El ciberataque sufrido por Colonial Pipeline ha hecho saltar las alarmas acerca de la seguridad en las infraestructuras críticas. ¿Cuáles son las principales amenazas? ¿Y qué consecuencias puede tener un incidente de este tipo?
El pasado mes de mayo, Colonial Pipeline, empresa que gestiona uno de los oleoductos más importantes de Estados Unidos, sufrió un ciberataque que la obligó a parar su actividad. Los ciberdelincuentes habían logrado comprometer su sistema de facturación, aunque no sus sistemas de operación. Además, habían conseguido robar casi 100 gigabytes de datos, amenazando con publicarlos si la compañía no pagaba un rescate.
Ante la imposibilidad de facturar, y con la preocupación de que los hackers hubieran podido obtener información que les permitiera atacar partes vulnerables del oleoducto, la empresa decidió interrumpir su actividad, afectando al funcionamiento de varios aeropuertos y aerolíneas. Esta situación obligó al presidente estadounidense, Joe Bien, a decretar el estado de emergencia, suspendiendo las limitaciones al transporte de combustible por carretera, con el fin de evitar una crisis de suministro.
Seis días después de sufrir el incidente, y después de haber pagado 4,4 millones de dólares a DarkSide, los ciberdelincuentes responsables del ataque, el oleoducto de Colonial Pipeline volvió a funcionar. Afortunadamente, el FBI logró recuperar más de la mitad del rescate.
Graves consecuencias de los ciberataques
Ésta es sólo una muestra de la repercusión que puede tener un ataque que ni tan siquiera afectó a los sistemas operativos de la infraestructura. ¿Qué podría llegar a pasar si ciberdelincuentes se hacen con el control de la red eléctrica o de agua, por ejemplo?
“Las consecuencias pueden ser daños directos, impacto en imagen de la entidad, paralización del funcionamiento e incluso la ruptura y corte en la continuidad del sistema de gestión o actividad”, declara Manuel Sánchez Gómez-Merelo, presidente y director general del Grupo Estudios Técnicos (GET) y director de Programas de Seguridad del Instituto Universitario General Gutiérrez Mellado de la UNED.
Igualmente, Jesús Gayoso, sales engineer de Trend Micro Iberia, explica que “las consecuencias de sufrir un compromiso en este tipo en infraestructuras críticas pueden ocasionar pérdidas incontables y problemas graves, incluso llegando a paralizar un país”. “Mediante un compromiso de este tipo se puede manipular o bloquear el servicio al completo, provocando fallos de seguridad, accidentes físicos, manipulación de fórmulas de productos, sistemas de control, paradas de servicio o parada total de una planta de producción”, añade.
Asimismo, Elyoenai Egozcue, responsable de ICS —área de Ciberseguridad Industrial— de S21sec, afirma que “este tipo de ataques tienen consecuencias muy claras, que van desde el robo de información sensible, cuya revelación pública podría acarrear sanciones económicas en aplicación de leyes como el RGPD, hasta el sabotaje de los sistemas de automatización y control industrial que afectan directamente al negocio: paradas de producción, interrupciones de los servicios de transporte, malfuncionamiento de la redes de abastecimiento de agua, etc.”.
Además, advierte que “las consecuencias pueden ir más allá, con posibles riesgos para la salud pública, como es el caso de las redes de abastecimiento de agua, pero también para la seguridad de los trabajadores —retenes trabajando en subestaciones, por ejemplo— y del equipamiento utilizado —reventón de una tubería, etc.—”.
Principales amenazas
Según explica la Oficina de Coordinación de Ciberseguridad de la Dirección General de Coordinación y Estudios, perteneciente a la Secretaría de Estado de Seguridad del Ministerio del Interior, “ataques de phishing para inocular malware —especialmente ramsonware—, ataques a la cadena de suministro y los dispositivos del internet de las cosas (IoT) serán las principales amenazas para los años venideros”.
Ingeniería social y ransomware
“Las amenazas principales son las relacionadas con la ingeniería social —phishing, smishing, formjacking—, combinadas con algún elemento de sabotaje, como ransomware, por ejemplo”, señala Egozcue. De hecho, desde al aviso inicial que supuso WannaCry, que sacudió el mundo en mayo de 2017, los ataques ransomware se han multiplicado. La explicación es simple: son fáciles de ejecutar y son muy lucrativos para los ciberdelincuentes. “El objetivo es pedir una recompensa económica para poder continuar con la operativa diaria”, precisa el responsable de S21sec.
