De Colonial y el ransomware, la Guerra Fría ya es virtual

Andrés Tarascó y José Lancharro

MERCADOS

MABEL RODRÍGUEZ

El ciberataque al mayor gasoducto de la Costa Este estadounidense ha vuelto a poner de manifiesto la capacidad de los cibercriminales de poner en jaque la economía y la estabilidad de países enteros

31 may 2021 . Actualizado a las 12:14 h.

Las guerras del presente se libran en otro campo de batalla. Los misiles van cargados con miles y miles de líneas de código. Ceros y unos con una potencia de fuego devastadora. Tanta, como para poner en jaque el suministro energético de un país. Eso es lo que ha ocurrido en Estados Unidos en las dos últimas semanas tras el ciberataque a Colonial que inutilizó durante días el mayor gasoducto de la Costa Este.

Una infraestructura crítica para el conjunto de EE.UU. y estratégica para Colonial, responsable del suministro de casi la mitad del combustible que se consume en los estados del Este del país. De hecho, tras quedar desactivado el gasoducto, varias ciudades empezaron a sufrir problemas de suministro de carburantes a causa de las largas colas de vehículos que se formaban ante las estaciones de servicio.

De la medida de la crisis da cuenta la decisión del Gobierno de Joe Biden de declarar el estado de emergencia en Alabama, Arkansas, Washington DC, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Misisipi, Nueva Jersey, Nueva York, Carolina del Norte, Pensilvania, Carolina del Sur, Tenesse, Texas y Virginia. Ahí es nada.

Aunque no ha reclamado su autoría oficialmente, todo indica que detrás de este ataque figura un grupo de ransomware conocido como DarkSide, uno de los más jóvenes dentro del mundo del cibercrimen (hay muchos otros con un largo historial de ataques y secuestros de empresas), pues fue identificado por primera vez en agosto del año pasado. La operativa con la que trabajan estos grupos es casi siempre la misma. Penetran en los sistemas de las empresas u organismos que quieren atacar, roban sus datos y los encriptan a cambio de un rescate. Así fue en el caso de Colonial. Bloomberg se atrevió incluso a cifrar en cinco millones de dólares el rescate pagado por la compañía el mismo día del ataque para poder retomar el control de sus sistemas. Algunos grupos de ransomware tienen incluso un chat 24/7 para negociar con sus víctimas. Una señal que da una idea de lo perfectamente estructuradas y jerarquizadas que están estas organizaciones.

El volumen de ciberataques ha crecido tanto en los últimos años, y ha desatado crisis tan inquietantes, que los distintos gobiernos han ido creando agencias para protegerse y proveer de asistencia técnica a las empresas y entidades asaltadas. En el caso de este último ataque, la CISA (Cibersecurity and Infraestructure Security Agency), una agencia creada bajo el paraguas de la Administración Trump, ha tomado cartas en el asunto para contener un episodio de consecuencias imprevisibles. El propio Biden firmó una orden presidencial el 12 de mayo para modernizar las estructuras gubernamentales contra el cibercrimen y financiar acciones para mejorar la capacidad de empresas y organismos públicos de protegerse contra la que es, seguramente, la mayor amenaza de seguridad de esta era.

Lo más curioso del incidente de Colonial es que los malos no querían hacer tanto daño. Según las primeras investigaciones, DarkSide tenía como objetivo la red corporativa (la que hospeda la información de la empresa, trabajadores…) para robar y secuestrar datos y llevarse un buen rescate. Paralizar el gasoducto no estaba en sus planes.

Pero por el camino, todo apunta a que accedió también a la red industrial que controla la infraestructura. Lo que a la postre obligó a desactivarla y ha causado los problemas de desabastecimiento. DarkSide publicó estos días en su web (alojada en la Red Oscura) una suerte de comunicado en el que, sin hacer mención alguna al incidente del gasoducto, anunciaba que en futuros asaltos tratarán de evitar que sus acciones generen perjuicios a la sociedad como los desencadenados en la Costa Este estadounidense.

Sea como fuere, el episodio ha demostrado de nuevo que gigantes del sector como Colonial acumulan graves deficiencias en materia de ciberseguridad. En su caso, las redes corporativas e industrial deberían haber estado mejor segregadas, evitando así que la red industrial, y por tanto el gasoducto, quedase inutilizado. Con fenómenos como la robotización de las fábricas y el Internet of Things (IoT) en plena ebullición, el ciberasalto a Colonial podría marcar un antes y un después. Cualquier empresa que automatice sus equipos deberá tener muy presente la necesidad de compartimentar y segregar perfectamente la red corporativa de la industrial para sortear una paralización total de su actividad en caso de un ataque con ransomware.

Sobre lo que no cabe duda es sobre el potencial devastador de estos ataques. Hace solo unos meses, el incidente de SolarWinds desencadenó la que ha sido bautizada como la mayor operación de espionaje de la historia. Con todos los focos apuntando al Kremlin. La Guerra Fría se ha trasladado hoy al territorio digital. Un ciberataque puede llegar a ser tan grave como cualquier ataque terrorista convencional. Los gobiernos lo saben. Y lo temen. Protegerse es una prioridad. Nadie va a estar totalmente a salvo de estas amenazas, pero contar con equipos de Threat Hunting (profesionales altamente especializados que rastrean sistemas y equipos en busca de los malos) parece un punto de partida irrenunciable. Hay demasiado en juego como para mirar hacia otro lado…

 Andrés Tarascó es el CEO de Tarlogic Security. José Lancharro es el director de BlackArrow.