La principal línea de suministro de combustibles refinados de Estados Unidos quedó interrumpida por un ciberataque. El poliducto Colonial recorre 8.800 kilómetros y suministra casi la mitad del combustible que consume la Costa Este y es el principal de todos los EEUU. Este sábado seguía cerrado sin bombear combustible desde las refinerías. El ataque afectó los sistemas informáticos de la empresa, que debió contratar a una empresa de ciberseguridad externa para investigar el caso. Se confirmó que era un ataque de “ransomware”, el secuestro de datos para luego pedir rescate. La empresa debió cerrar toda su red, y no está proveyendo combustibles. El ataque es investigado por las agencias federales. El trasfondo es la tensión entre EEUU y Rusia, a la que Washington acusa de un masivo cibertaque el año pasado.
El corte, dependiendo de su duración, podría hacer que los precios del combustible en Estados Unidos superen los 3 dólares por galón (3,8 litros). Colonial transporta 2,5 millones de barriles diarios de gasolina, diésel, combustible para aviones y otros productos, como gasoil para calefacción, a través de 8.800 km de ductos que conectan las refinerías del Golfo de México con el este y el sur de Estados Unidos. Da servicio a algunos de los mayores aeropuertos del país.
“Este no era un objetivo menor”, dice Amy Myers Jaffe, investigadora de energía y autora de Energy’s Digital Future, al portal Politico.com. “Colonial es, en última instancia, la yugular del sistema de poliductos estadounidense. Es el ataque más importante y exitoso contra la infraestructura energética que conocemos en Estados Unidos. Tendremos suerte si no hay consecuencias, pero es una clara señal de alarma”.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) cree que la intrusión es obra de la banda criminal de ransomware conocida como Darkside y no de un estado-nación, según un investigador de seguridad que pidió el anonimato.
Leer más: Hackeo de Rusia afecta gravemente a EEUU
El senador Ben Sasse (republicano por Nebraska) dijo que el ataque es el último indicio de que el gobierno no está preparado para ataques cibernéticos. “Obviamente, todavía hay mucho que aprender sobre cómo ocurrió este ataque, pero podemos estar seguros de dos cosas: esta es una jugada que se repetirá, y no estamos adecuadamente preparados”, dijo Sasse en un comunicado. “Si el Congreso se toma en serio el paquete de infraestructuras enviado por el presidente Biden, al frente debería estar el fortalecimiento de estos sectores críticos”.
Las importaciones de combustible por Nueva York deberían amortiguar el golpe. Pero si Colonial sigue sin poder bombear combustibles más allá del comienzo de la semana que viene, los automovilistas podrían empezar a acaparar combustible y los precios subirán drásticamente, incluso antes del comienzo de la temporada de verano, cuando los precios suelen aumentar.
“Colonial entrega productos a las terminales cada cinco días”, dijo Andy Lipow, presidente de la consultora Lipow Oil Associates. “Puede haber terminales que dependían de las entregas de ayer, hoy o mañana que se verán inmediatamente afectadas. Pero de forma generalizada, en cuatro o cinco días se verán signos de impacto, especialmente cuando los consumidores se enteren y empiecen a llenar sus tanques.”
Colonial dijo que está trabajando para restablecer su servicio y volver a la normalidad. Pero hasta esta noche seguía sin poder bombear combustibles. La compañía dijo en un comunicado que “proactivamente tomó ciertos sistemas fuera de línea para contener la amenaza, que ha detenido temporalmente todas las operaciones de tuberías, y afectó a algunos de nuestros sistemas de informática.”
Un investigador de seguridad dijo que la firma contratada por Colonial es Fire Eye, la misma que el año pasado descubrió el hackeo masivo de SolarWinds. Descubierto en diciembre, el hackeo puso en peligro a más de 250 agencias federales y empresas, algunas de ellas del calibre de Microsofts. El hallazgo que dejó al descubierto a la empresa de seguridad de redes SolarWinds.
El servicio de inteligencia de Estados Unidos está seguro que el ataque fue llevado a cabo por el Servicio de Inteligencia Exterior de Rusia. El 15 de abril, el gobierno de Biden expulsó a diplomáticos rusos e impuso severas sanciones por esta operación a Moscú. Por todo esto, muchos ven detrás de los hackers de Darkside a la larga mano del Kremlin, que siempre opera por medio de terceros.
Leer más:
EEUU aplica sanciones a Rusia
El grupo Darkside
El grupo Darkside es un actor nuevo en el ransomware, pero se ha ganado una reputación de paciencia, competencia, sofisticación y grandes rescates. “Las campañas de ataques de ransomware de Darkside destacan por su uso de técnicas sigilosas, especialmente en las primeras etapas”, señala la empresa de seguridad Varonis. “El grupo realiza un cuidadoso reconocimiento y toma medidas para que sus herramientas y técnicas de ataque evadan la detección. El grupo afirma que busca vulnerar grandes empresas que puedan permitirse el pago de cuantiosos rescates, en lugar de escuelas, hospitales y otras organizaciones con problemas de liquidez, pero cada vez más dirigidas a ellas”, afirma Varonis.
