El 3 de enero, usuarios de Orange en España reportaron problemas de Internet que duraron al menos 4 horas. Los más atentos sospechaban de problemas con los DNS de la compañía. Sin embargo, la sorpresa llegó cuando la cuenta de Twitter Ms_Snow_OwO reveló que había “arreglado” la seguridad de la cuenta de administrador de RIPE, la organización europea que maneja aspectos técnicos y administrativos de Internet en Europa.
RIPE gestiona el enrutamiento entre Sistemas Autónomos (ASNs) utilizando el protocolo BGP. Este protocolo, vulnerable a ataques de suplantación, llevó a la introducción de RPKI para garantizar la autenticidad de los recursos de Internet. Curiosamente, el problema de Orange no fue un ataque BGP, sino que Ms_Snow_OwO obtuvo acceso a la cuenta de administrador de RIPE utilizando la contraseña robada “ripeadmin”, aparentemente obtenida durante una infección con el malware Racoon en septiembre.
Además de la débil contraseña, el atacante reveló en un video que la plataforma de RIPE no tenía habilitada la autenticación de doble factor. Con acceso a la cuenta, Ms_Snow_OwO cambió direcciones IP y activó RPKI en los prefijos correspondientes, causando los problemas de Internet informados por los usuarios de Orange a lo largo de la tarde.
