¿Cómo dejas sin Internet a millones de personas? Explicamos el caso RIPE - Orange

A principios de enero alguien consiguió acceder al panel de control de RIPE de Orange, fastidiando las conexiones de Internet por fibra de millones de sus clientes en España.

Explicamos cómo fue el ataque, y analizamos las múltiples capas y tecnologías afectadas. Un caso muy curioso del que salimos con una conclusión relativamente esperanzadora: ha sido un tropiezo que hará mucho más seguro el trabajo de los operadores en el futuro.

ENLACES

• @Ms_Snow_OwO, la supuesta atacante
• @Ms_Snow_OwO: "For those wondering how i acquired access to the account in the first place, let me just say that the password security was very questionable. I was just looking into public leaks of bot data and came across the ripe account with the password "ripeadmin" and no 2FA, No SE at all"
• RIPE NCC - Wikipedia
• Registro Regional de Internet
• RIPE toma medidas para que no se repita el desastre de Orange
• RIPE NCC Access: Security Breach Investigation
• Digging into the Orange España Hack
• Análisis incidencia Orange en Tecnocrática
• Registro Regional de Internet - Wikipedia
• AS12479 Orange Espagne SA details - IPinfo.io
• Así es como un solo hacker tumbó a Orange y logró dejar sin Internet a media España
• Blog elhacker.NET: Hackean la cuenta de RIPE de Orange España con la contraseña ripeadmin
• El hackeo a Orange es también un recordatorio: es importante activar la verificación de doble factor incluso en RIPE NCC

Don Tomás es un programa está presentado por Ramón Medrano (SRE de Google en Zurich) y Álex Barredo (creador de mixx.io)

En cada episodio explican con detalle los protocolos, estándares, plataformas y programas que hacen funcionar al mundo.

Para suscribirte y escuchar más episodios, visita https://cuonda.com/don-tomas

---

Síguenos en https://ublog.tech/@r y https://mastodon.social/@barredo 

Puedes contactar por correo en alex@barredo.es o m3drano@gmail.com 

Bienvenidos a un nuevo episodio de Don Tomás, el podcast en el que hablamos de descentralización, esta palabra que tanto nos gusta. Mi nombre es Álex Barredo, como estamos en Don Tomás, me puede llamar Don Alejandro y conmigo me acompaña, como siempre, desde el centro de Europa, Desde Furik, Ramón Medrano, alias Don Ramón, ¿qué tal estás?

Don Ramón, sí, sí, muy bien, muy bien, ya pasamos el año, feliz año a todos los oyentes.

Eso es. Y bueno, este podcast es de descentralización, y hablamos de cosas un poco más actuales, un poco menos los últimos episodios también hemos comentado, y os han gustado mucho todos estos estas clases, ¿no? De universidad, de un PHD, HD, ¿no? Que se dice que os ha dado Ramón sobre cómo funciona Internet, del que quedan muchas cosas que contar, pero, o sea, seguro que os ha servido para Presumir en Nochevieja, ¿no? Delante de vuestros familiares, oye, ¿tú sabías lo que es el RPK ahí?

Pues no, mira, estás equivocado.

Es una conversación de cuñados Clásica de noche muerta.

Bueno, y hablando de cuñados, hoy tenemos un poco un tema de actualidad, porque Por petición popular vamos a hablar de un desastre que algunos lo habréis sufrido en vuestras propias carnes Cibernéticas y otros, al menos la habréis visto en las noticias. Os comento rápidamente lo que los titulares de hace Un par de semanas, hace unos días que decían, secuestran la cuenta RIPE, o RIPE, R IPE, de Orange España desconectando sus direcciones IPs tras la infección del ordenador de un empleado, titular de banda ancha. Cuéntame, Ramón, ¿qué pasó? O sea, ¿qué es esto de que ripé y no sé qué, que han hackeado a uno, y de repente, pues, millones de personas sin poder navegar?

Sí, así fue, o sea, nos despertábamos el pasado, fue a principios de año, fue me pasé el día tres de enero, entonces empezaron a haber reportes de que Orange estaba caído, ¿No? Una gran proporción del del tráfico era la parte de de fibra, o sea, no fue el operador móvil, si no me equivoco. Entonces, bueno, cuando empezó a caerse, cuando estaba sin disponibilidad para los usuarios empezaron a especular, ¿no? Que había pasado, tal, no sé qué. Entonces, bueno, Lo que ocurrió fue que, mediante un ataque, como tú decías, a uno de los ordenadores de uno de los empleados, uno de los ordenadores digamos, de uno de los empleados, pudieran obtener las credenciales para una un servicio que se llama Rippe.

