Cada día que pasa vemos nuevos casos de ciberataques cada vez más mediáticos y con daños notables; la industria energética no ha sido ajena a estos eventos. Y es que al momento de presentarse un nuevo ataque, trae consigo consecuencias que ya no se limitan sólo a una empresa, sino que pueden obligar a detener toda una operación, comprometiendo una cadena de servicios y afectando a miles de personas, generando una debacle como fue el caso del ransomware que afectó a Colonial Pipeline en Estados Unidos.
¿Cómo fue el ataque a Colonial Pipeline?
Colonial Pipeline es un sistema de oleoductos fundado en 1961 en Houston, Texas y con sede en Alpharetta, Georgia. Es uno de los más extensos en Estados Unidos. Brinda mayormente servicio a los estados al sur del país norteamericano y diariamente puede llegar a transportar 3 millones de barriles de combustible desde Houston a Nueva York.
Según lo que se conoce hasta ahora, el pasado 7 de mayo, la compañía Colonial Pipeline anunció que sufrió un ciberataque que le obligó a cerrar sus operaciones y congelar sus sistemas de TI provocando el desabastecimiento de combustible de la costa este del país norteamericano.
Este anuncio creó gran preocupación ya que esta empresa es particularmente vital para el funcionamiento de muchos aeropuertos de esta zona. Aún no se sabe con exactitud el vector inicial del ataque, pero la vulnerabilidad pudo provenir de cualquier lado y por eso el gobierno estadounidense firmó esta semana una orden ejecutiva para fortalecer los sistemas del gobierno.
Esta situación se mantuvo durante 5 días y aún después de reiniciar sus operaciones, la empresa aseguró que tardarían más días en volver a la normalidad. El daño fue tan grande que generó varias interrupciones al momento de proveer su servicio.
El lado oscuro de la historia
Un grupo de ‘hackers’ llamado DarkSide, no sólo robó 100 GB de información sino que además desconectó por completo a Colonial Pipeline. Fue tal la magnitud del ataque, que el mismo gobierno estadounidense hizo una rueda de prensa pronunciándose, dejando expuesta la vulnerabilidad de este tipo de compañías.
También se reportaron alzas en el precio del combustible (uno de los más altos en los últimos años) y se generaron filas interminables de autos esperando para abastecerse.
Estos piratas informáticos administran un negocio de “ransomware-as-a-service” (RaaS), es decir, desarrollan herramientas que ayudan a otros “afiliados” criminales a llevar a cabo ataques de ransomware. Actualmente han cometido delitos en más de 15 países.
Se dedican a robar los datos de una organización y bloquean sus computadoras, por lo que las víctimas deben pagar una gran suma de dinero para recuperar el acceso a su red y evitar que se libere información confidencial.
Y es que mucho se ha hablado últimamente sobre la importancia de invertir en seguridad, ya que el precio juega un factor clave a la hora de blindarnos en contra de los atacantes informáticos.
Este caso nos muestra que la relación costo-beneficio de las soluciones de seguridad es muy buena: nos podríamos estar ahorrando millones al implementar soluciones eficaces que eviten estas amenazas. Colonial Pipeline tuvo que pagar una suma de 4.4 millones de dólares a los ciberatacantes, sin contar con las pérdidas que se generaron en los momentos de suspensión.
En este ejemplo vemos a las naciones buscando culpables externos y a las compañías intentando identificar a esos agentes internos que fueron clave a la hora de cometer un error. En este tipo de escenarios no sirve mucho llorar sobre mojado y siempre se aconseja prevenir y actuar proactivamente.
Cada día crecen los grupos dedicados a las extorsiones y puede ser su empresa la próxima en sufrir un ataque. Según Emsisoft hay más de 24 grupos operando alrededor del mundo y están dedicados al cibersecuestro de redes informáticas.
¿Cómo evitarlo?
Kapersky brinda una lista sobre vulnerabilidades que lo hacen un objetivo potencial para un ciberataque, dentro de las cuales destacan:
-
El dispositivo utilizado ya no es de última generación
-
El dispositivo tiene software desactualizado
-
Los navegadores y / o sistemas operativos ya no están parcheados
-
No existe un plan de respaldo adecuado
-
No se ha prestado suficiente atención a la ciberseguridad y no se cuenta con un plan concreto
Una vez ya identificados estos puntos, es importante también ayudarse de soluciones que fortalezcan y blinden su sistema. Nosotros tenemos algunas recomendaciones:
DataSecurity Plus
Esta solución para la visibilidad y seguridad de datos, tiene una función de prevención de pérdidas de datos (DLP) que ayuda a detectar y responder ante el robo de datos sensibles mediante USB, correos electrónicos, impresoras y otros medios con vulnerabilidades.
Más específicamente cuenta con funciones específicas para combatir el ransomware, ya que detecta y desactiva sus ataques desde el inicio con su mecanismo automático de respuesta a las amenazas y además le notifica al instante.
Con 4 pilares: Prevención, detección, respuesta y análisis, DataSecurity Plus es una alternativa integral que le dará más seguridad, revisará los permisos de sus archivos, detectará picos repentinos de eventos en archivos, y podrá apagar la máquina infectada por el ransomware. DSP las identificará rápidamente utilizando datos forenses precisos y procesables.
EventLog Analyzer
Es importante revisar sus logs si desea conocer lo que sucede en su red y obtener información sobre las amenazas potenciales y detenerlas antes que estas se conviertan en un ataque. EventLog Analyzer es la solución de administración de logs que le ayudará a lograr esto de manera proactiva.
Cuenta con una interfaz de correlación mejorada que contiene más de treinta reglas de ataque predefinidas, incluidas las de ransomware, fuerza bruta y más. Además puede recibir alertas en tiempo real sobre tráfico sospechoso en su red y conexiones salientes a dominios maliciosos y servidores de devolución de llamada.
Es importante tener un plan bien constituido y definir buenas prácticas entre sus empleados y educarlos para evitar errores comunes, respaldar frecuentemente sus datos, tener inventario de sus activos, parchear y mantener su software actualizado, hacer descargar de sitios de confianza, tener claro que los navegadores son hoy en día una de las principales fuentes de vulnerabilidades y por lo tanto añadir add-ons que detengan los frecuentes pop-us. Nunca olvide que muchas precauciones no son suficientes.