El cibearataque a un oleoducto expone la frágil red de infraestructuras de EEUU

Cuatro días después de que un ciberataque con ransomware paralizara las operaciones del oleoducto Colonial, que cubre 8.800 kilómetros entre Tejas y Nueva Jersey y distribuye el 45% de la gasolina que se consume en la costa este y combustible de aviones, en algunas gasolineras de esa zona han empezado este martes las compras masivas impulsadas por el pánico de escasez, por más que esta aún no sea una realidad. El auténtico golpe que ha dado ese ciberataque es, al menos por ahora, otro: es recordatorio de la enorme fragilidad ante ataques cibernéticos de infraestructuras críticas en Estados Unidos, en muchos casos caducas y el 85% de las cuales está, como Colonial, en manos privadas. Y la capacidad de hacer frente al problema está en cuestión.

El caso de Colonial, que según ha identificado el FBI ha sido atacado por el grupo criminal DarkSide, que opera desde Europa del Este, es el más grave hasta la fecha pero no el único. Los expertos hablan de una epidemia de ataques con ransomware, en los que los atacantes infectan servidores con código maligno que encripta datos y bloquea el acceso hasta que se paga un rescate. En el caso de Colonial, con su intento de extorsionar a una empresa privada han acabado forzando a que cierre sus vitales sistemas sin atacar estos.

El ransomware es un método cuyo uso se ha disparado, en parte por el auge de ciberseguros y de las criptomonedas, que dificultan seguir el pago de las extorsiones. Y aunque se ha estado empleando para atacar a agencias municipales, estatales y federales, instituciones médicas y escuelas y universidades (con 2.400 casos solo el último año en EEUU según datos de Global Cyber Alliance), cada vez se percibe más osadía en los ataques y mayor foco en sectores industriales y grandes corporaciones. Concretamente el sector energético ha sido uno de los más sacudidos y un informe de International Business Machine dice que pasó de ser el noveno más atacado en 2019 al tercero en 2020.

Planes del gobierno

La vulnerabilidad hace años que está en el radar de las autoridades. Se alertó sobre ella durante la Administración de George Bush, cuando Leon Panetta era secretario de Defensa de Barack Obama advirtió de la posibilidad de un “ciberPearl Harbor” y el problema también ocupó a la Administración de Donald Trump. Hasta ahora, no obstante, los esfuerzos para tratar de reforzar la cooperación entre el gobierno y partes fundamentales del sector privado para intensificar la ciberdefensa de infraestructuras críticas, y sobre todo para regular estándares mínimos de ciberseguridad para empresas que tienen sistemas en esa red vital, han fracasado.

Es un reto que enfrenta ahora Joe Biden. Impulsado especialmente por el caso de Solar Winds (donde a diferencia de en el caso de Colonial se identificó y sancionó a un actor estatal, Rusia), el mandatario prepara una orden ejecutiva que, según ha adelantado ‘The New York Times’, crearía una serie de parámetros de seguridad digital tanto para agencias federales como para contratistas que desarrollan software para el gobierno.

Biden quiere poner en marcha también un programa piloto de detección y alerta temprana y podría recoger en su decreto recomendaciones que está preparando el Departamento de Justicia o grupos como el Instituto para la Seguridad y Tecnología, que en abril presentó un informe reclamando acciones urgentes, como presionar a países que funcionan de refugio para cibercriminales como Rusia para que los persigan, una idea que este lunes ya dejó caer Biden en unas declaraciones ante la prensa. 

Falta de transparencia

Uno de los retos que enfrenta ese refuerzo de la ciberdefensa nacional es la falta de transparencia de algunas empresas privadas. Es algo que se ha dado en el caso de Colonial, protagonista de una de las más graves fugas en su oleoducto el año pasado de cuyo verdadero alcance aún no ha hecho públicos todos los datos.

Varias informaciones apuntan a que la compañía tenía pobres prácticas de ciberseguridad que habrían hecho fácil el ataque de DarkSide. No ha informado de qué inversión ha hecho en proteger sus redes y se ha mostrado reticente a dejar que las autoridades federales reforzaran sus defensas. Se niegan también a decir si han pagado el rescate, algo que el FBI desaconseja.