Bueno, ¿y por qué Ripple es tan importante que te tira una operadora

abajo? Eso es, que es lo que tiene ahí ese ese Acceso, no solo ese empleado de Orange, o ese ejecutivo, quien sea, ¿no? Que imagino que lo tendrán varios, ese panel de administración, pues no es el típico en el que ven Nuestras facturas ni no sé qué, es algo técnico, cuéntame.

Bueno, Rippe, habíamos hablado en los exámenes anteriores de de la cómo funciona BGP y cómo se asignaban los diferentes rangos de direcciones IP a los diferentes operadores, es decir, tú, al fin y al cabo, vas a tener que tener una asignación de rangos de direcciones IP A sistemas autónomos, que es como se identifican los operadores para el el en ruta, ¿no? Entonces, gripe es el registrar, ¿no? De direcciones IP europea. Hay tres tres tipos de registra, está el global, ¿no? Que sería el el el IKAN, y luego tienes registradores, registradores, Será registradores regionales, solo en los reers.

Entonces, hay, básicamente, uno por cada continente. Rip es el de Europa, tiene Sarín, que es el de de América, me parece, tienes el Affinic De África, ACNIK,

que es

el de Asia Pacífico, y el de Latinoamérica. Entonces, esta gente lo que tienen es, en estos cinco registros regionales se coordinan para repartirse el rango de direcciones IPs, y estos rangos luego lo que hacen es, básicamente, los venden, o los alquilan, más bien, ¿no? Entonces, es un sistema jerárquico, entonces, luego, claro, por ejemplo, el Ripé no puede estar asignando rangos de direcciones pequeños a todo el mundo en Europa, porque sería mucho, entonces, luego hay registradores Serían, más o menos, por nivel de país, en ciertos casos, y luego lo que se tiene son los LEAR, que es el local Internet Register, ¿no? Entonces, tú cuando eres un operador de Internet, normalmente eres un Lyr, y lo que atiendes es a Rippe, le dices, yo necesito tantas direcciones de IP, te asigno una serie de rangos, Normalmente consecutivos, pero bueno, pueden ser bloques, y tú como Lyr los gestionas. Puedes bien revenderlos, por ejemplo, hay empresas que se dedican a revender direcciones, Por ejemplo, tú pides tu dirección IP personal, pues vas a un lead, se la compras, hay un acuerdo de de pago, ¿no?

Ellos te venden por lo que por lo que fuera, a otros la alquilan por no sé cuánto tiempo y tal y Los ISPs grandes, normalmente, son un lir de por sí. Por ejemplo, Orange en España, Vodafone a nivel europeo, Telefónica, Vodós, entonces estas una gran cantidad de clientes, entonces, al final, lo que tienen son las direcciones, las tienen asignadas a sí mismos, y tienen un montón de bloques. Claro, Orange puede tener, a lo mejor, unos cuantos millones de clientes, por ejemplo, ya solo en España, pero también tienen en Francia, Polonia, tal, ¿no? ¿Cómo gestionas esto? Bueno, pues Con tus credenciales en el panel de control de Rippe, que fue lo que se lo que se accedió indebidamente, ¿no?

Se accedieron, me parece que fue un corporativo y demás, que tenían las credenciales allí, entonces, alguien extrajo los los credenciales y pudo acceder a ese panel de control, que es donde Orange asignaba Sus bloques de direcciones que tienen comprados a a Rippe a los diferentes sistemas autónomos, a los diferentes números de sistemas autónomos que ellos tenían. No sé exactamente cómo lo tienen montado, si era uno por país, uno por lo que fuera, pero bueno, al final el atacante lo que dijo es como, muy bien, como tengo acceso a esta asignación, voy a asignar Determinados bloques de direcciones y test a mi sistema autónomo. Era una persona que tenía un sistema autónomo registrado con con el ICAN y con el Rippe, Y simplemente cambió la asignación. Entonces, los bloques de direcciones que estaban asignados a determinados clientes en España en su red de fibra, por ejemplo, En vez de estar en el ASN con el número, pero bueno, el dieciséis mil no sé cuántos es el de el neorange, lo cambiaron a otro, Lo cambiaron al a SN cuarenta y nueve mil quinientos ochenta y uno, que es el de otra persona que no sabemos. Entonces, en principio, esas direcciones IP Solo deberían de estar finquicadas, solo deberían de estar las las las rutas publicadas para llegar a la SN nuevo del del atacante.

