencia de compromiso de los subcontratados de cara a Orange .(nosotros sí nos tomábamos en serio nuestro trabajo, porque era un ambiente dinámico donde todos contribuiamos)

Alexvr 3 enero 2024 18:11

⋮

Es grave.

Probé con una SIM de Simyo conectarme a internet y es verdad que no se puede navegar.

A ver qué le pasa a Orange con el mercado libre y sus abonados.

Screenshot_2024-01-03-18-09-25-910_com.microsoft.emmx

✖

Bocchi94 3 enero 2024 18:33

-1

⋮

Con mi SIM de Simyo por ahora tengo conectividad normal, también con la fibra de Orange… No veo problemas de packet loss ni similar.

No obstante sobre las 17 horas al intentar acceder a servicios AWS o no me cargaban o lo hacían extremadamente lentos.

✖

Alexvr 3 enero 2024 18:39

⋮

No es mi caso como se puede ver.

Menos mal que mi línea principal la tengo en Digi (mas que nada por la cobertura Movistar y sobretodo las nuevas tarifas que tiene).

✖

Bocchi94 3 enero 2024 18:43

⋮

En mi caso tengo O2 como principal y Simyo como secundaria… Si se cae, hago tethering y listo.

Pero vaya, el rango de IP de mi fibra, por ahora no está en el listado secuestrado:

irrexplorer.nlnog.net/asn/AS49581

El AS49581 sería el que está intentando secuestrar los rangos IP de Orange (AS12479).

Jesús Díaz 3 enero 2024 18:17

⋮

Usad 2FA en todo, aunque sea un coñazo, no sea que os hagan un Oranging. Lo tengo dicho en muchos sitios y ni caso, luego pasan cosas.

✖

pepejil 3 enero 2024 18:34

⋮

Y hay aplicaciones 2FA que te lo dejan todo mascadito. Todo lo demás es ser un vago.

PezDeRedes 3 enero 2024 21:55

⋮

Donde yo trabajo el 2FA es imperativo para todo.

✖

Jav9i 4 enero 2024 00:14

⋮

A la que es un sitio un poco seria ya empieza a ser obligatorio en casi todos sitios por obvios motivos.

fergaral 3 enero 2024 18:21

⋮

Me estaba extrañando que algunas páginas no me cargasen (móvil Orange), de hecho no podía entrar ni aquí al foro.

Ahora desde fibra Adamo ya sí, claro.

Vaya faena

Jezu7 3 enero 2024 18:21

⋮

Mi internet móvil con PTV (Orange) me funciona bien

✖

Jesús Díaz 3 enero 2024 18:32

⋮

Porque usarán otra ruta con otro ASN bien anunciado, en el vídeo de Tecnocrática lo explican bien.

Aell6782 3 enero 2024 18:39

⋮

No tienes Orange, tienes ptv, ptv tiene su propio ASN (Procono) , por lo que aunque tu fibra o red de antenas sea Orange, sales con el ASN y las ips de Procono (PTV) bgp.he.net/AS34977

✖

Jezu7 3 enero 2024 19:04

⋮

Ahh genial, lo que sería un OMV completo, como Digi, que sólo utilizan las antenas de terceros, por así decirlo?

✖

Jav9i 4 enero 2024 11:11

⋮

Básicamente, si. Es posible que dependan de alguna cosa más, pero como usan sus propias IPs y enlaces con terceros no les afecta este problema.

✖

Jezu7 4 enero 2024 12:23

⋮

Estupendo. Gracias!

Redgsm 3 enero 2024 18:39

⋮

A mi la fibra de Orange me ha dado problemas hasta que he reiniciado el router y todo ha vuelto a la normalidad.

En lo que es la red movil la cosa ya cambia…cobertura Orange del grupo mas movil va a un poco atropellada, ha perdido fluidez en el funcionamiento de webs y apps

✖

Alexvr 3 enero 2024 18:43

⋮

Tuvistes suerte. A mi ni me navega como puedes ver mas arriba.

✖

Redgsm 3 enero 2024 18:47

⋮

Tocaremos madera…a ver si se soluciona pronto

Aell6782 3 enero 2024 19:20

⋮

Reinicia hasta que te cambie la IP a una que no esté afectada xD

Weikis 3 enero 2024 19:06

⋮

Grupo MM no se ve afectado. Tienen su propia red de distribución. De Orange en rutas e infraestructura queda el camino hasta las estaciones móviles y la fibra.

