Seguridad informática: los ciberataques sofisticados serán comunes por mucho tiempo
Cómo fue la secuencia que utilizaron los hackers en EE.UU. contra el oleoducto de Colonial Pipeline, que demandó para la empresa el equivalente a 4,4 millones de dólares para el rescate de los datos.
Gerardo Tomasi, CEO de Cotech.
En esta nueva columna para CONTAINER les voy a resumir la anatomía y las fases de un ciberataque, a través de la secuencia que existió en un caso real, y que se repite en la mayoría de los últimos modelos de acción por parte de los hackers.
Se trata del ataque que sufrió en mayo de 2021 la empresa del oleoducto Colonial Pipeline, que atiende casi a la mitad de los usuarios de la costa este de los Estados Unidos en el suministro de combustible. El caso tuvo resonancia en los EE.UU. y a nivel mundial por su impacto económico y por algunas cuestiones geopolíticas, ya que la banda de hackers a la que se imputó (Darkside) estaba asociada al gobierno ruso de Vladimir Putin, según los elementos recogidos por el FBI.
¿Qué sucedió? Básicamente, desde el día cero -y ésta sería la primera fase que tiene cualquier ciber ataque-, los hackers llevaron a cabo la fase de investigación. Se concretó a partir de que un usuario de Colonial Pipeline tenía una cierta contraseña que reutilizó para la empresa; este usuario fue hackeado en su casa, algo simple para los hackers, y con ese dato los intrusos informáticos ingresaron e hicieron brecha en la infraestructura de Colonial Pipeline.
La fase número dos de cualquier ataque consiste en la inyección del ransomware. El ransomware es el software malicioso que utilizan los hackers para lograr su cometido dentro de la infraestructura atacada.
Ese ransomware empezó a buscar diferentes sitios, computadoras, dispositivos, dentro de la infraestructura de la empresa y se empezó a difundir. Cuando los atacantes logran todos estos cometidos, pasan a la fase final que es la activación del ransomware.
Los hackers ya tienen semanas o meses de trabajo interno en la empresa, logran el control total, tienen cuentas de administrador de la infraestructura, y en ese punto realizan un cifrado completo de los datos, con las llaves de cifrado solo en poder de ellos, y comunican al dueño de la infraestructura que sólo van a liberar la información a través del pago de un rescate, que generalmente se pide en una moneda anónima, como el bitcoin por ejemplo. Esta primera fase de ataque terminó costando a la empresa Colonial Pipeline un monto (equivalente a la cotización del bitcoin de ese momento), de 4,4 millones de dólares.
Obviamente, los hackers hacen una evaluación financiera del atacado y en función de eso fijan el monto del rescate. Pero esta es la magnitud por la que pueden verse perjudicadas las empresas. Los montos globales están creciendo enormemente en términos de ransomware, que es la forma de ataque más común en la actualidad.