El pasado 7 de mayo, se reportó el ciberataque de ransomware que detuvo a la empresa transportadora de combustible Colonial Pipeline, considerado como el ataque más importante a la infraestructura crítica de Estados Unidos hasta la fecha. El hecho ha dejado varias lecciones en torno a la ciberseguridad de industrias de todo tipo, especialmente la del petróleo y el gas.
El ataque se originó con un ransomware, que es un código malicioso que tomó el control de las computadoras del entorno de la tecnología de la información (TI) de la compañía estadounidense. Según comenta el experto Grant Geyer, director de Productos de Claroty, empresa líder en ciberseguridad industrial, y socio digital de Rockwell Automation, cuando Colonial Pipeline contrató expertos para ayudar a comprender el ataque y su potencial impacto, también detuvieron partes de su entorno de tecnología operativa (TO), lo que frenó el transporte de combustible hacia toda la costa este de Estados Unidos.
“Presencié muchos ataques al entorno en el sector de TI. Sin embargo, si mal no recuerdo, este es uno de los ataques de mayor impacto en el mundo cibernético y afectó al mundo físico. Hizo que los oleoductos se cerraran, lo que causó una escasez de combustible y por ende, las estaciones se llenaron de personas que intentaban acumular gasolina, por lo que los precios se dispararon”, explica Geyer en conversación con Theresa Houck, editora ejecutiva de The Journal de Rockwell Automation y PartnerNetwork.
Es decir, el ataque tuvo un impacto en la empresa, y a la vez afectó a otros negocios de la cadena de suministro de combustible, a los consumidores y al gobierno de Estados Unidos. Por eso es que este no es un ataque cualquiera, sino que tiene un objetivo definido. El grupo DarkSide, sindicado como autor del perjuicio, es calificado por Geyer como una pandilla criminal que, al tener a su objetivo identificado, lo intimida, coloca ransomware en sus máquinas y, antes de bloquear los sistemas, roban sus datos.
Pero no es el único caso. En febrero de este año hubo otro ataque en la instalación de tratamiento de agua de Oldsmar, Florida, a través de la herramienta TeamViewer. Un operador de activos notó que los niveles de agua aumentaban de 100 a más de 11,000 partes por millón. Primero pensó que era un error, por lo que lo solucionó, pero volvió a ocurrir. Geyer destaca una primera lección: la importancia de emplear a los operadores como la primera línea de defensa.
Otra lección a la que apunta es que “solemos creer que los ciberataques ingresarán por el lado de TI de la red y, luego, avanzarán por el puente entre TI y TO para tratar de poner en riesgo los activos de TO, pero existen otros puntos de acceso para los ciberataques”. En este caso fue la misma necesidad de conectividad remota por la pandemia la que dio acceso a la amenaza.
Y, ¿qué hay de la convergencia entre TI y TO? Tradicionalmente, dice Geyer, había un “muro de aire” que separaba ambos entornos. En ese sentido, cree que será importante contar con zonas virtuales, entornos microsegmentados y arquitecturas de red de confianza cero. Estas permiten a los usuarios acceder a los activos que necesitan, pero brindan la posibilidad de comprobar la identidad de los usuarios y que tengan permisos para acceder a estos activos. En concreto, en las condiciones actuales el muro de aire no es la solución.
Más lecciones
Otro aprendizaje que nos deja estos y otros ataques es que se debe conocer el inventario de activos de las empresas y qué activos están expuestos. Para el especialista, es un proceso largo reducir los riesgos inherentes de estos activos. Asimismo, es importante garantizar que el acceso remoto sea seguro y que los autores de amenazas no puedan robar las credenciales que los usuarios utilizan para acceder al entorno.
Del mismo modo, es importante que las empresas realicen ejercicios de simulación y preguntarse qué hubieran hecho si les pasaba lo que le ocurrió a Colonial Pipeline.
En la misma línea, Geyer considera que los responsables de la automatización deben tener en cuenta que el denominador común entre ambos equipos (TI y TO) es la gestión de riesgos.
“Allí es donde se produce la magia: cuando se comprende que no se trata de una pelea política entre la seguridad de TI y el equipo de TO, sino que deben trabajar en conjunto y preguntarse: ¿cómo lograremos gestionar y mitigar los riesgos juntos con conocimiento de este entorno de amenazas letales que debemos enfrentar?”, puntualiza el experto en la conversación.