Ajá.

¿Qué pasaba? Nosotros hablamos el otro día también del ARP Guy, y cómo puedes desviar tráfico de un sitio a otro. De principio, si tú tienes un ASN, En el caso del atacante malicioso, que es desviar el tráfico, lo tienes muy fácil si tienes acceso a la cuenta de Reaper. Lo cambias, Empiezas ahora tú a anunciar esas direcciones IP en tus routers de de borde, y, en principio, todo ese tráfico, naturalmente, vendrá hacia ti. Las rutas se van a restablecer, los rutas intermedios, y tú cuando te conectas a la dirección IP, la que sea, ciento noventa y nueve Cuarenta treinta y cuatro, vas a la SN que está suplantando a Orange, en este caso.

Con lo cual, un montón de clientes domésticos, clientes empresariales de Orange, que tuvieran Esta fibra contratada pedían acceso, ¿no? Sus paquetes, decían oye, quiero ir a la dirección IP tal, o les tenían volver a llegar ahí, y no llegaban porque iban destinados a otro sistema autónomo, otro a ese, ¿no?

Bueno, en este caso, los clientes, al ser clientes domésticos, Tiene una definición que les daba a los servidores de de HCP, por ejemplo, o PPP que tengan de de de Orange. El caso es que todos estos bloques de direcciones, o todas estas instalaciones que tenían de fibra doméstica y demás, estaban cortadas del Internet, en términos prácticos. Que todo el tráfico de esa dirección IP iría para el otro ASN, Nunca llegaría a tu casa, por ejemplo, tú tienes tu Life Box o como se llame ahora en tiempos modernos, la el router de Orange, que tiene una dirección IP, tienes asignada, pero no no no hay forma de enrutarte el tráfico a tu dirección. Es un poco más complicado, porque Orange me parece que usa Carrie Great Nut, entonces, bueno, realmente lo Estaban aislando son los servidores que tienen el NAT y todas estas cosas, pero bueno, en términos prácticos es lo mismo. Lo que se detectó es que no es que las rutas estuvieran Cambiando, lo que se intentó es que las rutas eran o las las ofertas, digamos, de de enrutado del del de estos prefijos eran inválidas.

Y eran inválidas, porque Orange tenía habilitado el el RPK ahí, entonces, tú cuando publicas, tú vas a Rippe y dices, yo soy propietario de todos estos Segmentos, otros prefijos de dirección IP, y están asignadas a este sistema autónomo, lo firmas digitalmente. Sí. Esos certificados que tú a ti te te han te han dado, tú lo firmas ¿Qué pasó? Este cambio de ASN que hizo el el atacante, no consiguieron acceder a los certificados, por suerte, entonces, bueno, todas las ofertas que estaban haciendo eran simplemente inválidas, los Las todos los, digamos, los piers de Orange, en ese momento, que estarían recibiendo ofertas nuevas para lo, o anuncios más que ofertas para los Para Nueva SN, pues estarían detectando que eso era inválido y la rechazan todas esas sesiones y dentro del rechazo y él se filtra.

O sea, salvados un poco por el RIPK, que justo explicabas tú como de la hace un par de episodios, fantástico.

Claro, en este caso lo tenían habilitado, hay muchos otros operadores que no.

Eso es. Estoy viendo porque El, yo creo que los han sido los propios atacantes los que han publicado un montón de datos, porque esto ha sido muy jugoso, para la prensa técnica mundial, sobre todo la prensa de ciberseguridad, este tipo de cosas, pues no ocurren todos los años, diría yo, iba a decir todos los días, pero ni todos los años, ¿no? Entonces, mucho investigador de todos los países, tanto de Europa, Norteamérica, Latinoamérica, etcétera, se ha hecho eco de esa noticia, Y teníamos hasta pantallazos del acceso a a este rippe, a este ripe. No sé si esto es cierto, pero ponían el el las credenciales de acceso eran Admin ripe, guión no sé qué, arroba orange punto es, y la contraseña ripe admin.

