Aproximadamente la mitad de los usuarios de Orange España y todas las operadoras virtuales que tienen contratado el acceso a Internet a través de esta compañía se quedaron ayer sin acceso a Internet por un incidente de esos que te dejan ojiplático.
Seguramente no sabrás, pero ya te lo cuento yo, qué existe un organismo que es llamado RIPE que es el encargado de distribuir los bloques de direcciones IP a nivel global para que todo el tráfico de Internet sea coherente. RIPE entrega direcciones por bloques a compañías telefónicas, organismos públicos y militares o asigna bloques de direcciones IP para determinados servicios, como el famoso 192.168.1.1 que dirige a tu propio dispositivo.
Los las compañías telefónicas tienen un departamento con algunos empleados encargados de administrar esos bloques de direcciones y de repartirlos a su vez entre los clientes de la compañía.
Uno de estos empleados ha resultado no ser especialmente cuidadoso con su ordenador ni con las contraseñas que usa para una tarea tan importante. Por lo visto tenía el ordenador infectado con un malware llamado Racoon (mapache) que roba las contraseñas de los dispositivos donde consigue instalarse. Lo llamativo del asunto es que uno se esperaría que la contraseña de tan importante servicio en una compañía telefónica estuviese lleno de caracteres especiales, mayúsculas, minúsculas y números pero ha resultado ser “ripeadmin”.
El hacker que controlaba el troyano se ha hecho con la contraseña de Orange para gestionar sus direcciones IP y les ha hecho un destrozo, dejando a la mitad de los clientes de la compañía desconectados. Luego va el tío, con un par, y lo publica en Twitter.
Después vienen las compañías de todo tipo a decirte que uses contraseñas de 13 caracteres que no las repitas, que utilicen mayúsculas, minúsculas, números y caracteres especiales a más no poder o te ofrecen contraseñas de 20 caracteres llenas de paréntesis y cosas raras imposibles de recordar pero resulta que todo el servicio está en manos de un individuo que elige una una contraseña de nueve caracteres en minúsculas que especifica a qué servicio va dedicado y con qué rol se accede al servicio.
Me imagino que en la empresa a este señor, que no sé quién es ni me importa, lo han despedido ya o lo despedirán pronto porque cuesta trabajo creerse que se pueda manejar con tanta indolencia un servicio clave de ese nivel.
También hay que tener en cuenta que a Orange no le va a pasar nada ni se arriesga a recibir ninguna sanción porque no existe regulación para este tipo de hechos y simplemente sus clientes habrán pasado una tarde irritados y alguno habrá decidido pasarse a la competencia pero ahí acaba todo para la compañía.
