Cómo el mismo virus que secuestra tu PC taponó uno de los grandes oleoductos de EEUU

El mismo tipo de ataque que en su día devolvió a la cadena SER a los años 80 o que logró tumbar la web del SEPE más recientemente ha conseguido ahora taponar una de las principales arterias energéticas de Estados Unidos. Un 'ransomware' ha conseguido taponar el oleoducto de Colonial Pipelines, uno de los más grandes de Norteamérica. Por esta enorme 'tubería' se transporta prácticamente uno de cada tres litros de combustible que se consumen en la primera potencia mundial y prácticamente la mitad (45%) de lo que necesita la Costa Este para moverse diariamente.

TE PUEDE INTERESAR

Cuidado con esta estafa: el SEPE alerta de correos electrónicos que suplantan a la Seguridad Social

El Confidencial

La compañía decidió tirar del freno de mano el pasado viernes, un día después de que un grupo de ciberdelicuentes consiguiesen secuestrar parte de la estructura informática de la compañía, haciéndose además con un botín de 100 gigas en documentos e información variada. Ese movimiento de desconexión general fue, como los propios responsables de la empresa han confirmado a diferentes medios, un movimiento de carácter preventivo para evitar que la sangre llegase al río y la infección acabase infectando a partes y equipos más críticos que interfieren directamente en el correcto funcionamiento del oleoducto.

No se puede obviar que esta 'tubería' gestionada por Colonial Pipelines dibuja una serpenteante línea que recorre la costa atlántica de los Estados Unidos, atravesando el subsuelo de más de una decena de estados para sumar un total de 8.850 kilómetros de longitud. A eso habría que sumar los diferentes esquejes y desviaciones que surgen en diferentes puntos de su trazado.

Su extremo norte desemboca al norte de la ciudad de Nueva York, en el estado de Nueva Jersey. Su extremo sur lo hace en territorio de Texas, en el Golfo de México. Desde allí se encarga de bombear preciados combustibles como diesel, gasolina o queroseno regando la gran manzana, pero también otras ciudades como Boston, Atlanta, Charlotte, por mencionar algunas de las grandes urbes a las que alimenta. El precio medio de la gasolina subió ocho céntimos hasta los 2,98 dólares el litro por culpa de este incidente la pasada semana y podría seguir escalando en los próximos días si no se remedia.

Los autores: Darkside

Una instalación así requiere de múltiples sensores conectados para controlar cosas como la presión, el flujo, la temperatura... y cualquier cosa 'conectada' es susceptible de ser inutilizada por un 'malware', directa o indirectamente. Es decir, puede ser que esa válvula concreta no llegue a infectarse, pero sí el ordenador que la gobierna. Este parece ser el caso que se vive actualmente en Estados Unidos.

"Según los datos que hay de las investigaciones en marcha parece que no han utilizado un 'ransomware' específico para toda esa maquinaria conectada. Sin embargo, se han visto obligados a detener su funcionamiento porque al estar afectada la estructura IT de la compañía es probable que los ordenadores encargados de la monitorización estén fuera de juego", explica Eusebio Nieva, director técnico de Check Point Software para España y Portugal. En este caso, el FBI ha confirmado las sospechas de los últimos días: ha sido 'Darkside', una banda de ciberdelincuentes rusos, muy activos desde el pasado año y que ya ha realizado diversas escaramuzas en muchos países occidentales. Esta organización ha declarado que su motivación no es política y que su único interés es pura y meramente "económico".

"Desde agosto del año pasado, los operadores de Darkside se han vuelto cada vez más activos y han comenzado a señalar nombres relevantes en una amplia gama de sectores, lo que ha culminado con ataques contra operadores de infraestructura crítica", ha explicado Bogdan Botezatu, director de Investigación e Informes de Amenazas en Bitdefender.

Esta consultora también señala el particular 'modus operandi' de este grupo, ya que han creado un "centro de prensa" animando a los periodistas a ponerse en contacto con ellos y para anunciar las próximas filtraciones. Botezatu también subraya que "cierran asociaciones con empresas sospechosas de recuperación de datos" y disfrazando sus 'golpes' con supuestas donaciones a organizaciones benéficas.

El daño que puede causar

La clave para contener el 'incendio' es aislar la zona afectada y salvaguardar esa capa operativa. Un buen ejemplo del daño que pueden causar si acceden a absolutamente a toda la infraestructura es lo que vivió Norsk Hydro en 2019. Un empleado abrió un correo infectado en cuyo remitente aparecía un cliente de la compañía. Eso permitió entrar sigilosamente a los asaltantes y esparcir, en los siguientes tres meses, el 'ransomware' por toda la estructura de una compañía presente en 40 países.

"El agujero en un altísimo porcentaje suele ser una acción de 'phishing'. Un empleado o un colaborador que pincha en un enlace que no debe, se descarga un adjunto con un ejecutable... Es cierto que en otras ocasiones se da un sondeo previo por parte de los atacantes para descubrir una vulnerabilidad", prosigue este experto en ciberseguridad. "Una vez has roto el perímetro y estás dentro, las medidas de seguridad son mucho menos efectivas". Se da la particularidad que empresas energéticas o de telecomunicaciones muchas veces recurren a terceros actores para actualizar sus infraestructuras por lo que la seguridad ya no depende de una única organización, sino de varias.

Este gigante de la fabricación de aluminio vio cómo muchas de sus plantas se paralizaban y tenía que aparcar los procesos automáticos y recuperar tareas manuales en las fundiciones para salvar la cara y poder parte de la producción. Se estimó entonces que los daños ascendían a 71 millones de dólares.

Cómo recuperar la normalidad

Ese poner la venda antes de la herida parece que ha funcionado, ya que el 'ransomware' no ha afectado, según ha dicho la propia Colonial Pipelines, a estas partes más críticas y el daño se ha limitado a otras partes menos sensibles. Sin embargo, las previsiones más optimistas apuntan a que hasta el viernes, una semana después de apretar el botón de parada de emergencia, no se pueda recuperar la total normalidad. "Hay que aislar partes de las infraestructuras para que no se vuelvan a cifrar una vez están limpias", explica Nieva. "Por eso es importante solo conectar los sitios que están completamente limpios y eso conlleva ir por fases y paso a paso".

El 'ransomware' es una tipología de software malicioso que lo que hace es encriptar los equipos que ataca y que solo pueden ser desbloqueados con una contraseña que tienen los ciberdelincuentes, que suelen pedir un cuantioso rescate a cambio de esa clave. Hay dos grandes tipos: los que codifican esos archivos valiosos, pero no interfieren en el funcionamiento de la máquina y los que además de eso bloquean su normal desempeño.

Dado que corre el 'riesgo' de saltar fácilmente de un equipo a otro une vez se ha colado en el sistema, uno de los primeros pasos suele ser recurrir a esos apagones generalizados y, posteriormente, ir restableciendo los ordenadores en entorno seguro. Sin embargo, el daño puede ser doble, ya que si detectan un agujero en la seguridad de una empresa acostumbran a descargar información confidencial y amenazar con publicarla en internet si no acceden al chantaje. Si no se quiere pagar, algo que no recomiendan los expertos, Eusebio Nieva recuerda que "la mejor herramienta son los 'back ups'".

En este caso no ha trascendido si los administradores de este oleoducto han accedido a realizar estos pagos. En los últimos años hemos visto una gran variedad de ellos. Nombres como 'Locky', 'Wannacry', 'Ryuk' o 'CryptoLocker' han dado mucho que hablar después de afectar a múltiples sectores y empresas, incluyendo desde hospitales y centros médicos hasta grandes corporaciones como Telefónica.