El CEO del oleoducto saboteado explica por qué pagó 4,4 M a los 'hackers': "Hice lo correcto"
  1. Mercados
  2. The Wall Street Journal
no es la respuesta recomendada

El CEO del oleoducto saboteado explica por qué pagó 4,4 M a los 'hackers': "Hice lo correcto"

Joseph Blount, CEO de Colonial Pipeline, declara que necesitaba restaurar el servicio rápidamente después de que el ciberataque amenazase el suministro de la Costa Este

placeholder Foto: EC.
EC.

El operador de Colonial Pipeline descubrió que estaba en serios problemas la madrugada del 7 de mayo, cuando un empleado encontró una nota de rescate de unos ‘hackers’ en un ordenador de la sala de control. Por la noche, el director general de la compañía tomó una difícil decisión: tenía que pagar.

Joseph Blount, CEO de Colonial Pipeline, ha declarado a ‘The Wall Street Journal’ que autorizó el pago del rescate de 4,4 millones de dólares porque los directivos no estaban seguros de cuánto había vulnerado sus sistemas el ciberataque, y, por consiguiente, cuánto llevaría restablecer el oleoducto.

Blount ha reconocido públicamente por primera vez que la empresa había pagado el rescate, alegando que era una opción que tenía que tomar, dados los intereses en juego en un cierre de una infraestructura energética tan importante. El oleoducto Colonial suministra cerca del 45% del combustible de la Costa Este, según la empresa. “Sé que es una decisión muy controvertida”, declara Blount en sus primeras declaraciones públicas desde el ‘hackeo’ paralizante. “No lo hice a la ligera. Admito que no estaba cómodo viendo dinero salir por la puerta para gente como esta”. Y añade: “Pero era lo correcto para el país”.

placeholder Planta de Colonial Pipeline en Atlanta. (EFE)
Planta de Colonial Pipeline en Atlanta. (EFE)

A cambio del pago —hecho en bitcoins, unos 75 en total, según una fuente cercana al asunto—, la empresa recibió una herramienta de descifrado para desbloquear los sistemas en que se infiltraron los ‘hackers’. Aunque demostró ser útil, al final no fue suficiente para restablecer de forma inmediata los sistemas del oleoducto, según dicha fuente.

El oleoducto, que transporta gasolina, diésel, combustible para aviones y otros productos refinados desde la costa del Golfo hasta Linden, Nueva Jersey, terminó estando cerrado durante seis días. La paralización provocó una carrera por gasolina en zonas de la Costa Este que disparó los precios hasta los niveles más altos en más de seis años y medio y dejó miles de gasolineras sin combustible. Las reservas de gasolina de la Costa Este se redujeron en cerca de 4,6 millones de barriles la semana pasada, la mayor caída semanal desde finales de febrero, según muestran datos del Departamento de Energía.

Foto: (iStock) Opinión

Durante años, la Oficina Federal de Investigación ha advertido a las empresas de que no paguen cuando son atacadas con ‘ransomware’, un tipo de código que secuestra los sistemas de un ordenador y exige un pago para desbloquear los archivos. Hacerlo, según los oficiales, apoyaría un mercado criminal en auge. Pero muchas compañías, municipalidades y otros debilitados por ataques pagan, afirmando que es la única forma de evitar interrupciones costosas de sus operaciones.

El pago de rescates a ‘hackers’ puede fomentar más actividad criminal y a menudo no conduce al restablecimiento de sistemas, según Ciaran Martin, exdirector del Centro Nacional de Seguridad Cibernética, la agencia de ciberseguridad del Gobierno británico. Las empresas deberían tener en cuenta esos factores cuando están decidiendo si pagan o no, afirma.

“Hay tres problemas que contribuyen a la crisis del ‘ransomware”, declara Martin. “Uno es que Rusia sea refugio del crimen organizado. Otro es una ciberseguridad débil en demasiados sitios. Pero el tercer problema, y el más nocivo, es que el modelo de negocio funciona extraordinariamente para los criminales”.

Foto: Un hombre entra a una oficina de empleo en Madrid. (EFE)

Las autoridades estadounidenses han vinculado el ataque de ‘secuestro de datos’ a Colonial a una banda criminal conocida como DarkSide, que se cree que está asentada en Europa del Este, y se especializa en desarrollar el ‘software’ malicioso utilizado para vulnerar sistemas y lo comparte con socios —a cambio de una parte de los rescates que obtienen—.

