Ataque ransomware hacia las infraestructuras críticas: el caso de Colonial Pipeline


Por Carla Cantero, integrante del Observatorio de Defensa y Seguridad



“La creciente dependencia del dominio del ciberespacio para casi todas las funciones civiles y militares esenciales, hace que esto sea un riesgo urgente para la nación”

Cyber Strategy, 2018





El Oleoducto Colonial, que entrega casi la mitad del diésel y la gasolina consumidos en la costa este de los Estados Unidos, sufrió un ciberataque, lo que generó que se lleve adelante una serie de medidas y, al mismo tiempo, que se abra el debate por los desafíos que se presentan.


Lo nuevo en esta época es el promedio de cambio del poder informático y la penetración de la tecnología de la información en todas las esferas de la existencia. La revolución informática es la primera que reúne individuos y procesos en un mismo medio de comunicación, y traduce y rastrea sus acciones en un único lenguaje tecnológico.


El ciberespacio ha colonizado el espacio físico. Se está hoy en los umbrales de un internet de las cosas. Cada objeto está conectado a internet y programado para comunicarse con un servidor central u otros artefactos en red.


Más aún, no hay dudas de que la pandemia de COVID-19 no hizo más que acelerar el uso intensivo del ciberespacio, ya sea para actividades de educación, trabajo, salud. Al mismo tiempo, puso al descubierto temas importantes como la brecha digital.


Pero no solo eso, la llegada de la era digital ha creado nuevos desafíos debido a la naturaleza abierta, transnacional y descentralizada del internet, creando importantes vulnerabilidades que se necesitan proteger. El ciberespacio trae consigo nuevas amenazas, y la competencia también se traslada a dicho ámbito.


Lo cierto es que la cantidad de incidentes que se registraron en esta era de pandemia produjeron un aumento en la superficie de ataque, sobre todo a partir del trabajo remoto. Tan solo en el mes de junio se registraron 16 de los más importantes incidentes cibernéticos.


Caso del oleoducto Colonial: El ataque contra la infraestructura de Colonial Pipeline


El Oleoducto Colonial Pipeline Company, con sede en Georgia, es el sistema de gasoductos más grande de los Estados Unidos y entrega casi la mitad del diésel y la gasolina consumidos en la costa este del país norteamericano. El viernes 7 de mayo debió cerrar sus puertas en respuesta a un ciberataque. El ataque de ransomware, es decir, secuestro de información, frenó la vida de los estadounidenses y desembocó en la paralización de todas las operaciones de la compañía.


El impacto fue la interrupción de las operaciones de oleoductos de 8.000 Km, lo que se traduce al 45% del combustible de la Costa Oeste, se temió un posible desabastecimiento en 50.000 personas y hasta se debió realizar un pago rescate de 75 bitcoin, lo que equivale aproximadamente a 5 millones de dólares.


Ransomware DarkSide


El ciberataque fue causado por uno de los principales grupos de ransomware llamado DarkSide. El ransomware, palabra que proviene del inglés ransom, que significa “rescate”, y “ware”, acortamiento de software o secuestro de datos, es un programa dañino que restringe o bloquea el acceso a determinados archivos del dispositivo del usuario y reclama un rescate a cambio para restaurar el acceso. Según el grupo DarkSide, su objetivo era conseguir dinero. Tras ello, Estados Unidos vinculó a cibercriminales ubicados en Rusia, e instó al Gobierno ruso a tomar acciones.


¿Cómo se produjo el ataque? ¿Qué se necesita para que un ataque funcione con éxito? Básicamente se necesitan fallas sistemáticas. Un ciberataque se concreta cuando varios elementos -como la concientización, un software con errores de seguridad o desactualizado, no compliance, ausencia o deficiencia de políticas- fallan.


En el caso de DarkSide se destacan, en particular, dos cuestiones:


En primer lugar, si bien hubo en todo este tiempo noticias de ciberataques, lo notable es que no salieron en medios especializados, sino que salieron en el ámbito de la televisión pública. Esto ocurre porque estos incidentes afectan la vida cotidiana y, por lo tanto, son de interés para todos. En otras palabras, los ciberataques no se limitan al ámbito digital, sino también influyen en el ámbito físico, y de ahí radica su gravedad. Además, afectan a países con un alto grado de inversión en seguridad como, por ejemplo, Estados Unidos, y sus atacantes no son improvisados. Si bien estas características antes también estaban presentes, ahora se dan con mayor frecuencia.


En segundo lugar, los ciberataques se llevan adelante contra las denominadas infraestructuras críticas de un Estado, es decir, aquellas que son indispensables para los servicios esenciales que son necesarios para la vida, pero también para la seguridad nacional, el buen funcionamiento de la administración pública o incluso del orden socioeconómico del Estado afectado. Por este motivo, la perturbación o destrucción de estas infraestructuras supondría un grave impacto sobre estos servicios debido a la inexistencia de otras alternativas disponibles (Pérez Sierra, 2021) Estos ataques son especialmente preocupantes porque suponen, entonces, una amenaza para la vida, la salud y la seguridad.