No note absolutamente ninguna diferencia a como va normalmente en MM. Conectado a Orange en fibra y móvil.

Aell6782 3 enero 2024 19:19

⋮

Al reiniciar el router te habrá cambiado la IP, te has fijado? Por eso ahora te funciona. Solo estan afectados prefijos concretos.

✖

Redgsm 3 enero 2024 19:26

⋮

La verdad que no me fijé, simplemente la conexión iba mal, reinicié y fue recuperar la red en el acto.Jajaja

✖

Aell6782 3 enero 2024 19:27

⋮

Posiblemente sea eso

Erpepotemf 3 enero 2024 19:43

⋮

Con razón no me funcionaba. Y yo creyendo que mi nuevo móvil estaba defectuoso jajaja

PD: Fibra Simyo bajo huella Movistar

KailKatarn 3 enero 2024 20:13

⋮

A mi personalmente me ha jodido toda la tarde de trabajo. Al principio pensé que era que CloudFlare estaba caído y no me estaba resolviendo DNS, pero no, ha sido inclusive hasta peor de lo que pensaba. Muchas gracias @Josh por mantenernos siempre informados.

✖

vukits 3 enero 2024 20:24

⋮

Leches, y yo pintando ayer a los de Orange como 'profesionales'

La verdad mi comentario ha envejecido en 24h muy mal :P

✖

KailKatarn 3 enero 2024 20:31

⋮

Jajaja, eres un crack.

Weikis 3 enero 2024 20:48

⋮

Pues. Seguro que ya lo sabias y ese comentario era en ironía. No mientas.

License2Harm 3 enero 2024 21:20

⋮

Has quedado como un señor con este post (no es sarcasmo)

Sokiev 3 enero 2024 20:41

⋮

Increíble. Me pregunto cómo habrá sido posible para el hacker acceder a la cuenta y cómo habrá hecho (supongo) para cubrir sus huellas. En todo caso, debería de caerle una buena, no solo por los efectos en el operador nacional (Orange) como por los efectos secundarios (colegios, administraciones y empresas con conexiones Orange que vean afectada su actividad)

✖

NachoSH 3 enero 2024 21:05

⋮

Han robado las contraseñas por un software que había instalado el trabajador (de contrata, en este caso) en su ordenador. Tenía las contraseñas guardadas, de ese servicio y de otros de Orange.

✖

skgsergio 3 enero 2024 21:11

⋮

Fuente?

✖

NachoSH 3 enero 2024 21:19

⋮

✖

skgsergio 3 enero 2024 22:44

⋮

Vale ahora sí: infostealers.com/article/infostealer-inf…-disruptions

"ripeadmin" y sin 2FA, tocate los huevos…

✖

pepejil 3 enero 2024 23:33

⋮

Bocchi94 4 enero 2024 10:41

⋮

Aell6782 3 enero 2024 21:24

⋮

Supongo que Cibeles, pero tiene razón, empleado, credenciales y fallo por parte de Orange de no tener 2fact activado en ripe.

Eso (hackeo a empleado) o directamente ex-empleado de la contrata, en cualquier caso negligencia y factor humano.

Weikis 4 enero 2024 15:19

⋮

Pocos colegios están abiertos 3 de enero

Ahora empresas, estas si.que se ven afectadas. Instituciones criticas con necesidades de permanente conexión también

jod7 3 enero 2024 21:08

⋮

Yo con Orange ningún problema ni con la fibra ni con la red móvil. En fibra Jazztel tampoco.

License2Harm 3 enero 2024 21:17

⋮

Esta noticia trae a mi cabeza frases como:

"Lo barato sale caro"

"Para trabajar hay que contratar conexiones con las grandes telecos"

"Estas cosas no pasan en las telecos decentes"

Pero claro, los que dicen cosas de ese tipo lo considerarán un pequeño incidente aislado y sin importancia, mientras que si pasara en un OMV…(con todo el cariño, un saludo para el amigo @axnspain)

Dicho esto no he notado problemas en una línea Simyo que tengo.

✖

Aell6782 3 enero 2024 21:21

⋮

Es aislado en la medida que solo afecta a ciertos prefijos, pero no me imagino el revuelo y tormenta que habría durante días si un incidente similar le ocurre mañana a algún OMV…

Se tiende a pensar que por pagar x3 a una maria eso significa que estás a salvo de estas cosas, caídas puntuales, fallos en las rutas (hola Telefónica, un saludo) y otras muchas casuísticas posibles.