No sé, eso

Sin ningún tipo de doble factor ni nada, Es decir

Entonces, Ripe, pues de este ataque, sí que hizo algunos cambios en un poco la la cómo autentifica A los usuarios, porque a los usuarios que tienen Ripper hay que darse cuenta que esto no es Gmail, que tienes miles de millones, lo que tienes al fin y al cabo son PSPs, O compañías que se dedican a centros de datos,

o a

al sitio de Internet y demás, entonces son una serie de clientes que es muy especializados, Cuentas,

Sí, vamos a decir cientos de usuarios, que no hay más, es decir, no creo que sea una cosa loca como dices tú.

Y y luego, Anason, a ver, son operadores de red, vamos que no es, Tú tu abuela registra todo, ¿sabes? Una ASN, ¿no? Qué bueno, podría ser, hay abuelas a lo mejor que tienen ASN, pero

No, hay abuelas mucho más tecnológicas yo sin ninguna duda, eso ya te lo digo yo, pero me está dando todo esto que está comentando Ramón y todos estos pantallazos que hacemos referencia, sabes que lo tenéis en las notas del episodio todos. En Don Tomás no hacemos muchas cosas bien, bueno, la verdad que bastantes cosas bien, pero los enlaces y las notas del episodio y la documentación y la Bibliografía y todo.

Eso sí.

Eso no os podéis quejar, Que sé que hay veces hablamos de cosas muy raras o de siglas un poco recónditas, ¿vale? Todo eso lo tenéis ahí. Y veo que él era el AS uno dos cuatro siete nueve.

Sí, sí, sí.

El origen con, según veo aquí, en una página de estas en en las que Aglutinan esta información siete millones de direcciones IP de versión cuatro.

Sí, bueno, a ver, para un operador de tamaño tan grande Como oranches, es normal. Otra cosa que podría haber pasado también, es lo siguiente, que es el atacante podría haber dicho, yo voy a habilitar el RPK ahí Con mis certificados, ¿vale? Tú imagínate el hipotético caso que tú tienes acceso a RIVE o a ARIN o lo que sea, ¿no? Un registro local o regional del del del operador que tú has ganado acceso, Entras, lo tiene todo bien confiado, pero no tiene RPK ahí. ¿Qué puedes hacer?

Decir, fantástico. Coges, cambias el ASN, lo firmas con tu certificado.

Sí, ostras.

Y claro, esas Esos anuncios pasan a ser válidos, porque están correctamente firmados. Entonces, todos esos anuncios que que estás haciendo, El atacante o el la SN Malicioso, al estar firmados, son correctos, podrían funcionar, el tráfico Se desviaría a la SN que de turno, si lo anuncian bien, ¿y cuál es el problema? ¿Cómo deshabilitas eso? ¿Sabes? Pues tendrías que

Eso es lo que estoy apuntándome ahora para que no se me olvide preguntarte, ¿esto cómo se soluciona este fregado tan grande?

Eso es más complicado, porque, claro, date cuenta que estás en la solución Sería, o bien, cambias a las firmas correctas de de la SN satisfactorio,

lo cual

lleva un tiempo de propagación. Una de las cosas que pasó con este incidente es que, en cinco minutos, tú puedes cambiar la página de Reaper y no pasa nada, pero claro, tiene un tiempo de propagación y un tiempo de de para Para volver a encontrar estabilidad, ¿no? El problema es que si lo haces de otra forma, claro, tienes que, o bien desactivar el RPK ahí, Lo cual te va a dar problemas, porque va a haber ISN, es que eso lo se considera sospechoso cuando pasas de tener las las las anuncios firmados A a no tenerlos, es como, ¿sabes? Es una bajada de seguridad así, sin sin sin nada, ¿no? O tienes que cambiar de certificado, lo cual también es un poco problemático.

Entonces, esta es una de las cosas que hay que tener cuidado, porque una vez estableces criptografía para todas estas Estas cuestiones, tienes que tener alguna gestión de las claves, de la rotación de los certificados, etcétera, etcétera, etcétera. No, en este caso, este no fue el problema, me parece que Fue un incidente como de una hora y media, o algo así.

Sí, estoy viendo que hasta que se recuperó y tal, Dice unas tres horas, aproximadamente, pero claro, en los diferentes gráficos de de esta evolución, ¿no? Del rendimiento de este AS, Se ve como luego un subidón posterior, que es lo que has comentado tú en algunas ocasiones, de decir, vale, restablecemos el servicio pero va a haber Un montón de atasco de gente o de ordenadores máquinas intentando llegar a donde antes no podían llegar.

