Las quejas de los afectados en redes sociales, que comenzaron a reportar incidencias pasadas las tres de la tarde, alcanzando el pico de fallos sobre las cinco y media, no tardaron en hacerse notar.
Pero el ciberataque en cuestión no se había producido en ese momento, sino varias horas antes. La noche anterior, un atacante accedió a la cuenta RIPE (Centro de coordinación de redes IP) de Orange e hizo varias modificaciones, que se fueron propagando por la red y ocasionaron los problemas. Los internautas afectados descubrían que aunque podían por ejemplo utilizar Google y acceder a Twitter, no podían hacer lo mismo con Mastodon, ni abrir prácticamente ninguna página web porque se rechazaba su conexión.
Debido a los mensajes de error, muchos pensaron en un principio que el fallo se debía a un problema con las DNS de Orange, pero no era así. El ataque había secuestrado la cuenta de usuario que tiene Orange España en RIPE. Este es un organismo para Europa, de carácter regional, que se ocupa de la asignación de direcciones IP a los proveedores de Internet.
Según apuntan desde Bandaancha, cada operadora registra en la base de datos de este organismo la información necesaria para que los rangos de direcciones IP que usan estén anunciados correctamente, de manera que el tráfico pueda dirigirse sin problemas a su destino.
Lo que hizo el atacante, que abrió una cuenta en Twitter identificándose como Ms_Snow_Ono, horas antes de que empezasen a notarse los efectos de su ataque, informando del mismo. En el tuit se incluían varias capturas de la interfaz de RIPE de Orange, con algunos de los prefijos afectados.
Para llevar a cabo el ataque, el usuario revisó los detalles de la cuenta RIPE de Orange y, a partir de sus detalles, hizo cambios en su configuración destinados a romper su enrutado BGP, que viene a ser el enrutado que se establece entre dos redes que dice a la red de la que viene el tráfico hacia dónde tiene que dirigirlo. Estos cambios hicieron que las redes destino del tráfico de Orange no reconociesen a Orange como fiable, lo que rechazaba su tráfico, y este quedaba encerrado en la red de la operadora, sin poder salir de ella.
Cada uno de estos objetos tiene asociado una especie de certificado digital que lo identifica, pero en este caso, el introducido por el ciberatacante en los objetos nuevos no era válido. Como consecuencia, el resto de redes ajenas a Orange y sus filiales, como Simyo o Jazztel, también afectadas, rechazaban intercambiar el tráfico con el ASN de Orange afectado, el 12470. De esta manera, la red de Orange quedaba desconectada del resto.
Entre las seis y media y las siete de la tarde, los clientes comenzaron a recuperar el uso normal de su conexión, y a las 19:00 horas, Orange publicaba un mensaje en redes sociales asegurando que el problema ya estaba resuelto para algunos clientes, y que esperaban solucionarlo por completo en breve.
La operadora también aseguraba, por si había dudas, que los datos de los usuarios no habían quedado comprometidos, y que el incidente solo ha conseguido a afectar a algunos servicios. Esto se debe a que quien realizó el ataque solo ha hecho algunos cambios, ya que si hubiese modificado todas los objetos ROA que usa Orange para intercambiar su tráfico con otras redes, la interrupción del servicio para sus usuarios habría sido completa.
La operadora también reconoció que el problema se había originado debido a que su cuenta RIPE había sufrido un acceso indebido que había afectado la navegación. Al parecer, según el experto en ciberseguridad Kevin Beaumont, el ataque fue posible debido a que alguien robó las credenciales de acceso de un empleado a la cuenta RIPE. Credenciales que tenían una contraseña no excesivamente segura. Al parecer, la cuenta cuyos datos de acceso habían sido comprometidos estaba expuesta desde el pasado mes de agosto, cuando quien se hizo con la información la obtuvo.
Otro de los factores que llevaron a que el ciberatacante pudiese realizar el hackeo es que la autenticación en dos pasos de la cuenta RIPE de Orange estaba desactivada. No es obligatoria en este servicio, y tampoco está activada por defecto al abrir una cuenta nueva.
Tampoco hay establecida ninguna política de contraseña segura en RIPE, y los que tienen una cuenta en el servicio pueden utilizar la que quieran. Sin duda, un problema de seguridad que tendrían que revisar, puesto que ya hemos visto que solo un usuario con acceso a una consiguió bloquear aproximadamente la mitad del tráfico de una de las principales operadoras españolas durante varias horas.