Este ciberataque impactó en sus operaciones por seis días en donde no solo su infraestructura informática y oleoducto se vieron afectados, sino también la distribución y transporte de la gasolina, causando pánico en los ciudadanos que formaron largas filas hasta vaciar las gasolineras y llevando al gobierno a declarar estado de emergencia. El costo fue millonario, no solamente por haber tenido que pagar el rescate de la información e infraestructura (de ahí el término “ransomware”) de 4,4 millones de dólares a los cibercriminales, sino por la parada en las operaciones que implicó el ataque.

Como resultado del ataque, hemos aprendido no solo la relevancia que tiene la prevención en el campo de la ciberseguridad, sino también el impacto operacional y económico que estos eventos pueden representar si no se protegen las infraestructuras críticas de manera correcta. Los ciberdelincuentes conocen y entienden cuánto estas organizaciones tienen para perder y el ransomware se ha convertido en una de sus herramientas de ataque preferidas, por su eficacia y retorno de inversión. No sería para nada extraño seguir viendo ataques de este tipo en el futuro cercano.

A un año de este hecho, es casi obligatorio preguntarnos: ¿Hemos aprendido algo? ¿Cuál es el nivel de seguridad de estas organizaciones hoy? ¿Qué debemos hacer?

Ahora más que nunca somos conscientes de que los ataques a infraestructuras críticas son un peligro real y presente, tanto para las organizaciones atacadas como para la sociedad en general. Por otro lado, un informe del Centro de Estudios Estratégicos e Internacionales (CSIS) y Trellix menciona que el 9% de los operadores de infraestructuras críticas no cuentan con una estrategia de ciberseguridad definida, esto es, simplemente no tienen a la ciberseguridad como un punto en su planificación organizacional. Esto lleva a que, como resultado, la mayoría de las empresas han experimentado al menos un ciberataque que haya impactado su negocio.

Los cibercriminales conocen sobre la poca preparación en materia de ciberseguridad de tecnología operativa y entornos orientados a la producción, y que estas organizaciones no pueden permitirse ningún tiempo de inactividad; de allí que los ataques se enfoquen en esta infraestructura y los rescates sean de cifras millonarias. Los ataques de ransomware que han pagado grandes rescates han demostrado que hay mucho dinero en juego en este mercado. Si unimos esto al mal estado de la ciberseguridad en muchas operaciones de infraestructuras críticas, tenemos lo que llamamos un “entorno rico en objetivos”, una tormenta perfecta.

El número de ataques está superando el ritmo al que las organizaciones pueden responder a ellos. Las inversiones en nuevas tecnologías representan grandes oportunidades de eficiencia, como el paso a las fábricas y ciudades inteligentes, pero estos cambios pueden introducir verdaderas brechas en la seguridad. El Informe de Retrospectiva del Panorama de las Amenazas 2021 (TLR) de Tenable muestra esto, con un incremento de 241% en vulnerabilidades y exposiciones comunes (CVE) entre 2016 y 2021. El mismo estudio también menciona que el ransomware representó aproximadamente el 38% de todas las violaciones.

Los grandes casos de ransomware, como el de Colonial Pipeline, siguen demostrando que, en general, estamos poco preparados en lo que respecta a la ciberseguridad general de las infraestructuras críticas. Las organizaciones suelen centrarse y gastar mucho dinero en la ciberseguridad de los entornos empresariales y corporativos, pero los entornos orientados a la producción y su tecnología operativa no han recibido su parte de atención e inversión a lo largo de los años. Algunos sectores de infraestructuras críticas no han dado prioridad a la ciberseguridad y se ven sorprendidos cuando descubren el riesgo estratégico que cubre. Históricamente, estos sectores no han pensado en la interconectividad, el acceso, la complejidad y la digitalización como riesgo cibernético estratégico y no han sido regulados de esa manera.

El incidente de Colonial Pipeline pone de manifiesto la importancia de la ciberhigiene. Cuestiones como habilitar autenticación multifactor o desactivar las cuentas inactivas son simples pero eficaces y pueden reducir el riesgo drásticamente. De nada sirve invertir millones de dólares en nuevas tecnologías y soluciones si las barreras de defensa existentes son mal utilizadas.

Hoy en día la clave está en abordar este tipo de amenazas con un enfoque basado en el riesgo. No se puede parchar todo todo el tiempo, sino que es necesario abordar los aspectos más vulnerables del negocio en primer lugar. Puede tratarse de cualquier aspecto de las personas, los procesos o la tecnología. El ciberataque que ocurrió hace un poco más de un año a Colonial Pipeline es una oportunidad de aprendizaje para todas las organizaciones para proteger mejor su superficie de ataque y constantemente monitorear posibles vulnerabilidades para evitar ciberataques. Sin mejoras en la seguridad y la resiliencia, los proveedores de infraestructuras críticas no están preparados para hacer frente a ciberamenazas. Y por extensión, el riesgo para las sociedades es alto.