24 de mayo de 2021

El viernes 7 de mayo, Colonial Pipeline, una empresa privada y uno de los operadores de oleoductos más grandes de los Estados Unidos, informó que había sido víctima de un ciberataque, un cibersecuestro de datos a gran escala. Los efectos fueron inmediatos: escasez de combustible y precios más altos, además de una sensación de que, una vez más, la infraestructura de la energía y de los servicios públicos en los Estados Unidos estaba en riesgo a causa de las permanentes vulnerabilidades en el IdC. Estos ataques a empresas industriales y de servicios públicos siguen aumentando en frecuencia e impacto, leading industry experts to warn that failing to address key cybersecurity concerns may have even more devastating consequences in future attacks, to both the economy and to critical infrastructure. The rise of modern connected systems with Industry 4.0 has increased efficiency and monitoring for the energy & utility sectors, but those systems, when improperly secured, can become a potential access point for attackers to breach the IT & OT infrastructure.

La tendencia cada vez mayor de los ciberataques no está exenta de posibles soluciones. Los expertos han hecho recomendaciones para mejorar la ciberseguridad y atender la creciente preocupación dentro de la industria de la fabricación y el IdC. Brandon Witte, director ejecutivo y presidente de Sightline Systems, afirma que tales ataques pueden evitarse o minimizarse su impacto mediante la implementación de un monitoreo de datos del sistema vinculado a la seguridad a través de las redes y un estricto protocolo de seguridad de los datos.

Vea la grabación disponible: “Vulnerabilidades que nunca supo que existían” | Webinario en directo sobre ciberseguridad con preguntas y respuestas | Brandon Witte (director ejecutivo de Sightline Systems) y EG Pearson (arquitecto de soluciones de Unisys)

La empresa atacada, Colonial Pipeline, incluye una infraestructura de transporte de 5500 millas que suministra a diario 100 millones de galones (2.5 millones de barriles) de gasolina, diésel, combustible para aviones y petróleo. Esto representa más del 45 % del combustible utilizado en la costa este de los EE. UU., desde la costa del Golfo en Texas hasta el área metropolitana de Nueva York. Para evitar que el ataque se propagara, Colonial cerró sus sistemas de la costa este, por lo que se paralizaron todas las operaciones del oleoducto durante más de seis días. Para recuperar el control de sus sistemas de TI y TO, Colonial decidió pagar un rescate de $4.4 millones en bitcoins tras el cibersecuestro de datos, una decisión controversial que fue en contra de las recomendaciones del FBI.

“Fue lo correcto por el país”, dijo el director ejecutivo de Colonial, Joseph Blount, en las declaraciones comunicadas por AP:

¿Lo fue? ¿Existe alguna forma de evitar que ocurran estos ataques en el futuro?

Más allá del costo para Colonial, las repercusiones siguen afectando a todo el país, tanto a los consumidores como a las empresas. El cierre del oleoducto durante una semana y el lento regreso a su capacidad total provocaron que el público hiciera compras motivadas por el pánico, lo que causó una grave escasez de gasolina y combustible en todo el país: según Reuters, algunos estados notificaron que el 90 % de las gasolineras se quedaron sin combustible. Para el 19 de mayo, una semana después de la reapertura del oleoducto, 9500 gasolineras aún estaban sin combustible, sobre todo en el Atlántico Medio de la costa este. El precio de la gasolina en todo el país ha aumentado a sus niveles más altos desde 2014, con un promedio nacional de $3.04 por galón. Aduciendo la gran preocupación por la seguridad nacional, el presidente de los EE. UU. Biden firmó una nueva orden ejecutiva de ciberseguridad el 12 de mayo, después del ataque al oleoducto, creando nuevas directrices para responder a tales ataques, exigiendo transparencia a las empresas que han sido atacadas y aumentando la participación del gobierno tras cualquier vulneración de seguridad.

DarkSide: el atacante

La mayoría de los expertos coinciden en que el atacante fue DarkSideuna organización criminal en Rusia y Europa del Este, con posibles vínculos con el gobierno ruso. Con su experiencia en esquemas de cibersecuestro de datos como servicio (RaaS, por sus siglas en inglés), es posible que DarkSide haya recibido más de $90 millones en bitcoins por concepto de rescate en ciberataques anteriores.