Nadie está a salvo de incidencias, aunque en ciertos casos si haya probabilidad mayor o menor de que te pase.

✖

License2Harm 3 enero 2024 21:28

⋮

Nadie está a salvo de incidencias, aunque en ciertos casos si haya probabilidad mayor o menor de que te pase.

Así es, aunque a partir de cierto nivel, las diferencias entre los niveles de riesgo son despreciables. Ejemplo: si mi conexión a Internet fuese critica para mi trabajo, consideraría más seguro contratar fibra con dos OMV de precios razonablemente bajos (que cuelguen de operadores distintos) que solo una conexión una de las grandes.

Sokiev 3 enero 2024 21:24

⋮

Pero sin entrar en flames, es que son cosas distintas.

Esto es un ataque perpetrado de forma pasiva a Orange. Si alguna contrata o trabajador ha sido irresponsable y se ha filtrado la info para que un tercero ataque, Orange como operador no tiene culpa directa (más allá de la responsabilidad en el ámbito de la gestión administrativa y control de la información, que no tiene relación directa a su labor como operador de teleco; puedes dar un buen servicio y ser un inútil manejando ficheros internamente).

Que Digi tenga a clientes perdiendo conexión intermitentemente en Jerez y Cádiz porque tienen más clientes de lo previsto y sus infraestructura no da de sí para toda la clientela que han aceptado, es ya una decisión propia y proactiva, no fruto de un tercero.

Desde mi punto de vista, no se pueden comparar.

Por otro lado, no entiendo las guerras de comentarios que a veces se ven por aquí, pareciese que algunos necesitan defender su elección de ISP y sino se enrrabietan, es increíble. No sé por qué solo pasa en teleco en todo caso, porque aún estoy por ver a gente que defienda a Iberdrola o a HolaLuz como los que por aquí defienden a Vodafone o a Digi.

✖

License2Harm 3 enero 2024 21:35

⋮

Esto es un ataque perpetrado de forma pasiva a Orange. Si alguna contrata o trabajador ha sido irresponsable y se ha filtrado la info para que un tercero ataque

Es responsabilidad de Orange igual que si le hubiese ocurrido a Digi sería totalmente responsabilidad suya. Los trabajadores son de la empresa y los protocolos a seguir también.

Que Digi tenga a clientes perdiendo conexión intermitentemente en Jerez y Cádiz

Esto obviamente tiene su importancia, igual que la tenía cuando Digi daba servicio a más clientes por NEBA y la saturación era algo más habitual. Sin embargo, fuera de esas zonas ese problema que comentas no existe. Siempre digo lo mismo, habiendo tantas opciones, con la mitad de problemas que reporta mucha gente yo ya habría cambiado a otro operador (sea el que sea). No tiene sentido estar aguantando un mal servicio, aunque sea solo localizado en una zona.

Por otro lado, no entiendo las guerras de comentarios que a veces se ven por aquí, pareciese que algunos necesitan defender su elección de ISP y sino se enrrabietan, es increíble

Así es BA (a veces). Si tu utilizas algo distinto a lo que algunos piensan que es lo correcto se lo toman como un insulto personal.

Aell6782 3 enero 2024 21:45

⋮

Estás obviando que han accedido por no existir autentificación de doble factor en ripe, cosa que es posible activar.

A partir de ahí puede ser una negligencia por parte de Orange de no tenerlo activo y que hayan hackeado a un empleado (directo o de subcontrata lo que se ha dicho de Siemens Rumanía)

O que además de eso, sea otra negligencia, ex-empleado encabronado al que no le han retirado los accesos luego de abandonar la empresa.

A partir de ahí, si, puedo comprarte algún que otro argumento de tu mensaje.

Sobre defender a Vodafone o a Digi, es válido para cualquier operador.

Puedo darte mis argumentos y son la forma de operar y experiencia propia con ellos, junto con criterios en mi caso morales, de valores y principios, pero es cuestión mia y no suelo entrar en discusiones si vienes a decir que la empresa que sea te funciona mal, es tu experiencia y puedes expresarte como gustes mientras sea de forma adecuada.