“En los primeros ataques ransomware, los ciberdelincuentes entraban en el sistema informático de su víctima, cifraban los datos y pedían un rescate. Pero el procedimiento ha ido variando. Y no sólo han ido surgiendo nuevas cepas. Ahora, este tipo de malware se vende en el mercado negro y lo puede comprar cualquiera”, anota José Rosell, socio director de S2 Grupo.
“Aunque se diseñó para secuestrar una infraestructura y pedir un rescate, los ciberdelincuentes han variado la forma de actuar y lo que hacen ahora es mucho más dañino. Usan diferentes técnicas para acceder al sistema, ya sea mediante phishing o la compra credenciales ‘lícitas’ en el mercado negro —de un directivo de la empresa, por ejemplo— para entrar en el sistema. Después, descargan su malware y se mueven lateralmente en la red. Así consiguen los ciberdelincuentes exfiltrar información y, en un momento determinado, que suele ser los viernes de final de mes, cuando la empresa está más desatendida y saben que pueden hacer más daño —porque son fechas de cobros y pagos—, se detona el malware que cifra los ordenadores”, relata.
Además, ya se están viendo ataques de ‘doble extorsión’. “Cifran los datos, piden un rescate y, si la víctima no paga, amenazan con publicar la información robada”, advierte Rossell. E incluso se están produciendo ataques de ‘triple extorsión’, como el que sufrió una clínica finlandesa el pasado mes de octubre. “Ya no sólo es víctima directa la empresa en cuestión, sino también sus clientes, a los que llegan a chantajear con publicar su información personal si no pagan una cantidad”, reseña Eusebio Nieva, director técnico de Check Point Software para España y Portugal.
Internet de las Cosas
“Las amenazas que sufren los entornos industriales e infraestructuras críticas cada vez son más sofisticadas. Sobre todo, teniendo en cuenta que los entornos OT (tecnología operativa) están evolucionando y cada vez están más conectados a redes IT e internet, exponiendo servicios implementados con sistemas operativos obsoletos en la mayoría de entornos. Dichos sistemas operativos son vulnerables y los atacantes de ciberdelincuentes están aprovechándose de ello para ganar el control y comprometer dichos entornos”, comenta Jesús Gayoso.
Asimismo, el responsable de Check Point señala que “la principal amenaza son los sistemas de conexión que muchas infraestructuras están empezando a implementar, como el IoT, por ejemplo”. “Esta tecnología conecta objetos a través de una red privada, o del propio internet, lo que abre muchísimas posibilidades, ya que nos permite controlar funciones de los diferentes objetos o infraestructuras conectadas a través de nuestros dispositivos, ya sea el móvil, el ordenador, tablet, etc. El problema es que también trae consigo muchos riesgos. Si un ciberdelincuente consigue infiltrarse en la red a la que está conectado ese objeto o estructura, puede manipular por completo el sistema, las funciones y actividades de lo que haya conseguido penetrar”, explica.
Ataque a la cadena de suministro
Este tipo de ciberataques son consecuencia de la interconexión total entre personas, empresas y objetos. “Hemos construido una sociedad digital sobre la sociedad física que teníamos. Lo hemos conectado todo, hasta nosotros y hemos hecho mismos y todas las cosas».
Hemos construido una gran infraestructura donde se conectan los sistemas de información que ya estaban conectados antaño y donde ahora se conectan también los sistemas de control industrial. Se ha tejido una gran tela de araña que comunica personas con cosas y con infraestructuras críticas. Para atacar a una compañía eléctrica no es necesario hacerlo directamente. Se puede atacar a cualquier de los elementos de su cadena de suministro”, especifica Rosell. Es decir, se trata de encontrar el eslabón más débil de la cadena y aprovechar esta vulnerabilidad para acceder a la empresa objetivo o, sencillamente, para generar una situación que obligue a interrumpir su actividad.
Nuevos desafíos de la ciberseguridad
Junto a estas amenazas, que ya son una realidad cotidiana, en el horizonte se vislumbran nuevos peligros. El responsable de S21sec habla de “la generalización de malware modular con capacidades para interactuar y tomar el control de los sistemas de automatización y control, de lo que ya se han visto varios ejemplos”.
