El ataque cibernético contra el oleoducto Colonial lo causó el mal uso de una contraseña

El director ejecutivo de Colonial Pipeline adoptó una postura defensiva durante una audiencia en el Senado el martes y calificó a su compañía como víctima de fuerzas fuera de su control al ser cuestionada sobre su manejo de un ataque de ransomware que ocurrió el mes pasado y que cortó el acceso de combustible a gran parte de la costa este de Estados Unidos.

En sus primeras declaraciones al Congreso desde el ciberataque, el director ejecutivo Joseph Blount dijo que “ser extorsionado por delincuentes no es una posición en la que ninguna empresa quiera estar”. También defendió la controvertida decisión de pagar el rescate (75 bitcoins, que entonces valían aproximadamente a $4.3 millones de dólares) a un grupo criminal ruso conocido como DarkSide.

Los piratas informáticos pudieron acceder a la red de la empresa a través de una cuenta que no estaba protegida con autenticación multifactor, un principio básico de la ciberseguridad corporativa. Más bien, estaba protegida por una única contraseña.

Uno de los ataques cibernéticos más graves y costosos sufridos por Estados Unidos, que en mayo afectó a la red de oleoductos Colonial, se podía haber evitado si un empleado de la compañía no hubiera utilizado su contraseña de la compañía para acceder a páginas web, según lo declarado por Joseph Blount.

Blount testificó ante el Comité de Seguridad Nacional de la Cámara de Representantes de Estados Unidos junto con Charles Carmakal, vicepresidente de FireEye Mandiant, una empresa especializada en la lucha contra criminales cibernéticos que está trabajando con Colonial Pipeline para investigar el ataque e impedir que sufra otros en el futuro.

Blount reconoció que “una de las más complejas infraestructuras energéticas de Norteamérica y quizás del mundo” y que transporta cada día 378.5 millones de litros de combustibles por sus miles de millas de oleoductos, sufrió el 7 de mayo un ataque cibernético que bloqueó sus sistemas informáticos por la reutilización de una contraseña.

Carmakal, cuya compañía fue contratada por Colonial inmediatamente después de sufrir el ataque, explicó que aunque no se sabe con certeza cómo los criminales lograron el nombre de usuario y la contraseña para acceder al sistema informático de la compañía, lo más probable es que el empleado los usó en otra página web.

La cuenta comprometida, que ha sido eliminada de Colonial, contaba con una contraseña que según explicó Carmakal “no era fácil sino compleja” pero se “había usado en el pasado en otra página web”.

El principal directivo de Colonial también admitió que fue él personalmente el que tomó la decisión de pagar el rescate que solicitaron los piratas informáticos, un grupo denominado DarkSide, para liberar los sistemas informáticos de la compañía, que habían quedado encriptados por el ataque.

Colonial pagó algo más de $4 millones de dólares en bitcoin aunque Blount reconoció que, finalmente, Colonial no necesitó la herramienta proporcionada por DarkSide para eliminar el encriptado.

Según explicó Carmakal, la herramienta no hizo falta.

“El descifrador proporcionado (por DarkSide) funcionó y fue efectivo. Pero la realidad es que no fue necesario para recuperar sistemas y datos porque Colonial fue capaz de volver a funcionar con sus copias de respaldo y procesos de restauración”, indicó.

Pero tanto Blount como Carmakal dijeron que ante la urgencia de la situación y la necesidad de reiniciar el funcionamiento de una pieza de infraestructura básica para el país, la decisión de pagar el rescate solicitado por DarkSide fue la adecuada.

Blount afirmó que pagar a DarkSide los $4.4 millones de dólares fue la “decisión más difícil” que ha tenido que tomar y también que fue “correcta”.

Esta semana, el FBI anunció que ha recuperado unos $2.3 millones de dólares del rescate pagado por Colonial aunque Blount señaló que no sabe si la cifra ya ha sido devuelta a la compañía.

Carmakal también dejó claro que “no tenemos ninguna información que indique que los ataques contra Colonial y JBS (una empresa de producción cárnica que también sufrió recientemente un ciberataque) fuesen dirigidos por el gobierno ruso o cualquier otro gobierno”.

Pero añadió que DarkSide es un conglomerado compuesto por piratas informáticos que hablan ruso y que operan desde Rusia o países vecinos ofreciendo sus servicios, por lo que las autoridades estadounidenses deberían “presionar” a Moscú “y países vecinos que acogen estos criminales”.

Blount reveló que el ataque se inició alrededor de las 5.00 (9.00 GMT) del 7 de mayo cuando los técnicos de Colonial recibieron en sus sistemas informáticos una nota de los piratas informáticos solicitando un rescate para liberar los mismos.

Una hora después, la compañía decidió desconectar los sistemas informáticos y paralizar el funcionamiento de la red de oleoductos, que proporciona la mitad del combustible que se consume en la costa este de Estados Unidos.

Con información de EFE