El 7 de Mayo de 2021 la empresa privada “Colonial Pipeline”, encargada del funcionamiento de un oleoducto con origen en Houston que llega hasta Nueva York, transportando gasolina, diésel y combustible de aviones, fue sorprendida por un ciberataque sobre sus sistemas de control, cuando a modo de prevención se vio obligada a apagarlos. Esos sistemas gobiernan las operaciones de la extensa tubería y para el caso relatado, se descubrió que los sistemas y la red informática habían sido comprometidos, después de sufrir un ataque tipo negación de datos (“ransomware”). Esa modalidad de ataque se fundamenta en un cifrado de datos no autorizado, que acontece a espaldas de la organización y de pronto bloquea los formatos que requieren las aplicaciones de control.
Adicionalmente, Colonial Pipeline también advirtió que 100 Gigabytes de datos corporativos le habían sido extraídos, desde un repositorio interno a modo de secuestro de datos. Si no pagaba el rescate, no los obtendría de vuelta. Luego, sin los archivos y bases de datos necesarios para sus aplicaciones, estas resultaban como un vehículo sin gasolina. En cuanto al secuestrador, bajo este esquema criminal, el delincuente pide rescate a la empresa para entregarle la clave que descifra los datos y devolver los bytes robados, de lo contrario la organización debe generar de nuevo toda la información de su negocio. Un ataque de “ransomware” bien planificado y ejecutado, puede incluso contaminar los respaldos de datos (“backups”).
La modalidad “Ransomware como Servicio (RaaS)” es una variante de “Malware como Servicio (MaaS)”, que a su vez se inspiró en el modelo de negocio y producción de programas legal llamado “Software como Servicio (SaaS)”. En el caso del “RaaS”, este esquema facilita la ejecución de un delito, ya que el criminal no requiere de programar todos los instrumentos que usará en su pillería, sino que contacta a alguien o a varios que tienen bibliotecas de software y baúles de herramientas digitales, que sirven para muchas cosas y se compran las requeridas tal como si usted fuera a una tienda de computación. Incluso, si lo necesita y puede pagar, le pueden programar lo que usted demande. Estos desarrolladores, a su vez pueden subcontratar a otros programadores y por eso, la cadena opera en modo similar a una industria de desarrollo de software. Lamentablemente, la Internet se convierte así en el gran comercio o en el lugar donde se puede obtener la mercancía digital requerida, para llevar a cabo cualquier proyecto criminal.
Volviendo a la historia de Colonial Pipeline, esa organización después de un par de días con actividades detenidas, bajo autorización y disgusto con el Buró Federal de Investigaciones (FBI), decidió pagar el rescate de US$4.4 millones estadounidenses en bitcoins. Es importante mencionar que la crisis que creó ese incidente, impactó notable y desfavorablemente a la ciudadanía común, reflejándose en largas colas para surtir de combustible sus vehículos, alterando el funcionamiento de dos aeropuertos regionales y perjudicando la actividad económica de la zona. Evento que no pasó desapercibido para el gobierno federal de Joe Biden, que declaró la emergencia estadal y lo consideró como agresión a la nación. La gobernación también respondió facilitando el intenso surtido del flujo con cisternas por todas las carreteras. La directiva empresarial de Colonial Pipeline ante semejante caos y viendo lo dificultoso que le sería restaurar sus servicios, se inclinó por pagar a los delincuentes y aún con ello, tardó 8 días en normalizar sus operaciones.
¿Cómo se llegó a esa debacle?, ¿acaso no tenían sistemas de protección digital y políticas corporativas para el manejo y mantenimiento de las plataformas informáticas y de telecomunicaciones?, ¿esos sistemas de control no tienen sus propios mecanismos de seguridad?, ¿acaso no son suficiente las certificaciones y auditorías de seguridad? Un ejecutivo puede sentirse desconcertado ante una crisis como la referida y es válido, que pida explicaciones a su personal interno, sus profesionales en ciberseguridad y también sus proveedores de tecnología. Para desgracia de Colonial Pipeline sus mecanismos de seguridad incluían una Red Privada Virtual (VPN) que en conjunto con un “Firewall”, también de fabricantes reconocidos, controlaban y otorgaban acceso privilegiado a un directorio activo, pero contenían al menos una debilidad de software y una configuración débil de autenticación, cosas que a las 7:20 am del día jueves 29 de abril fueron aprovechadas por una herramienta de “Malware” de los vándalos.
Eso significa que quien cayó, nueve días antes del conocer el desastre, fue parte de la protección de seguridad y ello dejó puerta abierta a los malvados, quienes dispusieron de más de una semana para moverse con libertad y resguardo. Montaron su trampa y nadie detectó la intrusión; ello en parte se debe a que el resto de los mecanismos de vigilancia observan principalmente la actividad de los usuarios de la red y sus aplicaciones, no la de los sistemas de ciberseguridad. Fue como si unos delincuentes humanos se hubieran colado dentro de las instalaciones físicas de Colonial Pipeline y se hubieran robado disfraces del personal de vigilancia. Anduvieron a gusto por las instalaciones y nadie supuso que eran los delincuentes, todos los confundieron con el personal de seguridad física que los protege.
En la próxima entrega continuaremos explicando las fallas y revelando las profundas raíces de esta catástrofe corporativa, al igual que encenderemos una luz para prevenir o estar mejor preparado ante tales horrores tecnológicos. Y es que descubrir que una infraestructura crítica de una nación, supuestamente resguardada, pueda ser atacada, derrumbada y ver que los criminales salen millonarios del asunto, es como para despedir a un gentío.
Por el momento cerraremos este relato citando a dos reconocidas académicas, Nancy Mead y Carol Woody quienes en su libro Ingeniería de Ciberseguridad, afirman una idea que a menudo los profesionales del área gerencial parecen olvidar: “Determinar qué acciones de seguridad se deben tomar en función del presupuesto y del cronograma no es efectivo”.
Autor: Miguel Torrealba Sánchez.
Universidad Simón Bolívar
Departamento de Computación y Tecnología de la Información
mtorrealba@usb.ve
