El 7 de mayo Colonial Pipe, el mayor sistema de oleoductos de EEUU, detectó un ciberataque contra sus infraestructuras. Como medida preventiva sus operaciones fueron detenidas, dejando algunas de las líneas principales (la 1, 2, 3 y 4) sin servicio.
Para entender los efectos de esta decisión hay que saber que Colonial Pipeline da servicio a 8.000 kilómetros de oleoductos de petróleo líquido, la mayor parte de los cuales son manejados por sus líneas principales. Estas líneas dan servicio a una gran parte de la costa este de los EEUU. Esto afecta directamente a muchos tipos de productos, que incluyen gasolina, combustible diésel , combustible para aviones para la aviación comercial, aceite para calefacción de hogares y combustibles para el ejército. Y por supuesto a los precios del combustible.
Colonial Pipe y ciberataque: el gran oleoducto de EEUU
Colonial Pipeline suministra el 45% de los combustibles, incluida gasolina y diésel, a la costa oriental de EEUU, transportando 2,5 millones de barriles al día. La suspensión del suministro causó largas colas en gasolineras y compras de pánico, provocando un déficit y disparando el precio de la gasolina hasta los 2,99 dólares por galón, el máximo desde noviembre de 2014. Se reporta que más de 1.000 gasolineras en la región han agotado ya sus reservas.
Georgia, Carolina del Norte y Florida declararon el estado de emergencia el pasado martes y ajustaron regulaciones para acelerar los suministros de combustible. Tanto es así que el 9 de mayo el gobierno de Estados Unidos relajó la legislación del transporte de combustible por carretera para evitar este impacto en todo el país.
El 9 de mayo de 2021 el oleoducto de EEUU Colonial Pipe publicó que había sufrido un ciberataque. Según Bloomberg se había producido una fuga de datos de 100 Gb en dos horas, y estaríamos ante un caso de doble extorsión: el cifrado de información y el chantaje de exponer los datos robados en Internet.
El 10 de mayo el FBI confirmó que el ransomware Darkside era responsable del ataque. Desde este anuncio, varias organizaciones de noticias han definido al grupo como un grupo criminal originario de Rusia, y el presidente Biden afirma que hay evidencia de que los actores tienen su sede en Rusia. No hay evidencia que sugiera que el ataque fue realizado por el gobierno ruso.
De hecho, ese mismo día, el grupo publicó una nota en Deep Web donde hablaba de que sus motivaciones no eran operaciones geopolíticas, sino simplemente económicas.
DarkSide es un Ransomware-as-a-Service (RaaS) que ha estado activo desde agosto de 2020. En noviembre de 2020 se estableció un sitio web de extorsión: DarkSide Leaks. Está supuestamente alojado en Irán para eludir los esfuerzos de eliminación por parte de los organismos encargados de hacer cumplir la ley. En marzo de 2021, “darksupp”, un portavoz y operador de DarkSide, anunció el lanzamiento de DarkSide 2.0. El anuncio incluyó detalles para las variantes del ransomware tanto del sistema operativo Microsoft como del sistema operativo Linux, y también menciona la compatibilidad con el cifrado de instancias ESXi. Los desarrolladores de DarkSide 2.0 proporcionan pagos entre el 75% y el 90% del monto del rescate a los afiliados. Es decir, no son hacktivistas. Son delincuentes.
Una de las cosas que más confunde un perfil a otro es cierta leyenda sobre los Robin Hood en la red. No es el caso. Por ejemplo, el hecho de que la mayoría de los ransomware incluyan una lista de exclusión que evade y hace inmunes a equipos e infraestructuras de determinados países se traduce simple y llanamente en intentar que esos países no los persigan con tanto celo. En el caso de Darkside, por ejemplo, la lista de máquinas “inmunes” sería esta, utilizando el código del lenguaje utilizado en dichas máquinas : Russian – 419, Ucrania – 422 , Belarusian – 423, Tajik – 428, Armenia – 42B, Azerbaiyana (Latin) – 42C, Georgian – 437, Kazakh – 43F, Kyrgyz (Cyrillic) – 440, Turkmen – 442 , Uzbek (Latin) – 443, Tatar – 444, Romanian (Moldova) – 818, , Rusia (Moldova) – 819, Azerbaiyán (Cyrillic) – 82C, Uzbek (Cyrillic) – 843 y Arabice (Siria) – 2801.
Dónde están las infrastructuras detrás del ciberataque
No obstante, les recuerdo que todas estas acciones ejecutadas por bandas tan organizadas utilizan infraestructuras que muchas veces están en suelo europeo o en el mismo Estados Unidos. Ellos las manejan, pero físicamente las máquinas las tenemos al lado, en lo que ya he contado alguna vez llamamos Data Centers a Prueba de Balas.
Es más, este ataque en concreto nos deja indicios de que no fue un ataque dirigido y no tenía un carácter político.
Por ejemplo, el mismo ataque en la misma fecha por Darkside estaba dirigido tanto a Colonial Pipe como a una empresa de servicios dentales en Estados Unidos. En este ataque Darkside usó servicios de Google, que creo no es una empresa rusa, para enmascarar el tráfico de su acción. Por último: La misma infraestructura usada para el ataque contra Colonial fue utilizada contra:
- Una empresa de envasado de alimentos de EEUU.
- Una entidad cívica canadiense.
- Una cooperativa de ahorro y crédito canadiense.
- Una universidad en la República de Irlanda.
- Una universidad en Brasil.
- Una compañía de software de juegos de Sudáfrica.
- Una consultora sudafricana.
- Una compañía de seguros colombiana.
El 12 de mayo el presidente Biden firmó una ley ejecutiva para mejorar la ciberseguridad en la nación. Las líneas básicas ante el incremento de ataques son :
- Eliminar barreras en el intercambio de información entre Gobiernos y las empresas tecnológicas en estos casos.
- Establecimiento de estándares en seguridad en las arquitecturas e infraestructuras en la cloud y on premise, y en el desarrollo del software con una calificación de seguro.
- La creación de una Junta de Revisión de Seguridad Cibernética para el estudio y prevención de estos incidentes, siguiendo un modelo parecido al que existe en la aeronáutica y los accidentes en la aviación.
- Creación de un procedimiento estándar de respuesta ante estos incidentes.
- Reforzar la detección de incidentes en toda la administración federal.
- Un registro histórico de todos los incidentes que se producen en este campo.
El 13 de mayo Colonial Pipe presuntamente pagó 5 millones de dólares en criptomonedas a los atacantes, aunque la empresa no lo confirmó.
El 14 de mayo empezó otra guerra. La de la desinformación y la geopolítica. Los medios de comunicación estatales rusos RIA Novosti , Sputnik News y RT informaron que es “posible” que la CIA sea responsable del ataque de ransomware Colonial Pipeline, no los ciberdelincuentes nacionales rusos. Según un informe inicial publicado por RIA Novosti, que cita a la cofundadora de Kaspersky Lab y actual presidenta de InfoWatch, Natalya Kasperskaya, la CIA está potencialmente detrás del ataque de ransomware. Y basó su evaluación en la información proporcionada en una divulgación de WikiLeaks de 2017 sobre una supuesta CIA secreta. Un supuesto departamento llamado UMBRAGE.
España no es ajena a este tsunami de ciberataques como el sucedido contra el oleoducto de EEUU. Hemos visto ejemplos de cómo nos afectan en nuestras vidas recientemente, como en el caso del SEPE. Pero irán a más. De hecho, recordar la historia nos permite enfrentarnos al futuro. Espero que quienes deben y pueden tomen nota. Porque este problema ya está aquí.