CuloDePez 4 enero 2024 00:28

⋮

Son cosas diferentes comparadas con una sobrecarga de clientes, por supuesto. Pero es que hay gente que presume de calidad mariana que cuando esto le pasa a otro tipo de empresa dice "Esto con X no ocurriría jamás". Y hoy se ha visto que sí, tampoco pasa nada por recordarlo.

apocalypse 3 enero 2024 21:22

⋮

Increíble. Y a juzgar por los comentarios, nadie le da la importancia que tiene ni ve el riesgo que esto supone. Solo preocupados porque no funciona Netflix… en fin.

Y si le hubiese pasado a Vodafone o a una lowcost como Digi, todos estarían criticando (aunque desde el desconocimiento también).

✖

lhacc 4 enero 2024 01:22

⋮

En la era del ssl, el riesgo es prácticamente nulo.

pjpmosteiro 3 enero 2024 22:29

⋮

Hay que joderse! En serio han podido tomar el control de semejante forma? Tanto 2FA y Microsoft authenticator en las conexiones VPN para esto?

Madre de dios… Dejaros de ostias con lo de si "barato pero X" y demás, han tomado el control del tráfico de un operador nacional, no es ninguna broma. Es algo inaudito.

✖

pjpmosteiro 4 enero 2024 19:48

⋮

Y han tenido la puta suerte de su vida que fuese un white hat que lo reportó inmediatamente, que llega a ser uno con mala leche y la arma bien armada.

mesi 4 enero 2024 11:37

⋮

Muy grave lo que pasó ayer… yo ya tengo un par de cliente mas que se van de Orange.

Barrendero 4 enero 2024 13:16

⋮

Yo tengo Simyo y sigo con problemas. Las webs si funcionan bien, pero varios servicios que conectan por puertos específicos no funcionan. Ejemplo: VPN o SSH.

He reiniciado y solo me funciona con tether. En Soporte Técnico dicen que conocen esto y que lo van a solventar, con lo que han hecho ayer no es más que un parche para que funcione lo más utilizado.

✖

Agron2k08 4 enero 2024 13:37

⋮

Donde trabajo tenemos unos cuantos Zyxel LTE

3301 con IPs fijas (Orange) y estamos igual, en cuanto los ponemos a trabajar con el rango fijo navegas en ciertas webs y en otras no. Si los cambiamos de APN y no usamos la IP fija, se navega bien. Suerte que solo son 4 conexiones de backup y una de pruebas…

✖

mesi 4 enero 2024 14:22

⋮

Algún problema mas tienen que no sabemos, yo hace un momento me he quedado de nuevo sin servicio, en cambio la TV y el tlf fijo seguía funcionando sin problemas. Ahora ha vuelto y parece que va todo normal.

Ranita 4 enero 2024 13:58

⋮

Yo tengo Simyo y sobre las 16:30 se me fué, me resultó raro , reinicié el router y nada… pensé… cosa de la DNS de Adguard? voy a desactivarlo … nada… pensé pues se ha debido de caer la red y así fué, me marché al rato y al volver por la noche ya funcionaba y hasta ahora sin problema.

Barrendero 5 enero 2024 09:23

⋮

Vaya agonía, sigue sin funcionar bien Orange. Algunas páginas van mal, el correo no va, VPN no va, SSH no va, acceso a una maquina con unos puertos especificos no van, steam no va.

Todo va por tether. Reinicio no soluciona y la IP empieza con el rango 90.77x

✖

Agron2k08 5 enero 2024 13:13

⋮

Los rangos 90.77.XX y 92.54.XX parece que siguen con problemas, en el trabajo siguen sin funcionar bien nuestros LTE3301 con IPs fijas de esos rangos. Puedes entrar a Google.com pero no a Google.es por ejemplo.

kaleth 5 enero 2024 16:02

⋮

Acabo de leer la actualización del asunto. Esto es de chiste.

Cualquier sitio en internet: tu contraseña debe tener mayúsculas, minúsculas, números, símbolos y un pasaje del Cantar del Mío Cid para ser válida.

Orange en su infraestructura crítica: RIPEADMIN.

✖

superllo 5 enero 2024 18:54

⋮

¡MIENTES!… la han puesto en minúscula…

Drak 5 enero 2024 16:06

⋮

La verdad es que no me sorprende que en Orange hayan utilizado una contraseña asi para proteger una cuenta suya, a los usuarios nos impide usar símbolos en las contraseñas de acceso a nuestro area de cliente… La doble verificación ni esta ni se le espera… La seguridad no es algo que sea primordial para Orange xD