Durante un par de días, los clientes de Movistar que intentan acceder a servicios de OVH están teniendo problemas. Muchos clientes de Movistar, independientemente de la velocidad de su conexión a Internet, están experimentando altas latencias en su conexión al intentar acceder a dichos servicios, eso si pueden hacerlo, ya que muchos clientes ni siquiera pueden.
El origen del problema: Un ataque DoS desde la red de Movistar
Desde hace varios días, los servidores de OVH están recibiendo un ataque de denegación de servicio (DoS) desde la red del operador Telefónica de España (Movistar) ,hacia un cliente de OVH que está alojado en el centro de datos de BHS (Canadá).
Actualmente OVH proporciona a sus clientes la gestión de ataques DDoS para mitigarlos de forma transparente, de hecho, es capaz de mitigar ataques de hasta 800Gbps de caudal con éxito. El principal problema es que este ataque no procede de varios lugares del mundo, sino de uno en concreto que pertenece al sistema autónomo AS3352 de Telefónica de España, y que se comunica con el sistema autónomo AS16276 de OVH a través del AS12956 de Telefónica International, es decir, la ruta que sigue este ataque es la siguiente:
AS3352 Telefónica de España <> AS12956 Telefonica International <> AS16276 OVH
OVH tiene en total un ancho de banda de 130Gbps con el AS12956, sin embargo, el ataque que está recibiendo es de 150Gbps por lo que está congestionando este enlace internacional, haciendo que muchos clientes del operador Movistar tengan problemas de conexión con OVH.
El ancho de banda entre los sistemas autónomos es uno de los problemas
OVH podría mitigar este DoS sin problemas, pero el principal problema radica en que los enlaces con Telefónica International se saturan antes de llegar al destino. Desde OVH han probado a realizar varios anuncios BGP para que las rutas de tráfico vayan por otros enlaces con mayor ancho de banda, primero probaron a pasar todo el tráfico por OpenTransint pero el ataque saturó este enlace, lo que provocó que otras compañías de España se vieran afectados (Orange y Jazztel por ejemplo), así que OVH decidió pasar el tráfico por Level 3 con esta ruta:
Level3 AS3356 <> AS3352 Telefónica de España <> AS12956 Telefonica International <> AS3356 Level3 <> AS16276 OVH
Actualmente OVH ya puede recibir este ataque DoS sin problemas porque tiene suficiente ancho de banda, pero el enlace entre el AS12956 y AS3356 se sigue saturando. En las últimas horas OVH ha encontrado una forma de permitir el DoS sin saturar los enlaces, aunque Telefónica próximamente va a aumentar la capacidad de su red, además de que OVH instalará un nuevo router en Madrid el próximo mes de octubre para dotar a sus clientes en España de la mejor velocidad posible.
Os recomendamos acceder a esta página web donde encontraréis la latencia que hay en tiempo real en la red.
Movistar ya está trabajando en una solución definitiva
Actualmente Telefónica ya se encuentra en contacto con OVH, y están trabajando en apagar la red botnet que está causando este ataque al cliente de OVH. La empresa OVH no ofrecerá más detalles porque los ciberdelincuentes podrían usar la información para saltarse las medidas de seguridad que están implementando para mitigarlo correctamente.
En Octubre tendremos mejor conectividad con OVH en España
OVH ha declarado que instalará una serie de equipos para conectar con Telefónica con un enlace a 200G, crearán dos nuevos enlaces 200G en Espanix, un enlace 200G en OpenTransit y también harán lo mismo con Telefónica en París (enlace 200G) y Ashburn (enlace de 200G). Por lo que los clientes de Movistar se verán muy beneficiados con estos movimientos.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad