El ataque al oleoducto da como resultado lecciones urgentes sobre ciberseguridad en los EE. UU.

Durante años, los funcionarios del gobierno y los ejecutivos de la industria han realizado elaboradas simulaciones de un ciberataque dirigido a la red o los gasoductos en los Estados Unidos, preguntándose cómo respondería el país.

Pero cuando llegó el momento real, esto no es un ejercicio, llegó, no fue nada como los juegos de guerra.

El atacante no era un grupo terrorista o un estado hostil como Rusia, China o Irán, como se había asumido en las simulaciones. Era una red de crimen organizado. El objetivo no era alterar la economía desconectando un oleoducto, sino mantener los datos corporativos al rescate.

Los efectos más visibles, largas filas de conductores nerviosos en las estaciones de servicio, no resultaron de una respuesta del gobierno, sino de la decisión de una víctima, Colonial Pipeline, que controla casi la mitad de la gasolina, el combustible para aviones y el diésel que fluye a lo largo de la costa este. cerrar el grifo. Lo hizo con la preocupación de que el malware que infectaba sus funciones administrativas pudiera dificultar la recolección de combustible entregado a lo largo del oleoducto o incluso extenderse al sistema operativo del oleoducto.

Lo que sucedió a continuación fue un ejemplo vívido de la diferencia entre las simulaciones de mesa y la cascada de consecuencias que puede seguir incluso a un ataque relativamente sencillo. Las secuelas del episodio todavía están sucediendo, pero algunas de las lecciones ya son claras y demuestran hasta dónde deben llegar el gobierno y la industria privada para prevenir y lidiar con los ataques cibernéticos y crear sistemas de respaldo rápidos para cuando la infraestructura crítica falla.

En este caso, la creencia arraigada de que las operaciones del oleoducto estaban totalmente aisladas de los sistemas de datos bloqueados por DarkSide, una banda de ransomware que se creía que operaba fuera de Rusia, resultó ser falsa. Y la decisión de la compañía de cerrar el oleoducto provocó una serie de dominós, incluido el pánico en las bombas y un temor silencioso dentro del gobierno de que el daño pudiera extenderse rápidamente.

Una evaluación confidencial preparada por los Departamentos de Energía y Seguridad Nacional concluyó que el país solo podía permitirse otros tres a cinco días con el oleoducto colonial cerrado, antes de que los autobuses y otros medios de transporte masivo tuvieran que limitar las operaciones por falta de gasoil. Las fábricas de productos químicos y las operaciones de refinería también cerrarían porque no había forma de distribuir lo que producían, según el informe.

Y aunque los asesores del presidente Biden anunciaron esfuerzos para encontrar formas alternativas de transportar gasolina y combustible para aviones en la costa este, ninguna se implementó de inmediato. Faltaban camioneros y vagones cisterna.

«Se han expuesto todas las debilidades», dijo Dmitri Alperovitch, cofundador de CrowdStrike, una empresa de ciberseguridad, y ahora presidente del grupo de expertos Silverado Policy Accelerator. “Aprendimos mucho sobre lo que puede salir mal. Desafortunadamente, nuestros oponentes también. «

La lista de clases es larga. Colonial, una empresa privada, pudo haber pensado que tenía una pared protectora impermeable, pero se rompió fácilmente. Incluso después de pagar a los extorsionistas casi $ 5 millones en moneda digital para recuperar sus datos, la compañía descubrió que el proceso de descifrar sus datos y reactivar la tubería era dolorosamente lento, lo que significa que todavía pasarán días antes de que la costa este vuelva a la normalidad.

«Esto no es como encender un interruptor de luz», dijo Biden el jueves, y señaló que el oleoducto de 5.500 millas nunca se había cerrado antes.

Para el gobierno, el evento resultó ser una semana peligrosa en la gestión de crisis. Biden dijo a sus ayudantes, recordó, que nada podría causar daño político más rápido que las imágenes de las líneas de gas y el aumento de los precios en la televisión, con la inevitable comparación con los peores momentos de Jimmy Carter como presidente.

Biden temía que, a menos que el oleoducto reanude sus operaciones, el pánico disminuirá y la distorsión de los precios se reducirá de raíz, la situación alimentará las preocupaciones de que la recuperación económica aún es frágil y la inflación está aumentando.

Además de la avalancha de acciones para que el petróleo circule en camiones, trenes y barcos, Biden ha publicado una orden ejecutiva de larga data que, por primera vez, tiene como objetivo exigir cambios en la ciberseguridad.

Y sugirió que estaba dispuesto a tomar medidas que la administración Obama dudó en tomar durante los trucos electorales de 2016: acción directa para contraatacar.

«También vamos a buscar una medida para detener su capacidad para operar», dijo Biden, una línea que parecía sugerir que el Comando Cibernético de los Estados Unidos, la fuerza militar de guerra cibernética, podía sacar a DarkSide fuera de línea. al igual que le sucedió a otro grupo de ransomware en el otoño antes de las elecciones presidenciales.

Horas más tarde, los sitios de Internet del grupo fueron cerrados. El viernes temprano, DarkSide y varios otros grupos de ransomware, incluido Babuk, que irrumpió en el departamento de policía de Washington DC, anunciaron que abandonaban el juego.

Darkside aludió a la acción disruptiva de una agencia de aplicación de la ley no especificada, aunque no está claro si esto fue el resultado de la acción de Estados Unidos o la presión de Rusia antes de la esperada cumbre de Biden con el presidente Vladimir V. Putin. Y guardar silencio puede simplemente haber reflejado una decisión de la banda de ransomware de frustrar los esfuerzos de represalia cerrando las operaciones, quizás temporalmente.

El Comando Cibernético del Pentágono ha remitido preguntas al Consejo de Seguridad Nacional, que se negó a comentar.

El episodio destacó la aparición de una nueva «amenaza combinada», que puede provenir de los ciberdelincuentes, pero a menudo es tolerada y, a veces, alentada por una nación que considera que los ataques sirven a sus intereses. Es por eso que Biden destacó a Rusia, no como culpable, sino como la nación que alberga más grupos de ransomware que cualquier otro país.

«No creemos que el gobierno ruso esté involucrado en este ataque, pero tenemos fuertes razones para creer que los criminales que cometieron este ataque viven en Rusia», dijo Biden. «Hemos estado en comunicación directa con Moscú sobre la necesidad de que los países responsables tomen medidas contra estas redes de ransomware».

Con los sistemas de Darkside desactivados, no está claro cómo el gobierno de Biden tomaría más represalias, además de posibles acusaciones y sanciones, que no han impedido antes a los ciberdelincuentes rusos. Contraatacar con un ciberataque también conlleva sus propios riesgos de escalada.

El gobierno también debe reconocer el hecho de que gran parte de la infraestructura crítica de Estados Unidos pertenece y es operada por el sector privado y permanece lista para el ataque.

«Este ataque expuso cuán débil es nuestra capacidad de recuperación», dijo Kiersten E. Todt, directora general del Cyber ​​Readiness Institute, una organización sin fines de lucro. «Estamos pensando demasiado en la amenaza, cuando todavía no estamos haciendo lo básico para proteger nuestra infraestructura crítica».

La buena noticia, dijeron algunos funcionarios, es que los estadounidenses han recibido una alerta. El Congreso se enfrentó a la realidad de que el gobierno federal no tiene autoridad para exigir que las empresas que controlan más del 80% de la infraestructura crítica del país adopten niveles mínimos de ciberseguridad.

La mala noticia, dijeron, es que los adversarios estadounidenses, no solo las superpotencias, sino también los terroristas y los ciberdelincuentes, han aprendido lo poco que se necesita para incitar el caos en gran parte del país, incluso si no invaden el centro de la red eléctrica. , o los sistemas de control operacional que mueven gasolina, agua y propano en todo el país.

Algo tan básico como un ataque de ransomware bien diseñado puede resolver fácilmente el problema, al tiempo que ofrece una negación plausible a estados como Rusia, China e Irán, que a menudo recurren a forasteros para operaciones cibernéticas confidenciales.

Todavía es un misterio cómo Darkside entró por primera vez en la red comercial de Colonial. La empresa privada no dijo prácticamente nada sobre cómo se desarrolló el ataque, al menos en público. Esperó cuatro días antes de tener conversaciones de fondo con el gobierno, una eternidad durante un ciberataque.

Los expertos en ciberseguridad también señalan que Colonial Pipeline nunca tendría que cerrar su tubería si tuviera más confianza en la separación entre su red comercial y las operaciones de la tubería.

«Debe haber una separación absoluta entre la gestión de datos y la tecnología operativa real», dijo Todt. «No hacer lo básico es francamente imperdonable para una empresa que transporta el 45% del gas a la costa este».

Otros operadores de tuberías en los Estados Unidos implementan firewalls avanzados entre sus datos y sus operaciones que solo permiten que los datos fluyan en una dirección, fuera de la tubería, y evitarían la propagación de un ataque de ransomware.

Colonial Pipeline no dijo si implementó este nivel de seguridad en su tubería. Los analistas de la industria dicen que muchos operadores de infraestructura crítica dicen que la instalación de estas puertas de enlace unidireccionales a lo largo de una tubería de 5,500 millas puede ser complicada o prohibitivamente costosa. Otros dicen que el costo de implementar estas protecciones sigue siendo más barato que las pérdidas por un posible tiempo de inactividad.

Disuadir a los delincuentes de ransomware, que han aumentado en número y audacia en los últimos años, será sin duda más difícil que disuadir a las naciones. Pero esta semana ha dejado clara la urgencia.

«Todo es diversión y juegos cuando nos robamos el dinero de los demás», dijo Sue Gordon, ex subdirectora de inteligencia nacional y analista de la CIA desde hace mucho tiempo con especialización en problemas cibernéticos, en una conferencia celebrada por The Cipher Brief, un boletín de inteligencia en línea. . «Cuando estamos manipulando la capacidad de funcionamiento de una sociedad, no podemos tolerar eso».