Con el paso de los días se van conociendo más detalles del ataque de ransomware que afectó a Colonial Pipeline, el operador del principal oleoducto de Estados Unidos. Una de las últimas novedades de este caso ha sido también uno de los mayores misterios: cuál fue el detonante del ciberataque. La respuesta es casi decepcionante, a la luz del revuelo causado, pero no por ello menos esperable. Una contraseña comprometida de un servicio de VPN parece haber sido la puerta de entrada del ciberataque que tumbó al mayor oleoducto estadounidense.
Según informa Bloomberg, un consultor de ciberseguridad que respondió al ataque asegura que los cibercriminales lograron acceder en las redes de Colonial Pipeline el 29 de abril a través de una cuenta de VPN (Virtual Private Network), que permitía a los empleados acceder de forma remota a la red de la compañía. Así lo asegura Charles Carmakal de la firma de ciberseguridad Mandiant.
Esa cuenta comprometida no estaba en uso en el momento del ataque, pero aún así se podía usar para acceder a la red. La clave de esta cuenta ha sido descubierta en un paquete de contraseñas filtradas en la dark web.
Eso significa que un empleado de Colonial podría haber usado esa misma contraseña en otra cuenta que previamente había sido comprometida, explica el experto, quien señala que no tiene seguridad de cómo los cibercriminales obtuvieron esa contraseña, y quizás nunca se sepa.
Esa cuenta de VPN (que ya ha sido desactivada) no tenía activado el doble factor de autenticación. Un básico de las medidas de ciberseguridad. De esta forma, los atacantes pudieron acceder usando esa contraseña, sin mayores barreras. Lo que no se sabe aún es cómo obtuvieron el nombre de usuario correcto.
“Hemos hecho una búsqueda exhaustiva para determinar cómo consiguieron esas credenciales. No vemos evidencia de phishing ni tampoco evidencia de otra actividad de los atacantes antes del 29 de abril”, afirma Carmakal para Bloomberg.
Las claves del ciberataque a Colonial Pipeline
Unos días más tarde, el 7 de mayo, un empleado de la sala de control de Colonial detectaba una nota de rescate demandando un pago en criptomonedas en su ordenador. Se notificó inmediatamente y se comenzó el “apagón”, pero el ransomware ya estaba en sus sistemas. Lo demás es historia.
El grupo cibercriminal organizado denominado DarkSide ha sido señalado como el responsable del ataque, que se ha convertido en uno de los más mediáticos del año. Y no es poco decir dado el enorme número de incidentes de seguridad de gran gravedad que están saliendo a la luz en los últimos meses. De hecho, el de Colonial Pipeline tiene ya el honor de contar con su propia entrada en Wikipedia.
No es para menos, dado que el ransomware que afectó a la compañía provocó una cascada de consecuencias que no solo derivó en el cierre del oleoducto durante varios días, sino que llegó a provocar largas colas en gasolineras y a declarar el estado de emergencia en varios estados. Además de, por supuesto, poner de manifiesto la vulnerabilidad de las infraestructuras críticas estadounidenses. Según los informes, la compañía pagó 4,4 millones de dólares a los criminales por el rescate. Tema aparte merece el asunto del pago de ransomware, y que se abordó en el último episodio del programa de radio sobre ciberseguridad, CiberAfterWork.
Back to basics: cerrando las puertas
A toro pasado es muy fácil ofrecer consejos, especialmente en el campo de la ciberseguridad. Son muchas las puertas (y ventanas) que proteger en las compañías y no siempre se tiene éxito. En ocasiones, ser rápidos y eficaces en la respuesta ante un ciberataque es prácticamente todo lo que se puede hacer.
Sin embargo, hay lugares que no solo tienen muchas puertas, sino que detrás de ellas se esconden muy valiosos tesoros, como es este caso.
Cabe mencionar que durante las pasadas semanas se recordaba que en 2018 un informe interno revelado por AP News alertaba de que en Colonial había graves problemas de ciberseguridad y que hasta “un niño sería capaz de vulnerar los sistemas”.
No ha sido un niño, sino un grupo criminal perfectamente profesionalizado y organizado, pero eso no exime de que este caso nos recuerda la importancia de revisar la casa desde los cimientos, y empezando por la base.
Como son, por ejemplo, las contraseñas, y en este caso, las contraseñas sin un doble factor de verificación.
Como consejos básicos que aplicar en esta ocasión, son los de que ni las credenciales ni las contraseñas deben reutilizarse en varias cuentas, ni mucho menos usarlas indistintamente en el ámbito personal y profesional.
Y por supuesto, que las contraseñas por sí mismas no son una llave segura, si no aplicamos el doble factor de autenticación para añadir una capa extra y necesaria de seguridad. Especialmente en servicios críticos que permitan acceder a información sensible.
En este sentido, establecer estas políticas de seguridad es vital. Y por supuesto, trasladarlo a la compañía, si no, de poco servirá. Las labores de formación y concienciación continuas de los empleados en ciberseguridad serán fundamentales para que toda la compañía esté pendiente de que ninguna de esas puertas o ventanas se queden entreabiertas.