El 20 de julio 2021 la Agencia de Seguridad en el Transporte (TSA por su sigla en inglés), dependiente del Departamento de Seguridad Nacional (DHS) anunció que se dispone a emitir una Segunda Directiva de Seguridad como respuesta a la amenaza persistente a las empresas y sistemas de distribución y transporte de combustibles. La misma está destinada a que los propietarios y operadores de los oleoductos considerados “Infraestructuras críticas”, según la TSA, que transportan sustancias peligrosas y gas natural, implementen una serie de imperiosas protecciones contra ciber intrusiones a sus sistemas.

” La vida y los medios de subsistencia de los ciudadanos de EEUU dependen de nuestra capacidad colectiva para proteger la Infraestructura Crítica Nacional de las crecientes ciberamenazas”

Alejandro N. mayorkas, Secretario de seguridad nacional

La Agencia Nacional de Ciberseguridad y de Seguridad de Infraestructuras (CISA por su sigla en inglés) asesoró a la TSA en lo relativo a las amenazas que se ciernen sobre las infraestructura de ductos y en las contramedidas que se requieren para prevenir la acción de esas amenazas. Por tanto esta Directiva, la segunda desde el incidente de Colonial Pipeline, exige a los propietarios y operadores de estos ductos que “adopten medidas específicas de mitigación contra ataques del tipo ransomware y otras amenazas contra los sistemas de información y tecnologías industriales, diseñen un plan de contingencia y recuperación de ciberseguridad y que efectúen una revisión del diseño de sus respectivas arquitecturas de ciberseguridad.

La Primera Directiva en este sentido se emitió en mayo 2021 y exigía a los mismos destinatarios:

  1. Reportar los incidentes, ya sea que fueran potenciales o se hubieran confirmado, de ciberseguridad a la CISA
  2. Nombrar un Coordinador de Ciberseguridad con disponibilidad 24/7
  3. Efectuar una revisión de las prácticas de ciberseguridad
  4. Identificar áreas no cubiertas y las medidas de remediación vinculadas para enfrentar esos ciber riesgos, además de informar los resultados a la TSA y la CISA en un período de 30 días.

Esta sería la primera vez que el gobierno federal requiere la implementación de medidas específicas de ciberseguridad para este tipo de instalaciones. Sin duda, esta reacción obedece al incidente de mayo contra Colonial Pipeline. Los hackers provocaron la interrupción de gran parte de la red de distribución (casi 8900 Km de extensión) y demandaron un pago de 4,3 millones de dólares para liberar los sistemas de la empresa. Este incidente sumado a otros que afectaron a otras importantes empresas expusieron la capacidad de los grupos de ciberdelincuentes con base en Rusia para generar caos en la economía y seguridad nacional de EEUU.

La Amenaza Rusa: Darkside ataca a Colonial Pipeline

Marco Crabu de OFCS REPORT describe este ataque en Ransomware: DarkSide detrás del ataque al oleoducto de EE. UU.

Y….la Amenaza China de hace una década

Mientras la TSA se disponía a lanzar su nueva medida, el FBI y el Departamento de Seguridad Nacional emitieron una alerta conjunta sobre la amenaza china.

Entre 2011 y 2013 grupos ciberdelincuentes patrocinados por el gobierno de China atacaron alrededor de 24 operadores de ductos de petróleo y gas en EEUU con el objetivo específico de “poner en riesgo la infraestructura de distribución y transporte de hidrocarburos”. Según la alerta emitida 13 operadores resultaron efectivamente comprometidos y 8 de ellos sufrieron una “intrusión cuya gravedad se desconoce o. no pudo ser comprobada”. Otros tres ataques, basados en “spearphishing” habrían fallado.

Según el comunicado, esta actividad estaba dirigida a contribuir al desarrollo de capacidades ciberofensivas de China. Los cibergrupos chinos tenían el objetivo final de obtener el acceso estratégico a los sistemas de control industrial para “operaciones futuras”.

Fuentes consultadas: