Los investigadores aún están trabajando para recuperarse de un devastador ciberataque que cortó el flujo de petróleo del oleoducto más grande de Estados Unidos. El hack en Colonial Pipeline está siendo visto como uno de los ataques más importantes de la historia realizado a la infraestructura nacional crítica.
El oleoducto transporta casi la mitad de los suministros de combustible de la costa este y se espera que los precios en los surtidores aumenten si la interrupción es prolongada.
¿Cómo se puede piratear un oleoducto?
La realidad de una industria moderna como Colonia Pipeline es que las operaciones que ejecuta con extremadamente digitalizadas.
Los sensores de presión, termostatos, válvulas y bombas se utilizan para monitorear y controlar el flujo de diésel, gasolina y combustible para aviones a través de cientos de millas de tuberías.
Colonial incluso tiene un robot de alta tecnología “smart pig” (medidor de inspección de tuberías) que se mueve por dentro de sus tuberías en busca de anomalías.
Toda esta tecnología operativa está conectada a un sistema central, y como explican expertos cibernéticos como Jon Niccolls, de CheckPoint, donde hay conectividad, existe el riesgo de un ciberataque: “Todos los dispositivos que se utilizan para operar un oleoducto moderno están controlados por computadoras, en lugar de ser controlados físicamente por personas”.
¿Cómo entraron los hackers?
Los ataques directos a la tecnología operativa son raros porque estos sistemas suelen estar muy bien protegidos. Por lo tanto, es más probable que los piratas informáticos obtuvieran acceso al sistema informático de Colonial a través del lado administrativo del negocio.
Algunos de los mayores ataques que se han visto en época reciente comenzaron con un correo electrónico, dice Jon Niccolls, de CheckPoint.
Es posible que un empleado de la compañía haya sido engañado para que descargue algún malware, por ejemplo. Otra posibilidad de cómo se llevó a cabo el ciberataque es utilizando las debilidades o comprometiendo la seguridad de un software de terceros.
Los piratas informáticos aprovecharán cualquier oportunidad que tengan para afianzarse en una red.
Los piratas informáticos podrían haber estado dentro de la red de TI de Colonial durante semanas o incluso meses antes de lanzar su ataque de ransomware.
El software Ransom funciona cifrando los datos de las víctimas, por lo general, los piratas informáticos ofrecerán a la víctima una clave a cambio de pagos en criptomonedas que pueden ascender a cientos de miles o incluso millones de dólares. Si la víctima se resiste, los piratas informáticos amenazan cada vez más con filtrar datos confidenciales en un intento por aumentar la presión.
En el pasado, los delincuentes causaban caos después de encontrar su camino hacia los programas de software responsables de la tecnología operativa.
Por ejemplo, en febrero, un pirata informático obtuvo acceso al sistema de agua de la ciudad de Florida e intentó bombear una cantidad de una sustancia química potencialmente peligrosa.
Un trabajador vio lo que estaba sucediendo en su pantalla y detuvo el ataque inmediatamente.
De manera similar, en el invierno de 2015-16, piratas informáticos en Ucrania pudieron activar interruptores digitales en una planta de energía, lo que provocó cortes que afectaron a cientos de miles de personas.
¿Cómo puede ser detenido?
La forma más sencilla de proteger los sistemas informáticos y principalmente la red operativa, es mantenerla fuera de línea, sin vínculo alguno a Internet.
Sin embargo, esto es cada vez más difícil para las empresas, los propios dispositivos están cada vez más interconectados, ejemplo de ello es el concepto del internet de las cosas, que plantea la interconexión de dispositivos de todo tipo, compartir datos que contribuyen a toma de decisiones, mejorar la eficiencia y el monitoreo de los propios dispositivos.
“Tradicionalmente, las organizaciones hacían algo conocido como ‘air gapping'”, dice el experto en seguridad cibernética Kevin Beaumont.
Ellos se asegurarán de que los sistemas críticos se ejecuten en redes separadas que no estén conectadas a TI de cara al exterior.
Sin embargo, la naturaleza del mundo cambiante ahora significa que más cosas dependen de la conectividad.
¿Quiénes son los hackers?
El FBI ha confirmado que DarkSide, un grupo de ransomware relativamente nueva pero prolífica que se cree que tiene su sede en Rusia, fue responsable.
Quién está exactamente detrás de la intrusión disruptiva en Colonial Pipeline no se ha dado a conocer oficialmente y la atribución digital puede ser complicada, especialmente al principio de una investigación.
Los expertos en ciberseguridad que han rastreado a DarkSide dijeron que parece estar compuesto por ciberdelincuentes veteranos que se centran en sacar la mayor cantidad de dinero posible de sus objetivos.
DarkSide es un grupo relativamente nuevo de ramsonware, pero son muy experimentados y están bien organizados.
Figura 1. Ejemplo de un aviso de ransomware DarkSide que aparece en las pantallas de las computadoras de las víctimas
Es inusual que los grupos criminales ataquen la “infraestructura nacional crítica”, pero expertos como Andy Norton, del ciberdefensor Armis, dicen que es una preocupación creciente.
DarkSide es uno de los grupos cada vez más profesionalizados de extorsionadores digitales, con una lista de correo, un centro de prensa, una línea directa para víctimas e incluso un supuesto código de conducta destinado a convertir al grupo en socios comerciales confiables, aunque despiadados.
El sitio de DarkSide en la web oscura insinúa los crímenes pasados de sus piratas informáticos, afirma que anteriormente ganaron millones con la extorsión y que solo porque su software era nuevo “eso no significa que no tengamos experiencia y que venimos de la nada”.
“Lo que estamos viendo ahora es que las bandas de ransomware están madurando”, dice.
Curiosamente, el grupo DarkSide publicó una especie de disculpa por el ataque en su sitio web darknet.
Un escueto comunicado de prensa publicado en el sitio web de DarkSide no mencionó directamente Colonial Pipeline pero, bajo el título “Acerca de las últimas noticias”, señaló que “nuestro objetivo es ganar dinero y no crear problemas para la sociedad”.
“A partir de hoy, introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro”.
Como muchos grupos de ransomware, DarkSide ejecuta un programa de afiliados que permite a los “socios” utilizar su malware para atacar objetivos, a cambio de un porcentaje de las ganancias del rescate.
DarkSide ha dicho anteriormente que comenzaría a donar parte del dinero extorsionado a organizaciones benéficas.
¿Cómo se pueden proteger los servicios críticos?
Los expertos llevan mucho tiempo preocupados por la piratería de la infraestructura nacional crítica.
El mes pasado, la coalición global de expertos de Ransomware Task Force lo llamó un “riesgo para la seguridad nacional”.
El grupo dice que los gobiernos deben tomar medidas urgentes para evitar que los rescates se paguen en secreto.
También quiere que se ejerza presión sobre países como Rusia, Irán y Corea del Norte, a los que se acusa regularmente de albergar grupos de ransomware. Pero Andy Norton dice que las organizaciones también deben asumir la responsabilidad.
“Depende de las organizaciones implementar el tipo de seguridad cibernética que sea apropiado y proporcionado y se reconoce que los reguladores requieren más fuerza para hacer cumplir esto”, dijo Norton.
Te puede interesar:
- De Venezuela a Libia, los 10 países con las mayores reservas probadas de petróleo
- Perfil de los diez principales países productores de petróleo del mundo
- El ranking de las 6 Big Oil que están camino de transformación a “cero emisiones”