El ciberataque a Colonial

El terror en una sociedad se encuentra tras un "clic"

Los cibercriminales han traspasado las líneas rojas y ahora toca atenerse a las consecuencias. El ciberataque a Colonial es el más grave conocido hasta el momento contra una infraestructura energética de EE. UU. La tipología del ataque, ransomware como servicio, no es nueva, pero sí ha supuesto una llamada de atención sobre esta amenaza creciente, cada vez más sofisticada y lucrativa. Una amenaza, entre otras cosas, por su impacto en el mundo real, como ha sido este caso, con el pánico desatado, colas en las gasolineras para llenar los depósitos de los vehículos, varios estados de emergencia y una legislación federal de urgencia para atajar la crisis. Lo ocurrido ha preocupado no solo en EE. UU. sino también globalmente y ha supuesto algunos cambios, a corto plazo al menos, en el ecosistema del ransomware, de ahí la relevancia de este grave “incidente”.

Isaac Asimov está a años luz de incidentes como el ciberataque a Colonial. Sin embargo, puede considerarse que, en esencia, tampoco están tan lejos. Hace décadas, cuando Asimov ideó las leyes de la robótica sus textos eran ciencia ficción o, al menos, se pensaba en un futuro muy, muy lejano.  Hoy, se recuperan sus palabras y no solo para relacionarlas con los aspectos éticos de la inteligencia artificial. Conforme avanza la digitalización, cada vez somos más conscientes de los usos de la tecnología contra nosotros mismos.

Bien es cierto que no es nada nuevo, podríamos remontarnos hasta el descubrimiento del fuego o la invención de la rueda para encontrar el uso de las nuevas tecnologías contra el prójimo. Pero no se trata de eso, sino de procurar analizar este fenómeno en lo que tiene de nuevo, es decir, las formas actuales de la cibercriminalidad, que están en constante evolución y avance, como las propias tecnologías que usan para cometer delitos nuevos, de forma diferente.

Constatamos su novedad al encontrar, con una mirada más cercana, cómo autoridades, gobiernos, empresas e instituciones van por detrás de los cibercriminales y cómo reaccionan a sus cada vez más osadas acciones. Al menos, es el caso de Estados Unidos. Ya se consideró en su momento una gran demostración de capacidad el hackeo masivo a SolarWinds[1], detectado meses después, en noviembre del año pasado.

Ahora, con una clara intención meramente pecuniaria, hablamos del ciberataque a la red de oleoductos de Colonial y, aún más reciente, a una de las grandes empresas procesadoras de un alimento tan básico como es la carne, JBS[2]. Ambos similares en su factura y en sus objetivos: sectores estratégicos, aunque este documento se centrará en el primero, por su envergadura (está considerado ya como uno de los más importantes de la Historia contra una infraestructura crítica nacional) y las posibles consecuencias que pudo llegar a tener.

De este modo, aparte de lo dicho ¿qué es lo que ha hecho que el ataque de ransomware a una de las grandes distribuidoras de petróleo en Estados Unidos sea de especial relevancia y merezca una atención más detallada? Esta es una de las preguntas a las que este artículo pretende responder.

Ejemplo de una notificación de un ciberataque de DarkSide ransomware que aparece en la pantalla del ordenador de la víctima. Fuente: BBC https://www.bbc.com/news/technology-57063636

El «incidente»

La toma de consciencia sobre el ciberataque a Colonial comenzó como suelen hacerlo estas cosas. A las 5:30 de la mañana del 7 de mayo pasado un empleado de Colonial Pipeline encuentra una nota de rescate del tipo de la imagen en la pantalla de un ordenador de la sala de control. Y ahí empieza todo. En unas dos horas, los cibercriminales se habían hecho con el control de más de 100 gigabytes de información de Colonial Pipeline[3]. Hasta el momento se sabe que habían accedido a la parte “administrativa” del sistema, no a la operacional, aunque en cualquier sistema interconectado se entiende que el malware pueda llegar del uno hasta el otro. La celeridad en el cierre total del sistema por parte de la empresa, en torno a las 6:10, menos de una hora, apunta a que esto pudiera ser más que probable.