Sí, es complicado también la otra cuestión, que es durante la recuperación tienes que esperar a la propagación natural de los de los anuncios. Entonces, el, aunque aunque lo soluciones en cinco minutos, eso va a llevar un rato de de propagar. Es más rápido de lo que parece, es decir, yo creo que en alrededor de una media hora o Sí, los tienes eliminados los anuncios inválidos, en el caso de de de esta instancia que tuvo Ranch, fue más así de rápido, no no hubo no hubo mayor problema. La la otra cuestión es, se hablaba mucho también de que si les han secuestrado la red, si era un ransomware, si era tal, Fue mucho más mundano de lo que parecía, simplemente fue una desfiltración de de credenciales, que es una cosa que está cogiendo mucho auge muy común. Seguramente, lo que pasó, esto ya especulo, es Lo que se instaló fue un malware en el ordenador que se se accedió, que extrae cookies o que extrae credenciales, O que está ahí los gestores de contraseñas del de, pues, que tú utilices, el OneDashward, el de Chrome, lo que sea, la contabilidad que existe.

Entonces, una vez tienes el malware en el en el ordenador, lo que hace es extraer esos credenciales específicamente, entonces, hay que tener cuidado, por si un segundo factor, por ejemplo, en este caso, sí que hubiera ayudado.

Estoy mirando el perfil del de de la hacker que aparentemente comentó todo esto, porque bueno, misssnow ou En Twitter estuve comentándolo casi en directo, de hecho acaba de tuitear ahora hace diez minutos, justo cuando empezábamos a grabar, a lo mejor estamos ahora mismo tú y yo Aros también está escuchando la conversación en directo, y comentaba cómo había accedido, es decir, al menos daba, no sabemos si está mintiendo o no, pero decía, dice, estaba viendo filtraciones de password de estas de gigas y gigas de por ahí, y de repente vio algo que ponía Rippe con la clave rip admin, y haría pruebas de estas automatizadas de de lo que fuese, sin doble factor ni nada, Y ahí se puso a allá está, o sea, es decir, es una locura absoluta lo sencillo que ha sido en principio, ¿no? Para alguien que simplemente le dio por mirar en un sitio donde estaban los datos. Es decir, una cosa es que se me filtren a mí una contraseña de cuando tenía dieciséis años, ¿no? Que era el nombre de mi perro, y otra cosa es

En retrospectiva siempre siempre es fácil, es decir, qué fácil ha sido, ¿no? El tal. Efectivamente, aquí Orange, yo no tengo duda que tienen prácticas Buenas de seguridad, o sea, que no no es para decir que Orange es un truño, ¿no? Simplemente, pues, hubo eslabón concreto Que que les falló, ¿no? Y sí es verdad que también hay que mirar a a Reiter por el otro lado, ¿no?

El el Un servicio como tan crítico para la infraestructura de Internet en Europa, por ejemplo, creo que el segundo factor debería ser obligatorio por su parte.

Efectivamente, como decías tú, ¿no? El cinco de enero ya lo hicieron obligatorio, tarde o tarde. Claro, bueno, a

ver, al final, muchas veces, pues encuentras que tienes que saberse ciertas políticas Ah, la palabra posteriori, ¿no?

Todos aprendemos a palos, es algo, es la condición humana, etcétera. Pero yo no soy cliente de Orange ahora, sí, lo fui en el pasado, Pero si yo estoy tres o cuatro horas sin Internet, bueno, pues Hombre,

a ver, yo ya estaba aquí enfadado a nivel de usuarios domésticos, pues vamos a tener menos impacto, pero usuarios empresariales y demás, pues, es más complicado. Orange, sí es verdad que tenía una serie de de situaciones que Es que estaban bien ejecutadas, bueno, yo sí tenía una propiedad, y no en todas las no en todos los anuncios, pero tienen, la verdad es que tienen una cantidad de prefijos enorme, como un usuario, un SP, digamos, tan global, Es normal, pero sí que sí que lo tenían, sí que estaban en el proceso de acabar el roll out a todos los prefijos para tenerlos todos firmados. Otra conclusión que hay que sacar es que, en este caso, el RPTI fue lo que nos permitió detectar que esos prefijos estaban manipulados y se podían filtrar. Una cosa que, desde luego, ayudó a que el problema no hubiera sido mayor, ¿no? Rojos su tráfico, etcétera, eso sí, ¿no?

Entonces, desde esa parte, bien.

