Hace casi tres años, el Colonial Pipeline fue atacado y tuvo que cerrar su sistema de tuberías de combustible durante seis días, lo que provocó una escasez de gas. Washington, DC y otros 17 estados han declarado el estado de emergencia.

Descripción general del ataque al oleoducto Colonial

Colonial Pipeline fue víctima de un ransomware en mayo de 2021, que afectó a varios sistemas digitales y lo obligó a cerrar durante varios días. El incidente afecta tanto a los consumidores como a las aerolíneas de la Costa Este. Se considera un riesgo para la seguridad nacional porque el oleoducto transporta petróleo desde las refinerías a los mercados industriales. Esto llevó al presidente estadounidense Joe Biden a declarar el estado de emergencia.

El Colonial Pipeline es uno de los oleoductos más grandes e importantes de Estados Unidos, que comenzó a operar en 1962 para ayudar a transportar petróleo desde el Golfo de México a los estados de la Costa Este. El sistema incluye más de 5.500 millas de tuberías, que comienzan en Texas y pasan por Nueva Jersey, responsable de casi la mitad del combustible de la Costa Este. Suministra aceite refinado para gasolina, combustible para aviones y aceite de uso doméstico.

Muchas gasolineras en estados de EE. UU. se quedan sin combustible debido al cierre del sistema Colonial Pipeline, mayo de 2021. Foto: NBC News

El 6 de mayo de 2021, el grupo de hackers DarkSide accedió a la red de Colonial Pipeline y robó 100 GB de datos en 2 horas. Luego infectaron la red informática con ransomware, afectando múltiples sistemas informáticos, incluidos los de contabilidad y facturación.

Colonial Pipeline tuvo que cerrar el oleoducto para detener la propagación del ransomware. La empresa de seguridad Mandiant fue entonces llamada para investigar el ataque. También participaron el FBI, la Agencia de Seguridad Cibernética y de Infraestructura, el Departamento de Energía y el Departamento de Seguridad Nacional.

El 7 de mayo de 2021, la empresa de oleoductos más grande de Estados Unidos tuvo que pagar un rescate de 75 bitcoins por un valor de aproximadamente 4,4 millones de dólares a piratas informáticos para obtener la clave de descifrado. El oleoducto fue reoperado a partir del 12 de mayo de 2021.

Durante una audiencia ante el Congreso de Estados Unidos el 8 de junio de 2021, Charles Carmakal, vicepresidente senior y director de tecnología de Mandiant, dijo que el atacante había penetrado en la red utilizando una contraseña filtrada de una cuenta VPN. Muchas organizaciones utilizan VPN para acceder de forma segura a las redes corporativas de forma remota.

Según el testimonio de Carmakal, un empleado de Colonial Pipeline aparentemente compartió una contraseña de VPN con otra cuenta, pero esa contraseña quedó expuesta de alguna manera en otra violación de datos. Usar la misma contraseña para múltiples cuentas es un error que muchas personas cometen.

También en la audiencia, el director ejecutivo de Colonial Pipeline, Joseph Blount, explicó por qué decidió pagar el rescate. En el momento del ataque no se sabía el alcance de la propagación ni cuánto tiempo tomaría restablecer el sistema. Así que tomó la decisión con la esperanza de acelerar su tiempo de recuperación.

El Departamento de Justicia de Estados Unidos, tras rastrear el pago, descubrió la dirección digital de la billetera utilizada por el atacante y obtuvo una orden judicial para incautar el Bitcoin. Como resultado, la campaña recuperó 64/75 Bitcoins por un valor aproximado de 2,4 millones de dólares.

El “legado” del ataque al oleoducto colonial

Por primera vez, el ransomware atrajo la atención nacional hacia Estados Unidos, obligando al Congreso a aprobar nuevas leyes e impulsando a muchas agencias federales a introducir nuevos requisitos de ciberseguridad. Los ataques de ransomware no son nuevos: han devastado gobiernos, centros de salud y escuelas antes de que Colonial Pipeline fuera víctima. La diferencia, sin embargo, está en el impacto regional, según Ben Miller, vicepresidente de servicios de la firma de seguridad de infraestructura Dragos.

“Más tarde aprendí que hay un cierto nivel de atención cuando algo tiene un impacto real en la vida de las personas”, dijo Charles Carmakal, vicepresidente senior de la empresa de seguridad Mandiant, que ayudó a investigar el incidente de Colonial. “Cuando se trata de gas y carne, la gente realmente se preocupará”.

Debido al incidente en Colonial Pipeline, muchas aerolíneas se encuentran con escasez de combustible y algunos aeropuertos tienen restringidas sus operaciones. La preocupación por la escasez de gasolina ha provocado pánico entre la gente, lo que ha provocado largas colas en las gasolineras de muchos estados. Además, los precios medios en las estaciones de bombeo también se dispararon debido a los cortes en los oleoductos. En algunos estados, la gente incluso vierte gasolina en bolsas de plástico, lo que obliga a la Comisión de Seguridad de Productos del Consumidor de Estados Unidos a emitir una advertencia para utilizar únicamente recipientes diseñados específicamente para gasolina.

El ataque al Oleoducto Colonial obligó a todos a tomar en serio los riesgos de seguridad y a adoptar políticas que antes se pasaban por alto. Conseguir que el gobierno federal priorice los requisitos de seguridad de la infraestructura crítica fue una tarea difícil, según Mike Hamilton, ex director de seguridad de la información de la ciudad de Seattle.

Los casos posteriores a fines de 2021, incluido uno dirigido contra el productor de carne JBS Foods, aumentaron la presión sobre los responsables políticos, los reguladores y los ejecutivos. Fueron un catalizador para que los líderes revisaran sus propios planes de respuesta al ransomware. Según Miller, el nivel de atención a la planificación de la respuesta se ha vuelto mucho más detallado.

Aún así, las regulaciones y la industria necesitan cambiar. Wendi Whitmore, vicepresidenta sénior de inteligencia de amenazas de Palo Alto Networks Unit 42, cree que debería haber acuerdos multilaterales entre países para acabar con el ransomware.

(Según Axios, Tech Target)