No se conocen por completo los detalles exactos ni se tiene una línea de tiempo específica del ataque y la vulneración de seguridad, pero se cree que el grupo DarkSide compró u obtuvo por medio de extorsión las credenciales de empleados individuales; luego, usaron el acceso para infiltrarse en la red sin ser detectados y propagar así secuencias de comandos maliciosas por toda la infraestructura de TI y TO. Se sospecha que utilizan diversos métodos sofisticados para evitar que se detecte su infiltración, los cuales incluyen el autocifrado de códigos maliciosos dentro de la red. 

Cibersecuestro de datos como servicio y redes de afiliados: un problema cada vez mayor

La frecuencia y el impacto de este tipo de ataques de cibersecuestro de datos como servicio (RaaS) están aumentando drásticamentesobre todo en los sectores de la energía y los servicios públicos, pero también son cada vez más lucrativos. Las organizaciones criminales de RaaS, como DarkSide, que se especializan en el desarrollo de programas maliciosos y códigos para el cibersecuestro de datos, también emplean una amplia red de conspiradores “afiliados”, que se especializan en la investigación, identificación de blancos potenciales, obtención de acceso a las credenciales de usuarios individuales específicos mediante la compra directa, la extorsión, el chantaje o los fraudes electrónicos. Por ejemplo, se sabe que DarkSide ha recibido $90 millones en bitcoins de las organizaciones que han sido víctimas; según los informes, ha pagado $74.7 millones a sus afiliados, muchos de los cuales tienen vínculos con el crimen organizado. Estos ataques generan pagos masivos relacionados con el cibersecuestro to an entire network of co-conspirators.

DarkSide expresa claramente esta realidad financiera al declarar públicamente su intención y motivación como organización en su sitio web: “nuestro objetivo es ganar dinero, no crear problemas para la sociedad”. 

Ciberseguridad del IdC: amenazas a la infraestructura global

Aunque muchos’podrían considerar el impacto de este ataque como un incidente desafortunado pero aislado, en realidad representa una amenaza mucho más profunda para la seguridad dentro de la industria que muchos expertos temen que pueda aprovecharse y provocar resultados aún más devastadores. El Ransomware Task Force (RTF), un grupo dedicado de empresas de tecnología, entidades gubernamentales y expertos en ciberseguridad, dice que estos ciberataques afectan las vidas de manera activa, y tienen inmensas repercusiones en la sociedad y la economía. En solo algunos años, RTF comentó, “que el “cibersecuestro de datos se ha convertido en una grave amenaza para la seguridad nacional y en un problema de seguridad y salud pública”.

Un factor fundamental en el aumento se señala en un artículo de opinión de Foreign Policyescrito por Jason Bordoff de la Universidad de Columbia, quien concluye que “el ataque a Colonial es un recordatorio de los muy conocidos riesgos para la ciberseguridad en el sistema de energía” y que con el auge de la Industria 4.0, “los riesgos para el petróleo y la gasolina pueden aumentar no solo a medida que los atacantes se vuelven cada vez más sofisticados, sino también a medida que la industria recurre cada vez más al uso de herramientas de inteligencia artificial y digitalización para incrementar la producción y reducir los costos”. Aunque no se ha confirmado la ubicación exacta del origen de la filtración, se sabe que Colonial Pipeline tiene un sistema sofisticado de IdC lleno de mecanismos de monitoreo y control, y dispositivos conectados a la red. Sabemos que la empresa ya participa en una investigación de la comisión de la Cámara de Representantes de los EE. UU. y enfrenta al menos una demanda por posibles vulnerabilidades de seguridad.

¿Cómo nos defendemos de estos ataques?

Para defenderse contra este tipo de ataques, es necesario tener sistemas avanzados y defensas digitales de vigilancia permanente, pero eso no significa que las empresas no puedan evitarlos en el futuro. Según el director ejecutivo de Sightline, Brandon Witte, estos ataques pueden evitarse y minimizarse su impacto mediante el uso de microsegmentación y redes de “confianza cero". En alianza con Unisys Corporation, Sightline ha presentado SIAS, que combina dos soluciones de última generación en una, por lo que ofrece a los fabricantes una seguridad potente y fácil de usar para proteger mejor sus entornos.

“SIAS™ brinda confianza cero, encubrimiento, cifrado y microsegmentación a la gestión de redes en un paquete fácil de usar”, afirma Witte. “El aprovechamiento de SIAS™ ayuda a las organizaciones a reducir las posibilidades de ataques, lo que minimiza el alcance y el impacto de las vulneraciones de los ataques como este”.

“Al fin y al cabo, no pueden atacar y vulnerar lo que no pueden ver”.