El hackeo al departamento de facturación que paró EEUU
El ataque de un ransomware a la petrolera Colonial en EEUU creó una situación de caos en la costa este de EEUU con imágenes de largas colas en gasolineras y parón de gran parte de la actividad logística que obligó al presidente Biden a declarar el estado de emergencia en 17 estados.
En el imaginario colectivo, este tipo de ciberataques se suelen representar cómo ataques muy sofisticados que bloquean maquinaria crítica. Sin embargo, nada más lejos de la realidad, pero esto es lo más preocupante.
De todo esto hablamos en este #technobits de Capital Radio con Luis Vicente Muñoz:
Muy rápidamente para los rezagados. La compañía Colonial Pipeline es la operadora del mayor oleoducto en EEUU que transporta productos refinados del petróleo, gasolina y queroseno entre otros. El día 7 de mayo, la compañía sufrió un ciberataque que la obligó a parar operaciones lo cual generó una situación de desabastecimiento severo en muchas zonas de la Costa Este de EEUU.
Además del caos circulatorio producido por gasolineras completamente vacías, también afectó al transporte aéreo. El día 9 de mayo el presidente Biden declaró el estado de emergencia en 17 estados el día 9 de mayo, y no fue hasta el día 15 cuando todos los sistemas de Colonial volvió a la normalidad.
Cómo decíamos al principio, este tipo de ciberataques a empresas industriales que generan este nivel de caos lo solemos imaginar cómo parte de un plan terrorista a gran escala que incluye un ataque muy sofisticado contra determinados sistemas de control críticos de la maquinaria de la empresa.
Se sabe muy poco de los detalles del ciberataque, pero suficiente para saber que la realidad es muy diferente de esa imagen de las películas de desastres.
Se sabe que los ciberterroristas utilizaron un ransomware. Este tipo de ataque se realiza a través de conseguir instalar un tipo de malware en los ordenadores de la víctima que encripta los datos y los secuestra, pidiendo un rescate para liberar los datos y permitir a su propietario recuperar el control.
Este tipo de ataques se suelen producir a través de phishing, y han ido pasando desde envíos masivos de correos esperando pescar incautos, hasta ataques muy definidos a un grupo muy reducido de personas en el que se puede incluso suplantar la persona de un superior para conseguir que el objetivo instale la aplicación que hace de Caballo de Troya. En todo caso, este tipo de ataques tienen más de ingeniería social que de sofisticación tecnológica.
Sí que es cierto que en este caso todo apunta a que hubo un nivel mayor de sofisticación más alto que un «simple» phishing dirigido a los empleados de Colonial. Para empezar, además del bloqueo de equipos, los atacantes consiguieron obtener datos confidenciales de la compañía el día antes del ataque, incluyendo el chantaje de hacerlos público en el paquete del rescate que pidieron.
Pero además, y aquí está una de las claves, los propios atacantes reconocieron que antes de atacar hacen los deberes. Y es que DarkSide, que son los autores del ataque, más que terroristas deberían ser considerados una mafia muy profesional.
Resulta que son una organización que incluso publica notas de prensa, y en ella reconocieron que no esperaban que su actuación tuviera tanto impacto a los ciudadanos, y que a partir de ahora, en su modus operandi incluirían los potenciales impactos sociales a la hora de elegir sus víctimas.
Quizá este es el motivo por el que cuando se supo que Colonial había pagado el rescate, sorprendió lo «pequeño» que fue. «Sólo» 5 millones de dólares (por supuesto en bitcoins), seguramente debido a la atención que esto había recibido y que seguramente DarkSide prefirió cerrarlo y desaparecer lo antes posible. Se estima que se pagan unos 500 millones al año en rescates por ransomware, pero el impacto económico es aún mayor.
Hay que recordar que aquí en España hemos tenido varios casos de impacto importante de ransomware en grandes empresas. Más allá del famoso y masivo wannacry, SegurCaixa Adeslas tardó meses en recuperarse (y lo sufrí cómo usuario) de un ataque por ransomware.
Pero una de las cosas más sorprendentes de este caso de Colonial, y que creo que está pasando desapercibido, es que el motivo por el que se paró la operativa de la compañía fue por que el ransomware afectó al departamento de facturación de la compañía, y al ser incapaz de seguir facturando, decidieron dejar de suministrar combustible.
Es razonable pensar que DarkSide tenía precisamente cómo objetivo esta parte de la compañía. Si quieres ahogar a una empresa, la mejor forma es impedir que no puedan facturar. Y esto es un ejemplo más de la profesionalización y la sofistificación (no necesariamente tecnológica) de este tipo de ataques, y por lo tanto, del riesgo en aumento que esto significa y de lo poco consciente que es el «gran público» de esto.
Pero en EEUU, después de que mucha gente se quedó sin gasolina, este problema ha subido rápidamente en cuanto a atención. Y por supuesto, hay mucho revuelo político. Y claro, los políticos se han puesto a hablar de lo que saben hacer, leyes. De hecho, se ha vuelto a activar el debate sobre si sería bueno prohibir el pago de los rescates en estos casos.
Parece lógico pensar que si nadie pagara rescates en estos casos, los criminales dejarían de hacer este tipo de ataques. Pero también parece complicado penalizar a personas o empresas que tienen que tomar medidas drásticas en momentos desesperados. Pero cómo dice este experto, la solución pasa por el eslabón más débil, y siempre es el usuario.
Cierto es que aquí tenemos bastantes problemas para mantenernos preocupados, pero este tema debería preocuparnos más. Y sinceramente, el que problemas gravísimos de abastecimiento que prácticamente paran un país como EEUU se puedan producir por el hackeo de un departamento de facturación de una empresa relativamente pequeña, debería producir una preocupación extrema.
@resbla