Indica que el ejemplo más representativo es CrashOverride/Industroyer. “Se trata de un malware modular detrás de los ataques lanzados contra la red eléctrica ucraniana de 2016, que dejó a la población de Kiev sin electricidad durante una hora. Este malware cuenta con componentes de backdoor —puerta trasera—, un elemento de borrado de claves de registro y de sobreescritura de ficheros para que los sistemas afectados no puedan ser reiniciados, y un componente lanzador de distintos módulos orientados a interactuar con múltiples protocolos industriales, según sean necesarios en cada objetivo contra el que se quiera utilizar”, aclara.
Además, la Oficina de Coordinación de Seguridad afirma que “el crimen como servicio (Cybercrime as a Service) es la principal amenaza emergente a la que habrá que enfrentarse”. Asimismo, remarca que “la extensión del perímetro a defender, por la enorme proliferación del teletrabajo, la utilización creciente del 5G y de los dispositivos IoT, será el gran desafío para los próximos años”.
¿Quién hay tras los ciberataques?
Los responsables de los ataques y sus motivaciones pueden ser muy distintas, aunque nos encontramos con dos tipos predominantes de ciberdelincuentes. Por un lado, tenemos los perpetrados por grupos de ciberdelincuentes que tratan de lucrarse, por lo que su móvil es económico. Suelen ser responsables de los ataques ransomware que tanto están proliferando.
Por otra parte, nos encontramos con operaciones que tienen detrás a los servicios de inteligencia de algunos estados, ya sea directa o indirectamente. En este caso, despliegan lo que se denomina amenazas persistentes avanzadas (APT, por sus siglas en inglés), “ataques muy sofisticados, con elementos de malware de muy alto nivel, que intentan pasar desapercibidos y que realizan tareas de espionaje o de disrupción de la actividad para hacer daño a la organización atacada”, comenta el socio director de S2 Grupo.
Además de los ciberdelincuentes también hay ataques ejecutados desde dentro, “por un empleado despechado que quiere hacer daño para vengarse de la empresa o que lo realiza por dinero, si le pagan desde fuera por el encargo, aprovechando su posición de privilegio”, expone Rosell. Y luego están las acciones que llevan a cabo los grupos de hackers activistas —Anonymous, por ejemplo— para denunciar determinadas situaciones o los ciberinvestigadores que buscan posibles vulnerabilidades, ya sea explotarlas maliciosamente o para advertir de los riesgos.
¿Cómo protegerse de los ciberdelincuentes?
“La ciberseguridad se divide en tres grandes bloques: protección, detección y respuesta. Siempre hay que tener la máxima protección posible. Pero hay que dar por hecho que, por mucho que nos protejamos, el enemigo va a entrar. Por eso, hay que centrarse en cómo detectar el ataque lo antes posible y, sobre todo, cómo responder de forma adecuada. Un ataque ransomware puede ser un problema si los ciberdelincuentes entran y la empresa está preparada para responder. Pero será una catástrofe si acceden y no está preparada para recuperarse”, el responsable de S2 Grupo. Por ejemplo, es fundamental contar con copias de seguridad que permitan restablecer el servicio inmediatamente si los atacantes encriptan los datos.
Egozcue destaca la importancia de implementar buenas prácticas como las que definen los estándares IEC 62443 para el ámbito industrial, que contemplan aspectos como el análisis de riesgos, la segregación de red o la seguridad en los proveedores/cadena de suministro, en el ciclo de vida de las tecnologías OT y en las funcionalidades de ciberseguridad que las tecnologías OT deben incluir. “Son el arma perfecta para establecer un programa completo con el que abordar y gestionar los riesgos de ciberseguridad para las infraestructuras de transporte, de energía, etc.”, apunta.
Además, Sánchez Gómez-Merelo indica que “las medidas de seguridad deben estar directamente relacionadas con la auditoría y el análisis de la situación de la entidad y actividad y sus vulnerabilidades y su catálogo de riesgos actualizado”.
Exigencias normativas
En cualquier caso, la normativa de protección de infraestructuras críticas especifica las exigencias para garantizar un óptimo nivel de seguridad mediante planes de seguridad del operador y planes de protección específicos de cada una de estas infraestructuras.