Pero, ¿quién estaba detrás del ciberataque a Colonial?¿quién podría atreverse a algo tan osado? El 10 de mayo el FBI apunta a un tipo de ransomware creado por DarkSide, un grupo criminal localizado en Rusia y, en principio, según el Gobierno estadounidense, sin vínculos conocidos con el Kremlin[4]. En concreto, la unidad de Inteligencia de CrowdStrike atribuye la operación a Carbon Spider, un experto grupo cibercriminal con base muy probablemente en la Europa del Este o Rusia, como se ha dicho, lugares donde nunca atacan. Con la pandemia y la reducción de las transacciones, como otros grupos, evoluciona y pasa a buscar objetivos de mayor alcance para sus ataques. Pero, también, en noviembre pasado tomaron la decisión “empresarial” de ofertar el ransomware creado por DarkSide a sus afiliados, como un servicio, a cambio de un porcentaje de los beneficios, y sus operaciones han crecido exitosamente desde entonces llegando a ser uno de los grupos más prominentes del “sector”. Un ejemplo de otro ciberataque suyo exitoso es este:

Detalles de un ciberataque exitoso contra un gran fabricante estadounidense en la web de la darknet de DarkSide. Fuente: BBC https://www.bbc.com/news/business-57050690

Funcionan como una start-up del delito, primero ofertan a sus clientes el mejor software para robar datos y encriptarlos en una web de la darknet “fácilmente accesible”. En segundo lugar, proveen de las herramientas para comunicarse con las víctimas y apoyo técnico. Y, tercero, comparten los beneficios del chantaje. Se quedan con un 25% o un 10%, dependiendo de la suma obtenida[5].

Y ¿cómo entraron los cibercriminales en la red de Colonial? Según publica Bloomberg[6], los atacantes tuvieron acceso gracias a una única contraseña robada de una cuenta VPN puesta a la venta. Entraron el 29 de abril a través de esa cuenta, una de las utilizadas para que los empleados accedieran en remoto al sistema de la compañía, y cuya contraseña estaba en varios lugares de la DarkWeb. Esto significa que podría ser que un trabajador hubiera utilizado la misma credencial en otra cuenta ya hackeada con anterioridad. Pero será difícil averiguarlo con certeza. La cuenta no estaba en uso activo y no utilizaba autenticación multifactor, lo que facilitó la intrusión.

Apenas unas horas después de ser informados sobre el ciberataque a Colonial, desde la dirección se decide que hay que pagar el rescate que pide el grupo cibercriminal. Se hace un desembolso de 4,4 millones de dólares en criptomonedas por la herramienta para desencriptar los datos y recuperarlos, porque no estaban seguros de hasta dónde llegaba la brecha en sus sistemas y, consecuentemente, tampoco conocían lo que se iba a tardar en recuperar el flujo en el oleoducto[7]. Una infraestructura energética crítica cuyo sistema había tenido que cerrarse por completo y a toda prisa, y que tenía que reabrirse lo antes posible.

El CEO de la compañía, Joe Blount, no deja lugar a dudas sobre cuál es la razón que le lleva a pagar el rescate, en contra del criterio de las autoridades que recomiendan no hacerlo: “cuando sabes que tienes 100 millones de galones de gasolina y combustibles diésel y combustibles para aviones que atravesarán la costa sureste y este de los Estados Unidos, es una decisión muy crítica. Y si poseer la herramienta de desencriptación hace que ese combustible llegue más rápido a su destino, entonces es la decisión que debe tomarse. Y tomé esa decisión ese día. Fue la decisión correcta para el país”[8].

Pero, aun así, la desencriptación fue más lenta de lo previsible, incluso cuando la compañía utilizó además sus propios medios.

La red de oleoductos de Colonial distribuye en torno a un 45% del combustible para la Costa Este estadounidense, 8000 kilómetros de tubo que conecta Houston con el puerto de Nueva York y Nueva Jersey, y también provee de combustible para aviones a grandes aeropuertos, incluidos los de las áreas de Atlanta y Washington D.C[9].

El día 12 de mayo Colonial reanuda casi al completo sus operaciones (poco a poco algunas partes habían funcionado en días anteriores, el 9, 10 y 11):


El resto de este artículo está disponible solo para suscriptores

Si todavía no estás suscrito, aprovecha nuestra oferta


Be the first to comment

Leave a Reply