“Excelencia en todo lo que hacemos”. Ese es el eslogan de la empresa Colonial Pipeline, uno de los oleoductos más importantes de Estados Unidos. La frase suena algo irónica tras conocerse que la compañía fue víctima de un ataque informático provocado por un grupo de hackers, puso al país en estado de emergencia y pagó una cifra millonaria a los cibercriminales para el rescate de datos.
El 6 de mayo la compañía ubicada en el estado de Georgia detectó que su sistema estaba sufriendo un ataque de ransomware, que consiste en el bloqueo del acceso a los datos por parte de los usuarios. Usualmente, luego de este tipo de secuestro, se pide un rescate para que la víctima pueda recuperar su información. Casi siempre implica el pago de una determinada suma en criptomonedas.
Según el FBI los responsables del ataque fueron un grupo de hackers con sede en Europa del Este conocidos como DarkSide, que previamente habían realizado ataques a otras compañías vinculadas con la refinación de petróleo. En un inicio se dijo que el gobierno ruso podía estar detrás de la maniobra, pero el presidente estadounidense, Joe Biden, lo descartó: “No creemos que el gobierno ruso haya estado involucrado en este ataque, pero tenemos fuertes razones para creer que los criminales que cometieron el ataque vivían en Rusia”, dijo en una rueda de prensa el 13 de mayo. Más tarde, los miembros de DarkSide publicaron un comunicado en el que manifestaron que su objetivo era “ganar dinero, no crear problemas para la sociedad”.
Pero los problemas se generaron igual. Tras el ataque, los responsables de Colonial Pipeline resolvieron cerrar el oleoducto y suspender sus operaciones para evitar que su sistema se viera más comprometido y que los atacantes lo apagaran o lo dañaran. Esta decisión implicaba que en la zona este de Estados Unidos, desde Houston hasta Nueva York, habría 45% menos de abastecimiento de combustibles. La empresa no sabía si podría reanudar las actividades mientras se difundía que los atacantes habían robado 100 gigabytes de datos y que los publicarían si no se pagaba un rescate.
El oleoducto permanecía cerrado y el 9 de mayo Biden declaró el estado de emergencia para que otras compañías pudieran abastecer la zona afectada. La empresa tardó seis días en reanudar sus operaciones con normalidad.
Lo que no hay que hacer
El 15 de mayo la diaria entrevistó a Graciela Martínez Giordano, especialista en seguridad informática y líder del Centro de Respuesta a Incidentes de Seguridad del Registro de Direcciones de Internet de América Latina y Caribe (Lacnic). Martínez Giordano mencionó que durante la pandemia crecieron los ataques de ransomware y se refirió a la decisión de pagar o no por los rescates. “Los expertos en seguridad no recomendamos pagar, porque terminás volviéndote parte del problema”, dijo. También planteó que los atacantes piden que se pague en bitcoins o en otras criptomonedas y que eso dificulta la trazabilidad y llegar al culpable.
Sin embargo, Colonial Pipeline, que inicialmente dijo que no pagaría el rescate, terminó cediendo. A los pocos días del ataque, Bloomberg informó que la empresa pagó una suma de cinco millones de dólares en criptomonedas a DarkSide. Y se volvió parte del problema.
Esta acción llevó al director ejecutivo de Colonial Pipeline, Joseph Blount, a declarar ante el Comité de Seguridad Nacional del Senado estadounidense, pero incluso allí no se dio cuenta de los trastornos que puede ocasionar lo que hizo la compañía. El empresario defendió el pago a los extorsionadores asegurando que había puesto los intereses del país en primer lugar: “Tomé la decisión de pagar y tomé la decisión de mantener la información sobre el pago lo más confidencial posible”, sostuvo. Y añadió: “Fue la decisión más difícil que tomé en mis 39 años en la industria de la energía”.
Con el pago del rescate se incentivan este tipo de delitos. Si bien en los últimos días el Departamento de Justicia de Estados Unidos anunció que logró recuperar la mayor parte (85%), la puerta quedó abierta para que DarkSide u otra organización intente un ataque igual o mayor para buscar una suma millonaria.
De hecho, el ataque a Colonial Pipeline no fue aislado. En los meses previos DarkSide había atacado al proveedor de servicios tecnológicos CompuCom, a la empresa de alquiler de vehículos canadiense Discount Car and Truck Rentals y a una subsidiaria de la japonesa Toshiba en Europa.
Los recientes ataques convirtieron el tema de la ciberseguridad en una prioridad para la administración de Biden y será uno de los puntos a tratar el 16 de junio en la reunión que el presidente de Estados Unidos mantendrá con su par ruso, Vladimir Putin, en Ginebra.
Extorsiones en Uruguay
Con el paso al teletrabajo a raíz de la pandemia de la covid-19, crecieron los ciberataques en Uruguay, en particular los de ransomware. En abril de este año El Observador informaba que por medio de una encuesta de Grupo Radar y Datasec se descubrió que más de 5.100 empresas nacionales fueron objeto de este tipo de ataque y 1.700 de ellas sufrieron daños en sus sistemas o terminaron pagando un rescate.
Pero no sólo las empresas fueron víctimas, también el Estado. La Armada fue blanco de un ataque mediante el cual un hacker secuestró 50 contraseñas y reclamó una recompensa para devolverlas. Los datos robados, que según el ministro de Defensa Nacional, Javier García, son más de 13 gigas, fueron puestos a la venta en un foro ruso.