Una sola contraseña que comprometió al mayor oleoducto de combustible de EEUU

El ataque que paralizó el mayor oleoducto de combustible de Estados Unidos, y provocó escasez en toda la Costa Este, fue el resultado de una única contraseña comprometida. Esto según datos que aportó un consultor de ciberseguridad que respondió al ataque.

Los piratas informáticos entraron en las redes de Colonial Pipeline Co. el 29 de abril a través de una cuenta de red privada virtual (VPN). Esta permitía a los empleados acceder de forma remota a la red informática de la empresa.

La cuenta ya no estaba en uso en el momento del ataque, pero todavía podía utilizarse para acceder a la red de Colonial. La contraseña de la cuenta al parecer fue vendida en línea luego de una filtración.

Una sola contraseña que comprometió al mayor oleoducto de combustible de EEUU

La importancia de la autenticación multifactor

La cuenta de VPN, que ya ha sido desactivada, no utilizaba la autenticación multifactor, una herramienta básica de ciberseguridad. Esto permitió a los hackers entrar en la red de Colonial utilizando sólo un nombre de usuario y una contraseña comprometidos.

Se desconoce exactamente cómo obtuvieron los hackers el nombre de usuario correcto o si pudieron determinarlo por su cuenta. Las investigaciones no mostraron ninguna otra evidencia de actividad de los atacantes antes del 29 de abril.

La autenticación multifactor hace uso de más de una forma de validar un acceso. El usuario debe probar dos o más veces que es quien dice ser, por ejemplo, haciendo uso de identificación biométrica.

Por ejemplo, una puerta con identificación multifactor no nos permitiría el acceso solo con un duplicado de llaves. Requeriría además un código de acceso, una huella dactilar válida, o poseer un dispositivo móvil previamente autorizado.

Una nota de rescate en un ordenador

Poco más de una semana después, el 7 de mayo, un empleado de la sala de control de Colonial vio aparecer una nota de rescate en un ordenador exigiendo criptodivisas, justo antes de las 5 de la mañana.

El empleado notificó a un supervisor de operaciones, que inmediatamente comenzó a iniciar el proceso de cierre del oleoducto. A las 6:10 am, todo el oleoducto estaba paralizado. Era la primera vez que Colonial cerraba la totalidad de su sistema de gasoductos en sus 57 años de historia.

Al no saber quién estaba atacando, ni cuáles eran sus motivos, fue necesario detener las operaciones hasta determinar la extensión de los daños, en caso de haberlos.

Colonial pagó a los piratas informáticos, que eran una filial de un grupo de ciberdelincuentes vinculado a Rusia conocido como DarkSide, un rescate de 4,4 millones de dólares poco después del ataque.

Se espera que la próxima semana los ejecutivos de Colonial testifiquen ante los comités del Congreso, para que proporcionen más detalles al respecto.

5 días de caos

La noticia del cierre de Colonial no tardó en difundirse. El sistema de la empresa transporta diariamente unos 2,5 millones de barriles de combustible desde la costa del Golfo hasta la costa este.

La interrupción provocó largas colas en las gasolineras, muchas de las cuales tuvieron que cerrar. Y también un importante aumento de los precios del combustible. Colonial comenzó a reanudar el servicio el 12 de mayo.

Poco después del ataque, Colonial realizó un examen exhaustivo del oleoducto, por tierra y por aire, para buscar daños visibles. La compañía determinó finalmente que el oleoducto no estaba dañado.

Los asesores y consultores informáticos aseguraron la red de Colonial e instalaron dispositivos para detectar cualquier ataque posterior. Los investigadores no han encontrado ninguna prueba de que el mismo grupo de piratas informáticos haya intentado recuperar el acceso.

error: Content is protected !!