Sí, a a ver, La conclusión en retrospectiva de este post mortem, que no sé si Orange ha publicado o tienen la la tradición, los grandes operadores, al final es uno de los tres, cuatro grandes operadores europeos o Guns, ¿no? De publicar un post mortem, un análisis técnico de qué es lo que ha ocurrido, imagino que a nivel interno, pues, habrá habido sus sus reportes, etcétera, pero quizás sí pudiera haber alguna explicación, no quizás ahora, pero sí quizás en una conferencia, en alguna especie de simposio, alguna interna, que pudiéramos, a nivel público, ver y dilucidar y tener más datos. Pero mi sensación construida encima de la tuya es que tenían noventa y nueve por ciento de cosas bien y una mal, y lamentablemente, como suele decir un refrán, solo necesitas ese eslabón débil para que todo se rompa, Y es la pena de lo que son los equipos azules, ¿no? De esta defensa, que es tan grande, unos factores de ataque tan gigantes, o sea, puede ir desde una vulnerabilidad en los routers que le has comprado a tu proveedor y que estás ofreciendo a tus clientes hacia esto.

Sí, es que parece sencillo, porque tú cuando te das de alta en un operador como Orange, digamos, ¿no? Ya que estamos hablando de ellos, pero esto es igual para todos, o sea, Movistar, Vodafone, o sea, todos los operadores que tienen Su propia red de fibra, por ejemplo, van a ser iguales en toda pila casi parecidos. Es decir, Telefónica mantiene sus claves de gripe también, etcétera, etcétera, ¿no?

Sí, sí.

Pero, claro, es que tú dices, esto es un fractal de complejidad, luego dices, pues el siguiente cosa es, en todos los routers que tú estás distribuyendo a los clientes, hay un firmware también, que Tiene un kernel, que tiene algún rollo, se ve muy fácil, porque tú te llega, lo enchufas, y ya está, y

Es, o sea, son tantos Puntos, no sé, infinitos, no sé si podría considerarte irse infinitos, ¿no? Vamos a un al necesitaríamos invitar a un a un matemático, a un filósofo, al programa para, una de las grandes discusiones a nivel de desarrollo de software, etcétera, pero sí que serían probablemente millones, millones de puntos de ataque. También te digo, Quizás, los empleados ejecutivos de Deutsche y de operador no sé qué noruego, cambiando sus contraseñas del Sus contraseñas del ripé esa misma tarde, que porque también era ripé admin.

Sí, a ver, después del incidente, ocurrieron dos cosas, Que sí que publicaron, o sea, bueno, publicaron Orange, me parece, no la ha publicado directamente, pero se ve en sus anuncios, ¿no? Lo primero es que Rippe, o sea, me parece que el mismo día o el día después Dice que el multifactor es obligatorio para todo el mundo, como es natural en este caso. Hicieron también una revisión un poco de sus prácticas y demás, aunque no han publicado nada, probablemente no han publicado nada Probablemente, no he notado nada determinante. Y luego, Orange sí que ha hecho un poco de cleanup en las anuncios que tiene. Entonces, tenía un montón de montón montón de rutas, perdón, montón de prefijos que los ha hecho ReFactor, expandido el Respecto ahí a la práctica totalidad de las de los anuncios, en este caso.

Ahora sí que filtran, por ejemplo, sí que lo lo han rematado, Y, en principio, pues yo coincido contigo que que sí que sería bueno ver un una en una conferencia de redes y demás que que mostraran un poco lo que hicieron, lo que pasó, ¿no? ¿Y y cómo funciona tanto? Porque es superinteresante, desde el punto de vista interno, ¿no? Cómo fue la respuesta al incidente. Pues supongo que ahí tendrían ingenieros que estarían un call, ¿no?

De repente es como, Oye, que tenemos aquí, yo que sé, un veinte por ciento de nuestro tráfico están anuncios y válidos, ¿no? Que que tal. Coincidió también, tuvieron suerte que coincidió El tres de enero, que más o menos, menos, es medio fiesta todavía y tal.

Sí, menos tráfico a nivel laboral, Porque esto fue lo solo fue en España, ¿no? Con lo cual podemos considerar que hay poco tráfico, sí, vamos, no sé si el treinta, cuarenta por ciento menos, quizás, que si hubiera sido un día aleatorio de un mes como mayo, ¿no? Por ejemplo, que podríamos comparar.

