Hace casi tres años, el Oleoducto Colonial fue atacado y cerrado durante seis días, lo que provocó una escasez de gas. Washington, D.C., y otros 17 estados declararon el estado de emergencia.

Descripción general del ataque al oleoducto Colonial

El oleoducto Colonial fue atacado por ransomware en mayo de 2021, lo que afectó a varios sistemas digitales y lo obligó a cerrar durante varios días. El incidente afectó tanto a consumidores como a aerolíneas de la Costa Este. Se consideró un riesgo para la seguridad nacional, ya que el oleoducto transporta petróleo desde las refinerías hasta los mercados industriales, lo que llevó al presidente estadounidense Joe Biden a declarar el estado de emergencia.

El Oleoducto Colonial es uno de los oleoductos más grandes e importantes de Estados Unidos, inaugurado en 1962 para transportar petróleo desde el Golfo de México hasta la Costa Este. El sistema consta de más de 8800 kilómetros de oleoductos, que parten de Texas y atraviesan Nueva Jersey, y es responsable de casi la mitad del combustible de la Costa Este. Suministra petróleo refinado para gasolina, combustible para aviones y combustible doméstico.

Muchas gasolineras en estados de EE. UU. se quedaron sin combustible debido al cierre del sistema Colonial Pipeline, mayo de 2021. Foto: NBC News

El 6 de mayo de 2021, el grupo de hackers DarkSide accedió a la red de Colonial Pipeline y robó 100 GB de datos en dos horas. Posteriormente, infectaron la red informática con ransomware, afectando a varios sistemas informáticos, incluyendo los de contabilidad y facturación.

Colonial Pipeline tuvo que cerrar el oleoducto para detener la propagación del ransomware. La empresa de seguridad Mandiant fue entonces llamada para investigar el ataque. También participaron el FBI, la Agencia de Seguridad de Infraestructura y Ciberseguridad, el Departamento de Energía y el Departamento de Seguridad Nacional.

El 7 de mayo de 2021, la mayor empresa de oleoductos de EE. UU. tuvo que pagar un rescate de 75 bitcoins, equivalente a unos 4,4 millones de dólares, a unos hackers para obtener la clave de descifrado. El oleoducto volvió a funcionar el 12 de mayo de 2021.

Durante una audiencia ante el Congreso de EE. UU. el 8 de junio de 2021, Charles Carmakal, vicepresidente sénior y director de tecnología de Mandiant, afirmó que el atacante penetró en la red utilizando una contraseña filtrada de una cuenta VPN. Muchas organizaciones utilizan VPN para acceder remotamente a redes corporativas seguras.

Según el testimonio de Carmakal, un empleado de Colonial Pipeline aparentemente compartió una contraseña de VPN con otra cuenta, pero dicha contraseña quedó expuesta en otra filtración de datos. Compartir una contraseña entre varias cuentas es un error que cometen muchas personas.

También en la audiencia, el director ejecutivo de Colonial Pipeline, Joseph Blount, explicó por qué decidió pagar el rescate. En el momento del ataque, desconocía la extensión de la infección ni cuánto tardaría en restaurar el sistema. Por lo tanto, tomó la decisión con la esperanza de acelerar la recuperación.

Tras rastrear el pago, el Departamento de Justicia de EE. UU. descubrió la dirección digital de la billetera utilizada por el atacante y obtuvo una orden judicial para incautar los bitcoins. Como resultado, la operación recuperó 64/75 bitcoins por un valor aproximado de 2,4 millones de dólares.

El “legado” del ataque al oleoducto colonial

El ransomware es la primera vez que el país lo detecta, lo que obliga al Congreso a aprobar nuevas leyes e impulsa a las agencias federales a adoptar nuevos requisitos de ciberseguridad. Los ataques de ransomware no son nuevos: ya devastaron gobiernos, centros de salud y escuelas antes del oleoducto Colonial. Pero la diferencia radica en el impacto regional, según Ben Miller, vicepresidente de servicios de la empresa de seguridad de infraestructura Dragos.

“Más tarde aprendí que se presta cierta atención cuando hay un impacto real en la vida de las personas”, dijo Charles Carmakal, vicepresidente sénior de la empresa de seguridad Mandiant, que ayudó a investigar el incidente de Colonial. “Cuando se trata de gasolina y carne, la gente realmente se preocupa”.

El incidente del Oleoducto Colonial dejó a muchas aerolíneas sin combustible y algunos aeropuertos con restricciones. La preocupación por la escasez de gasolina provocó pánico y largas filas en las gasolineras de muchos estados. Los precios promedio en las gasolineras también se dispararon debido a la interrupción del servicio del oleoducto. En algunos estados, la gente incluso vertía gasolina en bolsas de plástico, lo que llevó a la Comisión de Seguridad de Productos del Consumidor de EE. UU. a emitir una advertencia para usar únicamente los recipientes designados para gasolina.

El ataque al Oleoducto Colonial obligó a todos a tomar en serio los riesgos de seguridad y a adoptar políticas que antes se habían pasado por alto. Lograr que el gobierno federal priorizara los requisitos de seguridad de infraestructuras críticas fue una tarea difícil, según Mike Hamilton, exdirector de seguridad informática de la ciudad de Seattle.

Incidentes posteriores a finales de 2021, incluido uno dirigido contra el productor de carne JBS Foods, aumentaron la presión sobre legisladores, reguladores y ejecutivos. Estos incidentes impulsaron a los ejecutivos a revisar sus propios planes de respuesta al ransomware. Miller afirmó que el interés en los planes de respuesta se volvió mucho más detallado.

Aun así, se necesitan regulaciones y cambios en la industria. Wendi Whitmore, vicepresidenta sénior de inteligencia de amenazas de Palo Alto Networks Unit 42, afirmó que deberían existir acuerdos multilaterales entre países para combatir el ransomware.

(Según Axios, Tech Target)