WASHINGTON (NYTIMES) – El audaz ataque de ransomware que cerró un gran oleoducto y llevó a los estadounidenses a luchar por la gasolina en el sureste la semana pasada no fue la primera vez que los piratas informáticos interrumpieron la envejecida y vulnerable infraestructura energética de Estados Unidos. Y es poco probable que sea el último.
En todo el mundo, los ciberataques se dirigen cada vez más a los sistemas energéticos que sustentan la sociedad moderna.
Un informe de febrero de IBM encontró que la industria de la energía fue el tercer sector más afectado por tales ataques en el último año, solo detrás de las finanzas y la manufactura. Esto subió del noveno lugar en 2019.
“Esto debería ser una señal de advertencia”, dijo Jonathon Monken, director de la consultora energética Converge Strategies.
“Cuando se analiza lo que es más probable que cause interrupciones en las empresas de energía hoy en día, creo que debería poner los riesgos de ciberseguridad en la cima”.
A pesar de años de advertencias, la vasta red estadounidense de tuberías, redes eléctricas y plantas de energía sigue siendo extremadamente vulnerable a los ataques cibernéticos con el potencial de interrumpir el suministro de energía a millones de personas.
Abordar estos riesgos, dijeron los analistas, representará un gran desafío para el gobierno de Biden, que busca cientos de miles de millones de dólares para modernizar la infraestructura energética del país y hacer la transición a fuentes de energía más limpias para hacer frente al cambio climático.
Los reguladores están cada vez más preparados para intervenir.
La semana pasada, Richard Glick, presidente de la Comisión Reguladora de Energía Federal, dijo que era hora de establecer estándares obligatorios de ciberseguridad para los casi 4,8 millones de kilómetros de oleoductos y gasoductos del país, similares a los que se encuentran actualmente en el sector eléctrico.
“Simplemente alentar a los oleoductos a adoptar voluntariamente las mejores prácticas es una respuesta inadecuada al creciente número y sofisticación de los ciberatacantes malévolos”, dijo Glick en un comunicado.
Los riesgos para los sistemas energéticos del país son amplios y variados. Muchos oleoductos y gasoductos, por ejemplo, dependen de sistemas de control de décadas de antigüedad que no están bien protegidos contra ataques cibernéticos más sofisticados y no se pueden actualizar fácilmente.
Y no se trata solo de oleoductos. A medida que los operadores de redes aprovechan una creciente gama de tecnologías digitales para ayudar a administrar el flujo de energía y reducir las emisiones del calentamiento global, como termostatos inteligentes o redes de paneles solares remotos pero interconectados, los piratas informáticos pueden encontrar nuevos puntos de entrada para explorar.
El cierre del 7 de mayo del Colonial Pipeline, que se extiende por 8.850 km desde Texas hasta Nueva Jersey y transporta el 45% del suministro de combustible de la costa este, ilustra cuán devastadores pueden ser estos ataques.
El 8 de mayo, Colonial reconoció que sus sistemas informáticos corporativos se vieron afectados por un ataque de ransomware, en el que grupos delictivos retienen datos como rehenes hasta que la víctima paga un rescate.
Un camión cisterna que entrega combustible en una gasolinera Speedway en Alexandria, Virginia, el jueves pasado. Un ataque de ransomware cerró un gran oleoducto en los Estados Unidos y provocó que la gente luchara por conseguir gasolina en el sureste la semana pasada. FOTO: EPA-EFE
La compañía dijo que cerró el oleoducto como medida de precaución, aparentemente por temor a que los piratas informáticos pudieran haber obtenido información que les permitiría atacar partes del propio oleoducto.
Colonial dijo el miércoles pasado que había comenzado a reanudar las operaciones en el ducto, aunque tardó varios días en restablecer el servicio completo. Pero en todo el sureste, los estadounidenses, presos del pánico, corrieron para abastecerse de gasolina, lo que provocó que miles de estaciones de servicio se quedaran sin combustible.