Y por lo demás, interesante, porque Justo cuando grabamos el episodio anterior, estuvimos hablando de estas cosas, pues a los pocos días hubo este este incidente. Veremos más, veremos más incidentes a lo largo del año, Que es una, date cuenta que la configuración y la publicación de estos anuncios es una un mecanismo frágil, tienes que publicar El ASN, tienes que mantener una lista de los preferidos que tú tienes, si eres un operador grande, tienes que tener una base de datos de cosas que tienes por ahí, tienes que asegurarte de que todos los parámetros de tus anuncios También, por ejemplo, si se pone la la longitud máxima del prefijo, tienes que poner expiraciones de los anuncios para que tú puedas No tener un cachito infinito, por ejemplo, en los en los diferentes en los diferentes routers y diferentes sitios de la red, para que si tienes que cambiarlo, pues Tengas un límite, ¿no? De de tiempo en para reaccionar. Ajá. Y y además es una cosa que es muy difícil de probar, en el sentido de que son protocolos que son, están muy osificadas, son protocolos muy antiguos, BGP y compañía, ¿no?

Y al y lo que reciben son parches, ¿vale? Porque DGP nunca tuvo ningún tipo de de seguridad criptografía ni nada, entonces, bueno, se le ha metido todas estas cosas encima, En muchos casos, pues tienen excepciones, tienes que ser compatible con máquinas y con IPSPs antiguos, entonces, bueno, esto te da lugar a errores, Básicamente, por mal.

Sí, la propensidad mera de tener que mantener retrocompatibilidad de cosas y de errores que Existe otra persona u otro equipo u otra empresa o gente en otro país, hizo hace treinta años. Y

bueno Preguntaban alguien Cuando fue el incidente, ahora que me acuerdo, que creo que igual es interesante, si esto teniendo IPv seis hubiera ocurrido.

Muy buena pregunta.

En principio es exactamente igual, Vale, tú anuncias una serie de prefijos, y los prefijos de una red con IPV cuatro simplemente, pues son direcciones de treinta y dos bits, los La IPv seis son direcciones más largas, en principio tú anuncias también prefijos, ¿no? Anuncias direcciones una por la otra, entonces tú dices, bueno, el prefijo al final es una dirección IP y tienes una máscara Tantos bits, que es tu parte, digamos, que te resume, te agrupa todos esos todas esas direcciones, ¿no? Ellos están anunciando Haciendo anuncios de prefijos de veintitrés bits, con IPB seis, pues hubieran sido prefijos más largos, ¿no? Porque son los más largas, pero el mecanismo es exactamente igual.

Qué curioso. En principio, yo creo que lo hemos explicado ya por completo. Esta hacker, en su perfil de Twitter pone, Procedente de Letonia Letonia. Amante del anime por su avatar, pues, como tantos hackers, ¿no? De esta gente así, no sé si asumir su edad, ¿no?

Pero pero vamos a asumir entre los los los veintitantos veinte, treinta pocos a lo mejor, ¿no? Gente, pues, muy inteligente y que con suficiente capacidad para entender y escudriñar, y que le gusta indagar en ese tipo de datos, y que, Bueno, en algunas ocasiones utilizan sus capacidades para el mal, en cierto sentido.

Sí, y gente con tiempo, Y luego, bueno, que también es importante el operador Orange, en este caso, bueno, cualquier operador que tenga servicios y demás, cuando les pasen estas cosas, Efectivamente, bueno, pues está la crítica general, pero bueno, si hacen un postmorte interno que supongo que tengan, pues supongo que esto les haya servido también para mejorar bastante La gestión de creación de estas cosas.

Sí, absolutamente, esa sería un poco, yo creo, que la la conclusión. No solo los clientes de Orange están mucho más seguros ahora, aunque no lo supieran, ¿no? Que hace dos semanas, sino que muchos más clientes de operadores de toda Europa, incluso de otras partes del mundo, porque Han visto las barbas de su vecino cortar, ¿no? Como dice el refrán, y todos han empezado a mantener un poco sus cosas, a ver y a analizar, porque a lo mejor hacía años que no se preguntaban por sus credenciales de acceso, si eran seguras, si no sé qué, si el RIPE, etcétera, que no sé cuánta gente trabaja en Rippe ahí en en en Ámsterdam, he estado mirando la dirección y es, pues, la típica casucha, estas así altas, de Ámsterdam, no sé qué, pues ahí es donde tienen las oficinas, ¿no? No os esperéis unos mega oficinas centrales acristaladas rollo en ese a, ¿no?

