Hace casi tres años, Colonial Pipeline fue atacada y tuvo que cerrar su sistema de tuberías de combustible durante seis días, lo que provocó una escasez de gas. Washington, DC y otros 6 estados deben declarar el estado de emergencia.
Vista panorámica del Oleoducto Colonial bajo ataque
Colonial Pipeline fue víctima de ransomware en mayo de 5, que afectó a varios sistemas digitales y se cerró durante varios días. El incidente afectó tanto a los consumidores como a las aerolíneas de la costa este. Se considera un riesgo para la seguridad nacional porque el oleoducto transporta petróleo desde las refinerías a los mercados industriales. Esto provocó que el presidente estadounidense Joe Biden declarara el estado de emergencia.
Colonial Pipeline es uno de los oleoductos más grandes e importantes de los Estados Unidos, que comenzó a operar en 1962 para ayudar a transportar petróleo desde el Golfo de México a los estados de la costa este. El sistema incluye más de 5.500 millas de tuberías, que comienzan en Texas y pasan por Nueva Jersey, responsables de casi la mitad del combustible de la costa este. Proporciona aceite refinado para gasolina, combustible para aviones y aceite para hogares.
El 6 de mayo de 5, el grupo de hackers DarkSide accedió a la red de Colonial Pipeline y robó 2021 GB de datos en 100 horas. Luego infectaron las redes de TI con ransomware, afectando a múltiples sistemas informáticos, incluidos los de contabilidad y facturación.
Colonial Pipeline tuvo que cerrar el oleoducto para evitar la propagación del ransomware. Posteriormente, se invitó a la empresa de seguridad Mandiant a investigar el ataque. También participaron el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad, el Departamento de Energía y el Departamento de Seguridad Nacional.
El 7 de mayo de 5, la empresa de oleoductos más grande de Estados Unidos tuvo que pagar un rescate de 2021 Bitcoins por valor de unos 75 millones de dólares a los piratas informáticos para obtener la clave de descifrado. El oleoducto volverá a estar operativo a partir del 4,4 de mayo de 12.
En una audiencia ante el Congreso de EE. UU. el 8 de junio de 6, Charles Carmakal, vicepresidente senior y director de tecnología de Mandiant, dijo que el atacante penetró en la red utilizando una contraseña filtrada de una cuenta VPN. Muchas organizaciones utilizan VPN para acceder a redes corporativas seguras de forma remota.
Según el testimonio de Carmakal, un empleado de Colonial Pipeline aparentemente compartió una contraseña de VPN con otra cuenta que de alguna manera quedó expuesta en otra violación de datos. Usar la misma contraseña para varias cuentas es un error que mucha gente comete.
También en la audiencia, el director ejecutivo de Colonial Pipeline, Joseph Blount, explicó por qué decidió pagar el rescate. En el momento del ataque, no sabía el alcance de la infección ni cuánto tiempo llevaría restaurar el sistema. Por ello, tomó la decisión con la esperanza de acelerar el tiempo de recuperación.
El Departamento de Justicia de EE.UU., tras rastrear el pago, descubrió la dirección digital de la billetera utilizada por el atacante y obtuvo una orden judicial para confiscar el Bitcoin. Como resultado, la campaña recuperó 64/75 Bitcoins por un valor aproximado de 2,4 millones de dólares.
“Legado” del ataque al Colonial Pipeline
Por primera vez, Estados Unidos centró su atención en el ransomware, lo que obligó al Congreso a aprobar nuevas leyes y llevó a muchas agencias federales a introducir nuevos requisitos de ciberseguridad. Los ataques de ransomware no son nuevos; han destruido muchos gobiernos, instalaciones médicas y escuelas antes de que Colonial Pipeline se convirtiera en víctima. Sin embargo, la diferencia está en el impacto regional, según Ben Miller, vicepresidente de servicios de la empresa de seguridad de infraestructura Dragos.
Charles Carmakal, vicepresidente senior de la firma de seguridad Mandiant, la unidad que apoyó la investigación del incidente Colonial, comentó: “Después aprendí que hay un cierto nivel de atención cuando sucede algo que realmente impacta la vida de las personas. Cuando se trata de gasolina y carne, a la gente realmente le importará”.
Debido al incidente en Colonial Pipeline, muchas aerolíneas se quedaron sin combustible y se restringió el funcionamiento de algunos aeropuertos. Las preocupaciones sobre la escasez de gasolina provocaron que la gente entrara en pánico y hiciera cola en las gasolineras de muchos estados. Además, los precios medios en las estaciones de bombeo también se dispararon debido a los cierres de oleoductos. En algunos estados, la gente incluso vierte gasolina en bolsas de plástico, lo que obligó a la Comisión de Seguridad de Productos de Consumo de EE. UU. a emitir una advertencia para utilizar únicamente contenedores especializados para almacenar gasolina.
El ataque al Colonial Pipeline obligó a todos a tomar en serio los riesgos de seguridad y adoptar políticas que antes se pasaban por alto. Según Mike Hamilton, ex director de seguridad de la información de Seattle, anteriormente, lograr que el gobierno federal priorizara los requisitos de seguridad de la infraestructura crítica era una tarea difícil.
Casos posteriores a finales de 2021, dirigidos al productor de carne JBS Foods, ejercieron más presión sobre los responsables políticos, los reguladores y los ejecutivos. Son un catalizador para que la dirección reconsidere sus propios planes de respuesta al ransomware. Según Miller, el nivel de atención a la planificación de la respuesta se ha vuelto mucho más detallado.
Aun así, la regulación y la industria aún deben cambiar. Wendi Whitmore, vicepresidenta senior de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks, cree que debería haber acuerdos multilaterales entre países para suprimir el ransomware.
(Según Axios, Tech Target)