“Toda acción tienen una reacción”

“La creciente dependencia del dominio del ciberespacio para casi todas las funciones civiles y militares esenciales, hace que esto sea un riesgo urgente para la nación” (Cyber Strategy, 2018)


Si bien son muchas las referencias que se pueden hacer al desafío cibernético, se puede destacar la presentación en 2018 del Ejecutivo estadounidense de una “Nueva estrategia de ciberdefensa” orientada a competir, disuadir y ganar en el dominio del ciberespacio. Esta nueva estrategia amplía el campo de la disuasión a la protección de las infraestructuras críticas.


En el caso particular del ataque ocurrido en el Colonial Pipeline, la reacción por parte de la administración de Joe Biden fue el establecimiento de normativas cada vez más duras para detener el avance de los ciberataques.


El 12 de mayo, Biden firmó un decreto para mejorar la ciberseguridad de la nación. Dicha orden ejecutiva exigía a los mismos destinatarios reportar los incidentes a la CISA, nombrar un coordinador de Ciberseguridad, efectuar revisión práctica, identificar áreas no cubiertas, entre otras medidas.


Pero no se quedó ahí. El 20 de julio la Agencia de Seguridad en el Transporte (TSA por sus siglas en inglés), dependiente del Departamento de Seguridad Nacional (DHS), anunció la emisión de una Segunda Directiva de Seguridad, como respuesta a la amenaza persistente a empresas y sistemas de distribución y transporte de combustibles. La misma está destinada a que los propietarios y operadores, quienes transportan sustancias peligrosas, implementen una serie de imperiosas protecciones contra ataques del tipo ransomware y otras amenazas, y diseñen un plan de acción.


Así mismo, el 28 de julio se emitió un “Memorándum de seguridad nacional” sobre la mejora de ciberseguridad de los sistemas de control de infraestructura crítica.


También se puede destacar el hecho de que a principios de junio el líder de la mayoría en el Senado de Estados Unidos, Chuck Schumer, pidiera a la cámara explotar la posibilidad de aprobar nuevas leyes que legislen la respuesta a nuevos ciberataques. En su discurso, le pide al presidente del Comité de Seguridad Nacional, Gary Peters, y a los demás jefes de comité que comiencen una revisión de estos ataques a nivel gubernamental y determinen qué legislación puede ser necesaria para contrarrestar la amenaza del delito cibernético.


Desafíos que se presentan


  • Concientización


Entre los innumerables retos que plantea la protección de las infraestructuras críticas puede que ninguno sea tan omnipresente y problemático como las suposiciones colectivas de la sociedad sobre su existencia, de manera que se vuelve prácticamente invisible. Tan importante es su funcionamiento ininterrumpido y continuo que nadie parece pensar mucho, por ejemplo, en la central eléctrica hasta el día que se corta la luz, o en el agua limpia hasta que se rompe la planta de saneamiento. Sin embargo, hoy las ciberamenazas a infraestructuras críticas son peligrosas y frecuentes como para ignorarlas, lo que obliga al sector privado y al Gobierno a abordar su seguridad.


  • Priorización


Durante años, las infraestructuras críticas estuvieron desconectadas o aisladas de las redes externas y de internet, lo que dificultó el acceso y los ataques, y permitió a las organizaciones centrarse en la seguridad física. Pero en los últimos años, el impulso para aumentar la eficiencia y la centralización ha erosionado este espacio, conectando repentinamente a Internet muchos dispositivos que no fueron diseñados para el acceso externo. Sin embargo, solo después de lo ocurrido con la vulneración de la red ucraniana, el DHS publicó un plan de acción que esbozaba medidas concretas para proteger los sistemas de control industrial.


Por lo tanto, la concientización en materia de ciberseguridad, desde la cima de la cadena de mando hacia abajo, es un primer paso vital (y a menudo ausente) en el desarrollo de una política de seguridad de infraestructura crítica.


A medida que el internet de las cosas, (lot) continúa expandiéndose, la sociedad también se vuelve cada vez más dependiente de sistemas ciber físicos. Asegurar adecuadamente estos sistemas es esencial para gestionar los riesgos que suponen para los propietarios, los gestores y la comunidad en general” (Welch, 2021)



Bibliografía consultada


Valoramos la pluralidad de opiniones. Los artículos publicados por el CENTRO DE POLÍTICA INTERNACIONAL no necesariamente representan las opiniones de todxs lxs miebrxs.


  • Instagram - Negro Círculo
  • YouTube - Círculo Negro
  • Twitter - Círculo Negro
  • Facebook - Círculo Negro
  • Spotify - Círculo Negro