Unos señores en las oficinas Sí,

a ver, esto, Ripé es una organización no gubernamental, en principio tampoco tiene mucho Porque es de los rangos que tienes asignados para Europa, que ya no crece, en el caso del IPV cuatro, son los que hay. De hecho, mucho tráfico, digamos que su comercio de rangos de Incnsipe ocurren entre liers, es decir, yo soy un particular que tengo veintinueve que compré hace, no sé cuántos años, entonces, lo que haces es se lo vendes a lo mejor a otro. Mira, por ejemplo, Amazon AdobeWS estuvo comprando un montón de un montón de prefijos pequeños, que uno necesita, ¿no? Digamos, para para el cloud, muchos fueron comparados a Lyars pequeños, ya que verás, no sé cuánto pueda leer, pero yo la última vez que lo miré hace un par de años, un veintinueve, ¿vale? Que son unas poquitas direcciones, Pensaba como cuatro mil

euros. ¿Durante un año, durante diez años?

No, no, tú los compras, ¿vale? Los cuatro mil euros, pero lo único que tienes para cuota arribita para seguir siendo el ear a partir de este entonces, ¿sí? O sea, la No, no pagas cuatro mil, digamos, cuatro mil es la compra, y luego, simplemente, pues tienes una cuota de mantenimiento de tú, por ser ear, No tienes que tenerlo. Como individuo, tener un rango tiene el problema de que necesites tener un ISP Que anuncie tu rango que tú eres propietario, por ejemplo, yo soy parte de una operadora aquí en Suiza que se llama Nit Seven, que sí que ofrece ese servicio. Yo le puedo decir al operador, mira, me he comprado este rango, ¿vale?

Simplemente, lo que tienes que hacer es decir, tú como eres que el el, digamos, el que Ofrece el transporte, de eres quien tiene la capa física, y quien ofrece los servicios IP, lo que vas a hacer es añadirlo a tu configuración en IP, ¿vale? Con tu ASN, y simplemente tienes que asegurarte de que el tráfico que llega a estos, a este rango, que es mío, tiene que venir a mi máquina, O a mí, porter router, si yo quiero tener mi propia SN, ¿no? Entonces, tú te conviertes en, o bien, haces tu setup de BGP, ¿no? Y tu pier va a ser el el init siete, en este caso, O bien, Initia te lo hace para ti. Pero hay muy pocos operadores que tengan este servicio, normalmente, lo único que hacen es tú pagas una cuota, a lo mejor, mensual de de x euros, y dan una de sus direcciones, te la dejan fija y publica para enrutar y así.

Eso es. Sí, yo creo que muy pocos clientes, sobre todo fuera del del mundo corporativo, adquieren que se dice, ¿no? Comprar esa IP fija, ese bonus que pagas, todo esto. No, estaba ahora mismo estaba en la web de de init siete punto net, pero como está todo En alemán, etcétera, pues tampoco me entero yo mucho.

Ojalá hubiera más operadores, haz publicidad, habrá de iniciote, ojalá hubiera más operadores, eso sí.

Patrocinadores de Don Tomás, por favor, un poquito, ¿no? Un Orange, un Init siete, que que se animen a a patrocinarnos, porque les vamos a Les vamos a hacer una buena promoción. Bueno, muchísimas gracias don Ramón, muchísimas gracias a todos los oyentes por estar con nosotros, y creo que ha quedado, la verdad, otro episodio fantástico. No son cosas de esas de tecnología, de usuario, que si Apple ha hecho no sé qué, de que si el nuevo software, un nuevo videojuego tal, pero Esto te da más conocimiento sobre cómo funciona Internet, cómo es posible que un señor o una señora, ¿no? Tuviera la clave así puesta y luego una chavala de Betonia, afectar a las decisiones de una casa random en Ámsterdam, ¿no?

En donde y toda esto Descentralización pura y dura, esto es al final el mejor de los dos futuros, porque la alternativa de una centralización mucho más robusta, también tendría un montón de de problemas diferentes. Con estas sensaciones, con estas informaciones, nos despedimos por este episodio de Don Tomás, espero que os haya gustado, Como siempre, podéis recomendaros a vuestros amigos, a vuestros vecinos, a vuestros enemigos, gente que os crucéis por la calle, simplemente en el metro, podéis ir con unas cartas, Y si queréis dejarnos algún comentario, alguna reseña, lo que queráis, pues ya sabéis que lo podéis hacer en cualquiera de las aplicaciones de podcast que utilicéis o las que estéis escuchándonos ahora mismo. Muchísimas gracias de nuevo y nos vemos en el próximo episodio. Hasta pronto.

Hasta pronto.