Hace casi tres años, el oleoducto Colonial sufrió un ataque que obligó al cierre de su sistema de oleoductos durante seis días, lo que provocó escasez de gasolina. Washington D. C. y otros 17 estados declararon estado de emergencia.

Descripción general del ataque al oleoducto Colonial

Colonial Pipeline fue víctima de un ataque de ransomware en mayo de 2021, que afectó a varios sistemas digitales y obligó a suspender sus operaciones durante varios días. El incidente afectó tanto a consumidores como a aerolíneas de la Costa Este. Se consideró un riesgo para la seguridad nacional, ya que el oleoducto transporta petróleo desde las refinerías hasta los mercados industriales. Esto llevó al presidente estadounidense Joe Biden a declarar el estado de emergencia.

El Oleoducto Colonial es uno de los oleoductos más grandes e importantes de Estados Unidos. Comenzó a operar en 1962 para transportar petróleo desde el Golfo de México hasta los estados de la Costa Este. El sistema comprende más de 8800 kilómetros de oleoductos, que comienzan en Texas y atraviesan Nueva Jersey, transportando casi la mitad del combustible para la Costa Este. Suministra petróleo refinado para gasolina, combustible para aviones y aceite doméstico.

Muchas gasolineras en los estados de EE. UU. se quedaron sin combustible debido a una interrupción del sistema Colonial Pipeline en mayo de 2021. Foto: NBC News

El 6 de mayo de 2021, el grupo de hackers DarkSide accedió a la red de Colonial Pipeline y robó 100 GB de datos en dos horas. Posteriormente, infectaron la red informática con ransomware, lo que afectó a varios sistemas informáticos, incluyendo los de contabilidad y facturación.

Colonial Pipeline tuvo que cerrar el oleoducto para evitar la propagación del ransomware. Posteriormente, se contactó a la empresa de seguridad Mandiant para que investigara el ataque. También participaron el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad, el Departamento de Energía y el Departamento de Seguridad Nacional.

El 7 de mayo de 2021, la mayor empresa de oleoductos de Estados Unidos pagó un rescate de 75 bitcoins, con un valor aproximado de 4,4 millones de dólares, a hackers para obtener la clave de descifrado. El oleoducto reanudó sus operaciones el 12 de mayo de 2021.

Durante una audiencia en el Congreso el 8 de junio de 2021, Charles Carmakal, vicepresidente sénior y director de tecnología de Mandiant, declaró que los atacantes se infiltraron en la red utilizando contraseñas filtradas de una cuenta VPN. Muchas organizaciones utilizan VPN para acceder de forma segura a sus redes corporativas de forma remota.

Según el testimonio de Carmakal, un empleado de Colonial Pipeline aparentemente compartió una contraseña de VPN con otra cuenta, pero esta contraseña se vio comprometida en una filtración de datos independiente. Compartir una contraseña entre varias cuentas es un error común.

También en la audiencia, el director ejecutivo de Colonial Pipeline, Joseph Blount, explicó su decisión de pagar el rescate. En el momento del ataque, desconocía la magnitud del daño ni cuánto tardaría en restaurarse el sistema. Por lo tanto, tomó la decisión con la esperanza de acelerar el proceso de recuperación.

Tras rastrear el pago, el Departamento de Justicia de EE. UU. descubrió la dirección digital de la billetera utilizada por el atacante y obtuvo una orden judicial para incautar los bitcoins. Como resultado, la operación recuperó 64 de los 75 bitcoins, con un valor aproximado de 2,4 millones de dólares.

El "legado" del ataque al Oleoducto Colonial.

Por primera vez, el ransomware ha atraído la atención nacional, obligando al Congreso a aprobar nuevas leyes y a numerosas agencias federales a emitir nuevos requisitos de ciberseguridad. Los ataques de ransomware no son nuevos; han devastado gobiernos, centros de salud y escuelas antes de que Colonial Pipeline fuera víctima. Sin embargo, lo que lo distingue es su impacto regional, según Ben Miller, vicepresidente de servicios de seguridad de infraestructura de Dragos.

“Más tarde aprendí que se presta cierta atención cuando hay un impacto real en la vida de las personas”, dijo Charles Carmakal, vicepresidente sénior de la empresa de seguridad Mandiant, que ayudó a investigar el incidente de Colonial. “Cuando se trata de gasolina y carne, la gente realmente se preocupa”.

Debido al incidente del Oleoducto Colonial, muchas aerolíneas están experimentando escasez de combustible y algunos aeropuertos enfrentan restricciones operativas. La preocupación por la escasez de combustible ha generado pánico entre la población, lo que ha provocado largas filas en las gasolineras de muchos estados. Además, los precios promedio en las gasolineras se han disparado debido a las interrupciones del servicio en los oleoductos. En algunos estados, incluso se está vertiendo gasolina en bolsas de plástico, lo que ha llevado a la Comisión de Seguridad de Productos del Consumidor de EE. UU. a emitir una advertencia para usar únicamente los recipientes designados para la gasolina.

El ataque al Oleoducto Colonial obligó a todos a considerar seriamente los riesgos de seguridad e implementar políticas que antes se habían pasado por alto. Según Mike Hamilton, exjefe de Seguridad de la Información de la ciudad de Seattle, lograr que el gobierno federal priorizara los requisitos de seguridad para la infraestructura crítica fue una tarea difícil.

Incidentes posteriores a finales de 2021, incluido uno dirigido contra el productor de carne JBS Foods, aumentaron la presión sobre legisladores, reguladores y ejecutivos. Actuaron como catalizador para que los líderes reconsideraran sus propios planes de respuesta al ransomware. Según Miller, el nivel de atención a estos planes de respuesta se volvió mucho más detallado.

Sin embargo, las regulaciones y la industria aún necesitan cambios. Wendi Whitmore, vicepresidenta sénior de la Unidad de Inteligencia de Amenazas 42 de Palo Alto Networks, argumenta que se necesitan acuerdos multilaterales entre países para combatir el ransomware.

(Según Axios, Tech Target)