Como responsable de las operaciones de GlobalSign para América del Norte y del Sur, siempre estoy interactuando con una gran variedad de empresas, desde el B2B hasta el comercio minorista y los bienes de consumo. Pero resulta que el segmento en el que me he centrado gran parte de la última década es el mercado de la energía, trabajando especialmente con el Consejo de Normas Energéticas de América del Norte (NAESB). Al hacerlo, he tenido la suerte de estar bastante expuesta al mercado de la electricidad, así como a la industria energética en general.
Por eso, cuando se conoció la noticia del hackeo de Colonial Pipeline, puede estar seguro de que me llamó la atención (por supuesto, el incidente captó la atención de la gente en todo el mundo). Dicho esto, quiero señalar algunos puntos muy importantes.
En primer lugar, el hackeo de Colonial Pipeline fue digno de mención porque fue el ataque de ransomware más importante hasta la fecha en un sistema de transporte de energía de Estados Unidos frente a un proveedor de combustible real como Exxon.
Exageración frente a la realidad
A pesar de los bombos y platillos de que la red fue atacada, esto simplemente no fue el caso. La red de energía NO fue atacada. Tampoco el sistema de control industrial que utiliza Colonial Pipeline.
No, no se trataba de un escenario de pesadilla en el que los hackers controlaban a distancia válvulas e interruptores. Pero la verdad es que podría haber ocurrido.
Lo que también es muy cierto es que el hackeo del Colonial Pipeline causó un pánico masivo en muchas partes de la nación, especialmente en la Costa Este, debido a la preocupación de que el combustible se agotará, y que los surtidores de las gasolineras estuvieran vacíos durante un período de tiempo desconocido. El miedo a lo desconocido es poderoso.
Pero una vez que el director general de Colonial Pipeline, Joseph Blount, tomó la durísima decisión de pagar el rescate -por valor de 4,4 millones de dólares-, la empresa obtuvo una clave de descifrado y el combustible volvió a fluir, permitiendo a millones de residentes de Estados Unidos respirar con alivio. Poco después, las largas colas en las gasolineras empezaron a remitir.
¿Qué ocurrió?
Lo que fue atacado fue el sistema informático del Colonial Pipeline. El ransomware fue probablemente inyectado a través de vectores de ataque bien conocidos, como el phishing y el spear phishing. Pero como vimos con SolarWinds, el malware puede desplegarse a través de actualizaciones de firmware aparentemente rutinarias.
Una vez que Colonial Pipeline descubrió que había sido objeto de un ciberataque, retiró algunos sistemas para aislar la amenaza, deteniendo temporalmente el flujo de combustible en el oleoducto. Más tarde, la empresa anunció que había descubierto que el ciberataque consistía en un ransomware.
Aunque no se demostró que los atacantes hubieran penetrado en los sistemas de control vitales (porque esta capa más profunda de los controles es vulnerable a los ciberataques), la propagación de la infección habría tenido consecuencias nefastas.
Mientras que los sistemas informáticos controlan los procesos empresariales, como la facturación y la administración, los sistemas informáticos controlan las válvulas, los motores y otras máquinas para regular la temperatura, la presión y el flujo.
Colonial has a modern OT system, which uses Supervisory Control and Data Acquisition (SCADA) systems to control and monitor industrial control systems.
Advances in OT have created enormous productivity, reliability and safety advantages, but have also opened the door to increased vulnerability. These previously “manned” operated functions are now performed by computers, allowing even the most remote incident to be quickly detected and fixed.
The lines between IT and OT are blurring so one must take any breach to an IT system extremely seriously, although it appears it wasn’t the case with Colonial.
¿Qué se puede hacer?
Hoy en día, todo el mundo tiene un papel que desempeñar para hacer todo lo posible por evitar un incidente cibernético. A continuación se ofrecen algunos consejos importantes a tener en cuenta.
1. Una mayor educación en la detección de correos electrónicos sospechosos – pasar por encima del dominio, confiar sólo en los mensajes firmados digitalmente, comprobar si hay errores tipográficos evidentes. No hacer clic en ningún enlace sospechoso sin informar primero al departamento de TI.
2. Suba la apuesta en su plan de reanudación de la actividad. Ya ha pasado la época en la que nos preguntábamos "¿nos van a hackear?". Porque ahora sabemos que la mayoría de las empresas lo serán. La mejor pregunta es "¿Cómo responderemos y restauraremos nuestros sistemas?".
3. Haga una copia de seguridad de sus datos en una red independiente.
4. Aumente los controles de ciberseguridad – especialmente en los sistemas OT.
5. Aproveche la flexibilidad de la tecnología PKI utilizando jerarquías de AC privadas separadas para emitir los certificados de autenticación de usuarios y máquinas utilizados para autenticar personas y máquinas. Lo que se quiere es segregar las reglas de control de acceso de TI y OT para minimizar el riesgo de que una brecha de TI afecte a sus sistemas OT.
6. Supervise sus sistemas muy de cerca. Muchos piratas informáticos son pacientes y darán numerosos pasos, a menudo con correos electrónicos de suplantación de identidad, para introducirse en los sistemas que, de ser penetrados, podrían tener consecuencias devastadoras en términos de violación de datos y, peor aún, de control de los controles industriales (el uso de una solución de firma de código puede ayudar). Además, no ejecute ningún ejecutable que no haya sido verificado por un certificado de firma de código de confianza en el que el editor del software haya sido claramente verificado mediante una fuerte prueba de identidad.
7. Asegure su clave privada de firma de código en un módulo de plataforma de confianza (TPM) o en un hardware de tipo USB.
8. Consulte a NAESB y a otras organizaciones de normas específicas del sector para conocer las mejores prácticas de ciberseguridad.
¿Está interesado en saber más? Visite nuestro sitio web para descubrir cómo GlobalSign trabaja con NAESB para proporcionar certificados digitales conformes a una variedad de casos de uso, como la autenticación segura de servicios en línea, el acceso al Registro Industrial Electrónico (EIR) de NAESB, la firma digital de correos electrónicos y documentos, y el cifrado de las comunicaciones del servidor.