La Oficina de Coordinación de Ciberseguridad recuerda que la Ley de Protección de Infraestructuras Críticas (PIC) y la Directiva NIS afectan a todas las infraestructuras declaradas como críticas. “La Ley PIC cataloga el conjunto de infraestructuras que prestan servicios esenciales a nuestra sociedad y propone el diseño de un conjunto de planes de ciberseguridad con medidas de prevención y protección eficaces contra las posibles amenazas, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información, tecnologías de la operación y las comunicaciones.
Obliga a las empresas que sean designadas como operadores críticos a presentar un Plan de Seguridad del Operador (PSO) y un Plan de Protección Específico (PPE) para las infraestructuras que opere y que hayan sido catalogadas como críticas. También obliga a la administración competente, apoyada por las fuerzas y cuerpos de seguridad, a desarrollar un Plan de Apoyo Operativo (PAO)”, desgrana el responsable de S21sec.
En cuanto a la Directiva NIS, explica que “se aplica a dos grandes grupos de empresas: infraestructuras críticas y operadores de servicios digitales”. “En la primera categoría se encuentran, entre otras, infraestructuras de transporte y energía. Y en la segunda se incluyen operadores de telecomunicaciones e infraestructuras, de infraestructura digital —proveedores de servicios DNS, de puntos de interconexión de redes de internet, etc.) y de servicios digitales —motores de búsqueda, nubes de almacenamiento y tiendas online, por ejemplo—”, expone.
Las empresas de estos grupos están obligadas a contar con un CISO, establecer una política de seguridad de redes y sistemas que pueda enlazarse con un plan director de seguridad, contar con una política de gestión de riesgos contra terceros, etc.
La Oficina de Coordinación de Ciberseguridad también remarca que las infraestructuras críticas, “si tienen dependencia de las redes y sistemas de información para la provisión del servicio esencial que prestan, se encuentran también dentro del ámbito de aplicación de la Directiva NIS”. De este modo, “los operadores afectados por estas normativas, que están íntimamente relacionadas, han de cumplir con las exigencias de ambas, que se podrían resumir en el cumplimiento de los planes de seguridad establecido en la normativa PIC y la protección de los sistemas y redes de información mediante el establecimiento de medidas de seguridad concretas, basada en el análisis de riesgos y la notificación de los incidentes significativos a la autoridad competente”.
Otros ejemplos conocidos de ciberdelincuentes
Además del incidente de Colonial Pipeline, merece la pena detenerse en el que sufrió la red eléctrica ucraniana, debido a su sofisticación. “A través de un engaño vía correo electrónico (phishing), se consiguió acceder a los sistemas informáticos de varias empresas distribuidoras de electricidad del país. Los criminales lograron desplegar puertas traseras en los sistemas robando las credenciales de los accesos VPN, entre otros métodos. Estuvieron varios meses recopilando información y moviéndose lateralmente, accediendo a otros sistemas, hasta que llegaron a los sistemas OT de los centros de control de distribución eléctrica y de las comunicaciones con las subestaciones.
Elaboraron un firmware a medida que cargaron en pasarelas de protocolos IEC 101 a IEC 104, tomaron el control de los SCADA de distribución y, como si fueran operadores de la empresa, desconectaron decenas de subestaciones de la red eléctrica, logrando un apagón general en el país. La posterior reconexión a la red de las subestaciones por parte de la empresa tuvo que ser manual, pues el firmware cargado en las pasarelas convertidoras de protocolos impedía retomar el control remoto desde el centro de control”, especifica Egozcue.
Además, en los últimos años se han registrado otros ciberataques que han afectado a infraestructuras. “En 2010, Stuxnet se infiltró en varios sistemas de control y dañó plantas de energía nuclear. En 2017, el ransomware WannaCry provocó un ataque de ransomware que infectó a más de 200.000 ordenadores en tres días. En 2019, el ransomware LockerGoga comenzó a infiltrarse y a interrumpir los procesos de producción de varias empresas químicas y productoras de aluminio”, relata Nieva.
Asimismo, el responsable de S21sec cita “el ataque contra la petrolera Saudi Aramco con el virus Shamoon; ataques contra contadores inteligentes en Puerto Rico para reducir la factura de la luz; el robo de diseños de plantas de generación eléctrica, así como de credenciales, a una empresa en Estados Unidos y Canadá; o ataques de diversa índole a una planta nuclear de Corea del Sur”.
Y esto es sólo una muestra de los incidentes que han salido a la luz, puesto que la mayor parte de los ataques que afectan a infraestructuras críticas no se hacen públicos, por motivos de seguridad nacional.