Aunque Colonial aún no ha explicado exactamente qué provocó el cierre del oleoducto, los expertos dijeron que había muchas vulnerabilidades al acecho en la infraestructura energética de Estados Unidos.
El año pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad informó sobre un ataque de ransomware en una instalación de compresión de gas natural que provocó el cierre de la instalación durante dos días.
En 2018, varios operadores de gasoductos informaron que un sistema que procesa las transacciones de los clientes fue atacado, lo que provocó interrupciones en el servicio.
Pero acechan mayores riesgos: en 2016, los piratas informáticos derribaron grandes secciones de la red eléctrica en Ucrania en lo que se pensó que era el primer apagón intencional provocado por un ataque cibernético.
En ese momento, la administración Obama advirtió que las empresas eléctricas estadounidenses no eran inmunes a ataques similares.
En el pasado, las empresas de energía solían mantener los sistemas operativos que operan oleoductos o plantas de energía desconectados o “separados” de la Internet en general, lo que significaba que los piratas informáticos no podían acceder fácilmente a la infraestructura más crítica.
Pero cada vez más, este ya no es el caso, ya que las empresas instalan software de diagnóstico y monitoreo más sofisticado que les ayuda a operar estos sistemas de manera más eficiente. Esto crea potencialmente nuevos riesgos de ciberseguridad.
“Ahora, todos estos sistemas están interconectados de formas que las propias empresas no siempre comprenden por completo”, dijo Marty Edwards, vicepresidente de tecnología operativa de Tenable, una empresa de ciberseguridad.
“Esto ofrece una oportunidad para que los ataques en un área se propaguen a otra parte”.
Muchos sistemas de control industrial se instalaron hace décadas y funcionan con software obsoleto, lo que significa que incluso encontrar programadores para actualizar los sistemas puede ser un desafío.
Y los operadores de infraestructura energética vital, como tuberías, refinerías o plantas de energía, a menudo se muestran reacios a interrumpir el flujo de combustible o energía durante largos períodos de tiempo para instalar parches de seguridad frecuentes.
Para hacer las cosas aún más difíciles, dicen los analistas, muchas empresas no siempre saben exactamente cuándo y dónde vale la pena gastar dinero en nuevas y costosas defensas de seguridad cibernética, en parte debido a la falta de datos fácilmente disponibles sobre qué tipos de los riesgos a los que es probable que se enfrenten.
“Las empresas no siempre divulgan mucha información públicamente” sobre las amenazas que están viendo, dijo Padraic O’Reilly, cofundador de CyberSaint Security, que trabaja con pipelines e infraestructura crítica de ciberseguridad.
“Esto puede dificultar que la industria sepa dónde invertir”.
Los analistas dijeron que las empresas eléctricas y los operadores de redes estaban por delante en la preparación para los ataques cibernéticos que la industria del petróleo y el gas, en parte porque los reguladores federales han exigido durante mucho tiempo estándares de seguridad cibernética para la columna vertebral de la red eléctrica en el país.
Aún así, las vulnerabilidades permanecen.
“Parte de eso es la gran complejidad de la red”, dijo Reid Sawyer, director gerente de la práctica de consultoría cibernética en los Estados Unidos en Marsh, una compañía de seguros.
No todos los niveles de la red cumplen con los estándares obligatorios, por ejemplo, y hay más de 3,000 concesionarios en el país con diferentes prácticas de seguridad cibernética.
Es posible que las empresas de energía nunca puedan defenderse de todos los posibles ataques cibernéticos, dicen los expertos. En cambio, las empresas y los legisladores deberán diseñar sistemas de energía más grandes que sean resistentes a los ataques y posibles interrupciones, por ejemplo, creando más redundancias o reemplazos.
“Es un viejo dicho en ciberseguridad: las personas que trabajan en defensa deben tener razón el 100% del tiempo, mientras que los atacantes deben tener razón solo una vez”, dijo Monken.
“Significa que tenemos que pensar mucho más en las contingencias cuando esas defensas fallan”.