Estados Unidos ha revivido esta semana escenas que no veía desde las turbulencias del petróleo de los años setenta: colas interminables en las gasolineras y estaciones de servicio limitando las compras o anunciando que se habían quedado a cero. El gran oleoducto de la empresa Colonial, una de las principales arterias energéticas del país, cerró el 7 de mayo, viernes, como consecuencia de un ataque informático, y por primera vez tuvo que detenerse al completo, poniendo en jaque el 45% del suministro de fuel toda la costa Este del país. El pánico a quedarse sin combustible llevó a millones de ciudadanos y empresas de la costa Este a llenar sus tanques, lo que disparó la demanda y agravó los problemas de suministro.
Antilavadodedinero / elpais
Varios Estados, como Florida y Georgia, declararon el estado de emergencia para poder tomar medidas excepcionales. El precio medio del galón alcanzó los tres dólares (2,47 euros), el máximo desde 2014. Las autoridades se apresuraron a advertir a los consumidores que pretendían aprovisionarse de gasolina utilizando bolsas, en vista de que los bidones se estaban agotando, y el Gobierno federal tuvo que adoptar medidas de urgencia, como la suspensión de requisitos medioambientales y de la ley Jones de comercio marítimo -que exige que las embarcaciones sean estadounidenses- para solucionar los problemas de suministro.
Todo este embrollo tuvo lugar a pesar de que, como han publicado la agencia Bloomberg y el periódico The Wall Street Journal, Colonial pagó a los ciberdelincuentes un rescate de cerca de cinco millones de dólares en criptomonedas el mismo día del ataque para poder volver a operar. DarkSide, como se hace llamar el grupo detrás de la tropelía, es una de esas organizaciones criminales que se dedican al cibersecuestro de los datos críticos de una empresa o institución que solo liberan a cambio de un pago. Es lo que en la jerga tecnológica se conoce como un ataque de ransomware: utilizan programas maliciosos (malware) para penetrar en los sistemas, encriptan la información sensible y venden una herramienta para desencriptarla. Ocurren cada día sin que nadie lo sepa, a las empresas no les conviene revelarlos por motivos de reputación y a los criminales tampoco les conviene llamar la atención.
Pero el viernes de la semana pasada DarkSide se lanzó sobre Colonial y provocó el mayor ciberataque conocido sobre una infraestructura energética en Estados Unidos, una ofensiva que tuvo un aparatoso impacto en el mundo real. Logró paralizar más de 8.000 kilómetros (5.500 millas) de tubo que une Texas con Nueva Jersey, sacudir los mercados y la vulnerabilidad de la mayor potencia mundial ante una banda criminal civil, en principio no vinculada a ningún Gobierno, a pesar de la experiencia de los últimos años y de los esfuerzos en mejorar la ciberseguridad.
Padraic O’Reilly, uno de los fundadores de la firma CyberSaint Security, experto en el sector de la energía y otras infraestructuras críticas, advierte de que el peligro va a más. “El mundo real se está volviendo digital y la pandemia ha forzado además a una mayor virtualización del mundo tangible, que lo que hace es que expone los sistemas físicos a la red”, dice. A esto se añade que el 85% de las infraestructuras críticas de Estados Unidos “está en manos privadas, eso es mucho, y las empresas privadas tienen el incentivo de mirar en resultado en el corto plazo y no siempre vela por la seguridad tanto como necesitan”. En el caso del oleoducto, O’Reilly cree que “algo ha descarrilado esta vez, [los criminales] han ido demasiado lejos”. “Lo que choca de toda esta historia es que han tenido que cerrar el oleoducto”, explica, “una cosa es robar una película, o bloquear los historiales médicos de un hospital, pero eso no se propaga a todo un sector de la economía, como esta vez ha ocurrido en la costa Este”.
