HOME REGRESAR A PAGINA ANTERIOR

Hackers atacaron el sistema del oleoducto Colonial

Los investigadores del mayor oleoducto de combustible de Estados Unidos están trabajando para recuperarse de un devastador ciberataque que cortó el flujo de petróleo.

El oleoducto transporta casi la mitad de los suministros de combustible de la costa este y se espera que los precios en los surtidores aumenten si la interrupción se prolonga en el tiempo.

Para mucha gente, la imagen de la industria petrolera es la de tuberías, bombas y grandes estructuras.

En realidad, el tipo de operación moderna que dirige Colonial Pipeline es extremadamente digital.

Los sensores de presión, los termostatos, las válvulas y las bombas se utilizan para supervisar y controlar el flujo de gasolina y combustible para aviones a través de cientos de kilómetros de tuberías.

Colonial cuenta incluso con un robot "smart pig" (medidor de inspección de tuberías) de alta tecnología que recorre sus tuberías en busca de anomalías. Toda esta tecnología operativa está conectada a un sistema central.

Y como explican expertos en cibernética como Jon Niccolls, de CheckPoint, donde hay conectividad, hay riesgo de ciberataque: "Todos los dispositivos utilizados para gestionar un oleoducto moderno están controlados por computadoras, en lugar de ser controlados físicamente por personas", afirma. "Si están conectados a la red interna de una organización y ésta sufre un ciberataque, el propio oleoducto es vulnerable a ataques maliciosos".

¿Cómo entraron los hackers?

Los ataques directos a la tecnología operativa son raros porque estos sistemas suelen estar mejor protegidos, dicen los expertos.

Así que es más probable que los hackers accedieran al sistema informático de Colonial a través de la parte administrativa de la empresa.

"Algunos de los mayores ataques que hemos visto empezaron con un correo electrónico", afirma Niccolls. "Un empleado puede ser engañado para que descargue un malware, por ejemplo. También hemos visto ejemplos recientes de piratas informáticos que se han introducido en el sistema aprovechando los puntos débiles o el compromiso de un software de terceros"... Los hackers aprovecharán cualquier oportunidad que tengan para introducirse en una red", expresaron.

Los hackers podrían haber estado dentro de la red informática de Colonial durante semanas o incluso meses antes de lanzar su ataque de ransomware.

En el pasado, los delincuentes provocaron el caos después de encontrar su camino en los programas de software responsables de la tecnología operativa.

En febrero, un hacker accedió al sistema de agua de la ciudad de Florida e intentó bombear una cantidad "peligrosa" de un producto químico. Un trabajador lo vio pasar en su pantalla y detuvo el ataque en el acto.

Del mismo modo, en el invierno de 2015-2016, los hackers de Ucrania fueron capaces de accionar los interruptores digitales de una central eléctrica, provocando cortes que afectaron a cientos de miles de personas.

¿Cómo se puede detener esto?

La forma más sencilla de proteger la tecnología operativa es mantenerla desconectada, sin ningún vínculo con Internet.

Pero esto es cada vez más difícil para las empresas, ya que dependen cada vez más de los dispositivos conectados para mejorar la eficiencia.

"Tradicionalmente, las organizaciones hacían algo conocido como 'air gapping'", afirma el experto en ciberseguridad Kevin Beaumont. Se aseguraban de que los sistemas críticos funcionasen en redes separadas y no vinculadas a las TI de cara al exterior. "Sin embargo, la naturaleza del mundo cambiante significa ahora que más cosas dependen de la conectividad".

¿Quiénes son los hackers?

El FBI ha confirmado que el responsable es DarkSide, una banda de ransomware relativamente nueva pero prolífica que se cree que tiene su base en Rusia.

No es habitual que grupos criminales ataquen "infraestructuras nacionales críticas", pero expertos como Andy Norton, de la empresa de ciberdefensa Armis, afirman que se trata de una preocupación creciente.

"Lo que estamos viendo ahora es que las bandas de ransomware están madurando", dice. "Cuando hay un servicio público crítico en juego, hay más posibilidades de que consigan pagar el rescate". El grupo publicó una especie de disculpa por el hackeo en su sitio web de la darknet.

Aunque no se refiere directamente a Colonial, se refiere a las "noticias de hoy", diciendo: "Nuestro objetivo es ganar dinero y no crear problemas a la sociedad.

"A partir de hoy, introducimos la moderación y comprobamos cada empresa que nuestros socios quieren cifrar para evitar consecuencias sociales en el futuro".

Al igual que muchos grupos de ransomware, DarkSide dirige un programa de afiliados que permite a los "socios" utilizar su malware para atacar objetivos, a cambio de un porcentaje de los beneficios del rescate.

DarkSide ha dicho anteriormente que empezará a donar parte del dinero extorsionado a organizaciones benéficas.

¿Cómo se pueden proteger los servicios críticos?

Los expertos llevan mucho tiempo preocupados por la posibilidad de que las infraestructuras nacionales críticas sean pirateadas.

El mes pasado, la coalición mundial de expertos Ransomware Task Force lo calificó de "riesgo para la seguridad nacional".

El grupo afirma que los gobiernos deben tomar medidas urgentes para evitar que los rescates se paguen en secreto.

También quiere que se presione a países como Rusia, Irán y Corea del Norte, a los que se acusa regularmente de albergar grupos de ransomware.

Pero Norton afirma que las organizaciones también deben asumir su responsabilidad. "Depende de las organizaciones implementar el tipo de ciberseguridad que sea apropiado y proporcionado, y se reconoce que los reguladores necesitan más fuerza para hacerla cumplir",concluyo.