Por Edson Villar, Líder de Cyber riesgos para LATAM Marsh
El reciente ciberataque de ransomware a Colonial Pipeline, principal operador de oleoductos de Estados Unidos y fuente de casi la mitad del suministro de combustible de la Costa Este de ese país, provocó el cierre de toda su red, interrumpiendo sus operaciones que incluyen el traslado diario de más de 450 millones de litros de gasolina y otros combustibles.
De acuerdo a una investigación preliminar, el ataque fue producto de malas prácticas de ciberseguridad en Colonial Pipeline, según lo informado por The New York Times. Al parecer, el ataque estaba dirigido a la red de TI de la empresa y no a los sistemas de control del oleoducto. Sin embargo, el temor a un daño mayor obligó a la empresa a cerrar el sistema, una medida que hizo evidente las vulnerabilidades en la red del oleoducto.
Los atacantes copiaron 100 GB de datos en dos horas el día antes de que se lanzara el ataque de ransomware. Citando fuentes no identificadas, Bloomberg News indica que los atacantes amenazaron con que los datos se divulgarían, a menos que Colonial pagara un rescate por las claves para descifrar los datos. Colonial no ha indicado si había pagado o estaba negociando un rescate.
El pasado 10 de mayo, el FBI confirmó que el grupo responsable de este ciberataque es conocido como DarkSide, una banda criminal con sede en Europa del Este. Las demandas de rescate de DarkSide pueden oscilar entre US$500,000 y más de US$5 millones, según la firma de ciberseguridad Mandiant.
A la fecha de redacción de este blog, Colonial no tiene un planeado pagar el rescate para descifrar la información. Lo anterior podría ser debido a que está trabajando con una firma de ciberseguridad para restaurar los datos de los sistemas de respaldo y reconstruir los sistemas donde no tenían respaldo disponible.
¿Cómo proteger los entornos industriales frente a ciberataques?
Si bien la ciberseguridad en redes industriales es un tema complejo y con una gran cantidad de aristas, existen buenas prácticas que las organizaciones deberían implementar, tales como:
- Restringir las conexiones externas (p.e. Internet) y aislar los segmentos de red en entornos IT y OT bajo un esquema de zero-trust.
- Restringir de los accesos remotos y en el caso de los entornos OT, permitir explícitamente cada vez que un usuario externo necesite acceder y siempre bajo monitoreo de la organización.
- Habilitar mecanismos de doble factor de autenticación.
- Validar y reforzar las capacidades de protección ante malware.
- Monitorear los eventos de seguridad a nivel perimetral e interno de las redes IT y OT.
- Definir un esquema de copias de respaldo acorde a los requerimientos de la organización y realizar pruebas de restauración.
- Definir y probar periódicamente un Plan de Respuesta ante Ciberincidentes.
- Definir y probar periódicamente un Plan de Continuidad del Negocio y un Plan de Recuperación ante Desastres.
- Concientizar y entrenar en ciberseguridad a empleados y terceros con acceso a los sistemas de la organización.
Un ciberataque es inminente, y las compañías deben estar preparadas.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |