El ciberataque que paralizó el sistema energético de EE.UU. la semana pasada

Noticia | Mayo 12 de 2021

Juan Guillermo Cubillos, publicación de CyberPro Colombia

Colonial Pipeline es una compañía estadounidense con uno de los sistemas de oleoductos más grandes del país. El pasado viernes 7 de mayo, sufrió una ofensiva que ha paralizado su actividad, ¿el motivo? Un ciberataque. Este caso representa una de las mayores interrupciones de infraestructura indispensable que se ha visto en este país, y el más afectado ha sido el sistema energético. El incidente ha generado un gran impacto en la industria petrolera, pues a raíz de esta suspensión prolongada se pronostica un alza en los precios y hasta se decretó el estado de emergencia para intentar solventar las consecuencias generadas.

 

Según el comunicado oficial publicado por la empresa, la modalidad por la cual fue posible esta penetración al sistema, ha sido un ransomware. Al analizar las tendencias y comportamientos recientes de ciberdelincuencia, es evidente que este no fue un hecho aislado, pues se produjo después de un crecimiento exponencial de ataques de este tipo en el mundo. Este último es un tipo de modalidad extorsiva de malware, donde se cifra el sistema operativo o archivos de un dispositivo para luego exigir un pago por su recuperación. Según el New York Times, el objetivo del ataque fue tener acceso a datos corporativos mal protegidos, no tomar el control del oleoducto; y fue la misma empresa quien decidió cerrar su operación tras descubrir la infiltración en su sistema, como medida de seguridad.

Ahondando más en los detalles del ataque, se descubrió que este fue causado por el ransomware DarkSide, un virus informático generado por un grupo de hackers conocido con este mismo nombre. A continuación, se especificarán más detalles de este tipo de ataques. 

 

Vectores de ataque

Los métodos de conexión contra estas redes, tales como TeamViewer o RDP (Remote Desktop Protocol), ataques de Ingeniería Social, y otros factores facilitan obtener acceso a entornos de sistemas críticos. 

El nivel de exposición de sesiones remotas es un factor muy importante al momento de perfilar un ataque sobre un objetivo específico, en sitios como shodan, es posible evidenciar cantidad de equipos con sesiones RDP accesibles. 

Imagen 1:
Imagen sesiones RDP.
 

Un ataque sobre sesiones remotas logra tener éxito acompañada de ataques como Ingeniería Social buscando implantar malware en los equipos de las personas que son blancos de ataques, con acceso al equipo es más sencillo husmear en búsqueda de datos de sesiones o captura de tráfico, y lograr evidenciar datos relevantes que permitan generar acceso. 

 

¿Existen mecanismos de defensa? 

Los ataques de tipo ransomware con nuevas variantes son difíciles de detener, debido a que las firmas no siempre se encuentran actualizadas en los motores de datos de los Antivirus, lo que dificulta detener a tiempo un ataque de este tipo.  

Imagen 2:
características de DarkSide 2.0, tomada de sus redes sociales.
 

Otro factor en este ataque fue el uso de una versión DarkSide 2.0, como fue notificado por medio de redes sociales (imagen 2). Este factor dificulta, aún más, poder contar con firmas actualizadas. 

Para este entorno de sistemas críticos el mejor esquema de defensa es aislar las conexiones a entornos locales, los accesos remotos siempre serán una puerta de entrada para ciberataques debido a su falta de control y los diferentes medios de obtener los datos con ayuda de usuarios incautos y desprevenidos. Siempre se debe recordar que “el eslabón más débil es el ser humano”, el cual siempre será uno de los objetivos de ataque. 

La importancia de conciencia en seguridad, minimiza la posibilidad de ser punto de entrada en una organización, lo que dificultará a los ciberdelincuentes los ataques exitosos sobre sistemas de información.

La preparación y defensa contra amenazas cibernéticas en el sector de infraestructura crítica son fundamentales para un manejo sostenible de nuestra vida. Esto depende de profesionales en ciberseguridad con conocimientos específicos avanzados en la protección de sistemas. El Javeriana CyberPro Center es el primer centro en Colombia que ofrece formación práctica en ciberseguridad. Nuestros programas enseñan no solo los conceptos sino también el «cómo hacer» para los profesionales de ciberseguridad en los diferentes sectores. Si te interesa conocer más sobre programas académicos específicos, ¡escríbenos!