DarkSide, que presume de no atacar hospitales ni colegios, pidió una suerte de disculpa el lunes, asegurando que su objetivo es “ganar dinero, no crear problemas a la sociedad”. En un comunicado que evocaba al humorista español Miguel Gila, cuyo popular gag consistía en las llamadas telefónicas al enemigo para ponerse de acuerdo en a qué hora y dónde atacar, la banda planteó como compromiso “introducir moderación y comprobar cada compañía que nuestros socios quieran encriptar para evitar consecuencias sociales en el futuro”.
No han trascendido las entretelas de todo el episodio. Según la versión que recabó Bloomberg de fuentes conocedoras del proceso, bajo condición de anonimato, Colonial pagó el rescate a las pocas horas del cibersecuestro de los datos y DarkSide le entregó la herramienta informática necesaria para desencriptarlos, pero esta resultaba muy lenta y la compañía tuvo que utilizar también sus propias salvaguardas. En su momento, la empresa afirmó que había detenido la operación para evitar que el virus se extendiese por todo su sistema. Sobre el pago del rescate, claro, no ha dicho esta boca es mía. La cifra que ha trascendido, esos cerca de cinco millones de dólares, supone un salto exponencial a los casos más comunes hasta ahora.
Hay diferentes estimaciones sobre esta pequeña gran industria del cibersecuestro de datos. Según la información de la firma de seguridad Emsisoft, hay alrededor de dos docenas de grupos principales en el negocio y el año pasado movieron hasta 18.000 millones de dólares en rescates en todo el mundo, lo que supone un incremento del 80% respecto a 2019, espoleado en buena parte por este impulso virtual de la actividad económica y humana que ha supuesto la pandemia. Otra firma, Chainanalysis, estima que se pagaron 406 millones en criptomonedas, un balance tan dispar que da idea de lo difuso de este mundo. Hay, sin embargo, consenso en la tendencia: va al alza.
“Todo está cada vez más conectado y, por tanto, aumenta lo que llamamos la superficie de ataque. Estados Unidos es un país muy avanzado y por tanto también muy conectado, por eso ofrece una gran espectro. Cuando una empresa o una institución sufre una operación así, si no tiene buenos sistemas de salvaguarda [backup], bien actualizados, no tiene otra salida que pagar el rescate”, explica César Cerrudo, hacker y jefe de tecnología de la empresa de seguridad informática IOActive.
Para Biden, el caso abre diferentes frentes. La sacudida de estos días ha sido munición para la oposición republicana, que le reprocha la cancelación del proyecto del nuevo gran oleoducto Keystone, una obra controvertida por el impacto ambiental. Y el impulso al coche eléctrico, una de las medidas básicas de los planes medioambientales de los países, amplía eso que César Cerrudo llama “superficie de ataque” de los criminales. El demócrata tiene que lidiar con Rusia, pues se considera que el grupo criminal reside en este país y Biden quiere que el Kremlin tome medidas.
Esta semana firmó una orden ejecutiva sobre ciberseguridad que, grosso modo, obliga a las empresas contratistas a reforzar sus medidas. Se empezó a trabajar en ella precisamente a raíz del ciberataque masivo que el año pasado sufrieron varias agencias federales y Washington atribuye a Moscú. También Ucrania acusó a Rusia de atacar su sistema eléctrico en 2015 y 2016. Y el pirateo de los correos del Partido Demócrata en las elecciones presidenciales de 2016 sigue muy presente. Esta vez ha sido un grupo de criminales con base supuestamente en Rusia, pero aparentemente independientes del Gobierno, y las acciones han trascendido al mundo físico.
De momento, la presión de Estados Unidos ha llevado a DarkSide a cerrar su operación. En un comunicado que envió a algunos medios este viernes, señaló que el grupo dejaría el ciberespacio en un plazo de 48 horas. Los expertos creen no obstante, que volverán bajo otra identidad. Al despedirse, DarkSide dijo: “Permanezcan a salvo y tengan buena suerte”.