David Sanger ha sido corresponsal para The New York Times durante 30 años, cubriendo temas sobre la política exterior, la globalización, la proliferación nuclear y la presidencia de Estados Unidos.

Nicole Perlroth cubre la ciberseguridad y el espionaje digital para The New York Times. Es autora del libro "This Is How They Tell Me The World Ends" publicado en 2021.

La vulnerabilidad de la infraestructura estadounidense de oleoductos quedó en evidencia debido al ataque del grupo criminal de hackers DarkSide. El ataque consistió en el “secuestro de datos” (ransomware en inglés) que interrumpió el suministro de gasolina. Ante el riesgo de que el ransomware se extendiera, el FBI realizó una alerta de emergencia a las compañías eléctricas, proveedores de gas y otros operadores de oleoductos y gasoductos con la finalidad de identificar códigos que pudieran ocasionar bloqueos, tal como el código que bloqueó las actividades de la empresa Colonial Pipeline.

El principal oleoducto que transporta gasolina y otros suministros energéticos desde la costa del Golfo de Texas hasta el puerto de Nueva York quedó sin servicio durante cuatro días debido al ciberataque orquestado contra la empresa Colonial Pipeline. De acuerdo con la empresa, los efectos del bloqueo del suministro eran mínimos y esperaban que el oleoducto funcionara con normalidad en cuestión de días.

El ataque provocó que se realizaran reuniones de emergencia en la Casa Blanca con la finalidad de tener claro si el bloqueo a las redes informáticas de Colonial era un “acto puramente delictivo” o si Rusia u otros Estados estaban detrás del ataque. Sin embargo, los servicios de inteligencia catalogaron el episodio como un acto de extorsión orquestado desde Europa del Este, probablemente desde Rusia.

Los hackers atacan infraestructuras críticas (redes eléctricas, oleoductos, hospitales e instalaciones de tratamiento de agua). Asimismo, los gobiernos de Atlanta y Nueva Orleans y el Departamento de Policía de Washington, D.C. han sido atacados.

El aumento de los ciberseguros y de las criptomonedas ha contribuido a que los casos de ransomware se incrementen. Los ciberseguros cubren los pagos por extorsión, los cuales son realizados mediante criptomonedas y, por ende, resultan más difíciles de rastrear.

Según los funcionarios federales y los investigadores privados el ransomware iba dirigido a las operaciones administrativas de la empresa Colonial Pipeline y no a los sistemas de control del oleoducto. En este sentido, la empresa no respondió inmediatamente si pagaría o no el rescate, no mencionó nada sobre la inversión que ha realizado para proteger sus redes y no pidió apoyo cibernético al gobierno federal.

Mientras tanto, el presidente Joe Biden mencionó que Estados Unidos “desbaratará y perseguirá” al grupo criminal. Asimismo, declaró que no existían pruebas para afirmar que Rusia se encontraba detrás del ataque. No obstante, reconoció que Moscú tenía cierto grado de responsabilidad debido a la creencia de que el DarkSide tiene sus raíces en Rusia. Dado los sucesos del ciberataque, se espera que el presidente Biden anuncie una orden ejecutiva para reforzar las ciberdefensas de Estados Unidos.

La asesora en materia de seguridad nacional del presidente Biden, Elizabeth Sherwood-Randall, mencionó que el Departamento de Energía estaba “dirigiendo la respuesta federal” y discutiendo “las medidas recomendadas para mitigar nuevos incidentes en toda la industria”. Asimismo, señaló que reanudar las actividades del oleoducto era una tarea que competía a Colonial.

Los acontecimientos del ciberataque resultaron sorpresivos debido a que desde hace tiempo ya se había manifestado la necesidad de aumentar el presupuesto para la ciberdefensa. En este sentido, el cuestionamiento giraba en torno a por qué los ataques no se habían producido antes. Desde la administración de Donald Trump, el Departamento de Seguridad Nacional había emitido una advertencia sobre el malware ruso en la red eléctrica estadounidense.

Las agencias gubernamentales y compañías eléctricas habían realizado simulacros sobre ataques al sector energético estadounidense, caracterizándolo como un “ataque terrorista, una mezcla de ciberataques y ataques físicos, o un bombardeo por parte de Irán, China o Rusia en los momentos iniciales de un conflicto militar mayor”.

El ataque realizado por DarkSide a la empresa Colonial derrumbó el sistema. Así, el ataque fue calificado como “la última amenaza combinada”, debido a que se trataba de un acto delictivo que amenazó la cadena de suministro energético de la nación y no se suscitaron detenciones o acusaciones inmediatas.

Existe un temor con relación a la posibilidad de que el grupo ransomware venda sus habilidades a los gobiernos. Sin embargo, el grupo criminal DarkSide declaró no operar en nombre de ningún Estado, lo cual se visualizó como “un esfuerzo por distanciarse de Rusia”. En su página web DarkSide argumentó que eran apolíticos y su objetivo era “ganar dinero y no crear problemas a la sociedad”. En este sentido, dado que el ataque a la empresa Colonial se tradujo en el cierre del oleoducto, el grupo criminal mencionó que “evitaría tales objetivos en el futuro”.

DarkSide destina sus ganancias por las extorsiones que realiza a “la investigación y el desarrollo de formas más eficaces de ransomware”. El grupo criminal hackea a las grandes empresas y dona sus ganancias a organizaciones sin fines de lucro. Sin embargo, la mayoría de las organizaciones sin fines de lucro han rechazado sus donaciones.

La creencia de que los orígenes de DarkSide se encuentran en Europa Oriental surgió debido a su código. El ransomware de DarkSide no ataca a los ordenadores con idioma ruso, ucraniano, georgiano y bielorruso. El código de DarkSide es muy selectivo y adapta los ataques a cada víctima. Por otra parte, el código de DarkSide es similar al utilizado por REvil, “un grupo que estuvo entre los primeros en ofrecer ransomware como servicio”.