El CEO de Colonial Pipeline admite que la empresa no previó ataques de ransomware

El importante operador de oleoductos y gasoductos no tenía una estrategia para prevenir el ransomware ni, menos aún, para enfrentar un ataque exitoso. Su VPN heredada tampoco tenía 2FA.

Varios medios de comunicación estadounidenses informan que el CEO de Colonial Pipeline, Joseph Blount, asistió ayer a una audiencia en el Senado de los Estados Unidos, donde quedó de manifiesto que la empresa no se había preparado explícitamente para un ataque de ransomware. La empresa tampoco tenía una estrategia sobre cómo manejar un ataque exitoso de ransomware.

A pesar de las advertencias de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional, realizadas ya en febrero de 2020, sobre el riesgo de este tipo de ataques contra el sector de los oleoductos, Colonial Pipeline se mantuvo pasiva al respecto.

En la audiencia, Blount dijo: «Tenemos un proceso de respuesta de emergencia: Ver la amenaza, contener la amenaza, remediar la amenaza y restaurar». La senadora Maggie Hassan, replicó que era inaceptable no contar realmente con la preparación y el sistema para proteger infraestructuras críticas como los oleoductos. «Tenemos que empezar a imaginar lo que puede ocurrir, y responder en consecuencia, en lugar de estar siempre mirando cuál fue el último problema e invertir realmente en infraestructuras críticas. Creo que es absolutamente necesario que tengamos normas que realmente garanticen que las empresas invierten en el tipo de infraestructura que necesitan.»

Blount defendió en gran medida los esfuerzos de la empresa por asegurar su oleoducto de combustible, que dejó de funcionar el mes pasado después de que ciberdelincuentes se apoderaran de sus sistemas informáticos y exigieran el pago de un rescate para descifrarlos. La compañía terminó pagando a los atacantes 4,4 millones de dólares en criptomoneda a cambio de las claves para descifrar los archivos. El largo proceso de la empresa para restablecer el servicio hizo que cundiera el pánico en las gasolineras.

El lunes, el Departamento de Justicia anunció que había recuperado 2,3 millones de dólares en pagos de criptodivisas que la empresa pagó a los atacantes.

Blount justificó la decisión de la empresa de realizar el pago y mantenerlo inicialmente en secreto. «Mantuve la información en secreto porque estábamos preocupados por la eficacia operativa y la seguridad, y queríamos mantenernos centrados en que el oleoducto volviera a funcionar», dijo. «Creo de todo corazón que fue la decisión correcta».

Un senador también interrogó a la empresa sobre la falta de seguridad de un sistema de VPN heredado que los hackers utilizaron como puerta de entrada. El sistema no tenía activada la autenticación de dos factores.

Blount calificó de «desafortunado» el hecho de que las pruebas no detectasen el peligro, pero dijo que la empresa realiza regularmente auditorías externas. Dijo que desconocía que la empresa no hubiera cumplido con una auditoría voluntaria de la Administración de Seguridad del Transporte hasta que ésta se hizo pública. Dudó que la auditoría hubiera detectado la falta de seguridad del sistema. «Creo que en este caso, probablemente no se habría encontrado esa VPN heredada», dijo a los legisladores. «En realidad no acceden al sistema. Es una cosa de tipo cuestionario».

Ilustración: Canva



Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022