El pasado viernes, DarkSide declaró que había perdido el acceso a su infraestructura y que se disolvía, aunque no estaba claro si el grupo fue atacado por una acción coercitiva o buscaba pasar a la clandestinidad y recomponerse más adelante.

Blount declara que Colonial pagó el rescate tras consultar a expertos que habían lidiado previamente con la organización criminal. Él y otros involucrados se han negado a dar detalles sobre quién asistió a dichas negociaciones. Colonial declara que tiene un seguro cibernético, pero se niega a proporcionar detalles sobre la cobertura relacionada con el ‘ransomware’.

placeholder Gasolinera, tras el ciberataque. (Reuters)
Gasolinera, tras el ciberataque. (Reuters)

A veces, las bandas de ‘secuestro de datos’ cifran los ordenadores y sistemas de respaldo, dejando a las víctimas con la única opción de pagar el rescate, declara David Kennedy, director general de la empresa de seguridad TrustedSec, que ha investigado cerca de una docena de casos de ‘ransomware’ en los que DarkSide estaba involucrada en los últimos nueve meses. “Estoy en contra de pagar rescates, porque cada vez que se paga a esos grupos, les estás ayudando a ampliar sus capacidades”, afirma. “Pero las empresas están literalmente doblegadas, sin otra opción”.

La semana pasada, Anne Neuberger, asesora adjunta de Seguridad Nacional de Cibertecnología y Tecnología Emergente en la Casa Blanca, declara que la Administración Biden no había hecho ninguna recomendación a Colonial sobre si debía pagar. Pero declara que la Casa Blanca reconoció que a veces rechazar el pago no es una opción viable para las empresas, sobre todo las que no tienen copias de seguridad u otros medios para recuperar los datos. Añade que la Administración quiere trabajar con socios internacionales para analizar cómo los gobiernos asisten a las víctimas y “asegurar que no estamos fomentando el auge del ‘ransomware”.

La empresa gerente de oleoductos, cuya sede se encuentra en Alpharetta, Georgia, y es propiedad de unidades de IFM Investors, Koch Industries, KKR & Co y Royal Dutch Shell, restableció el servicio en el oleoducto la semana pasada. Este lunes, declaró que estaba transportando combustible a niveles normales, aunque advirtió de que a la cadena de suministro le llevaría tiempo recuperarse.

Foto:

La crisis ha sido una prueba de liderazgo para Blount, de 60 años, que ha dirigido la empresa desde 2017. Cofundó la empresa de oleoductos de capital privado Century Midstream en 2013, después de trabajar como directivo y en otros puestos en compañías energéticas durante una carrera de casi 40 años.

En los últimos cinco años, apunta Blount, Colonial ha invertido cerca de 1.500 millones de dólares para mantener la integridad de su sistema de oleoductos de 8.851 km, y ha gastado 200 millones de dólares en TI. Para Blount, el ciberataque fue parecido a los huracanes de la costa del Golfo que a menudo obligan a cerrar tramos de los oleoductos y refinerías durante días o semanas. Sin embargo, en ciertas formas, fue más devastador. El oleoducto Colonial nunca se había cerrado de golpe, declara.

El ataque se descubrió alrededor de las cinco y media de la mañana del 7 de mayo y rápidamente activó las alarmas a través de la cadena de mando de la compañía, llegando a Blount menos de media hora después, cuando se estaba preparando para la jornada laboral. La empresa ha subrayado que los sistemas operacionales no se vieron afectados directamente, y que suspendió el flujo del oleoducto mientras investigaba hasta dónde habían entrado los ‘hackers’.

Foto: Foto: Efe.

Colonial tardó alrededor de una hora en cerrar el conducto, que tiene cerca de 260 puntos de entrega en 13 estados y Washington DC. La medida también pretendía prevenir que la contaminación se trasladara potencialmente a los controles operacionales del oleoducto.

Cuando Colonial cerró el oleoducto, los empleados recibieron instrucciones de no iniciar sesión en su red corporativa, y los directivos realizaron una serie de llamadas telefónicas a las autoridades federales, empezando por las oficinas del FBI en Atlanta y San Francisco, así como por un representante de la Cybersecurity and Infrastructure Security Agency, o CISA, según Blount. Las autoridades de la CISA confirman que los representantes de Colonial les informaron del ‘hackeo’ poco después de que tuviera lugar el incidente. Los representantes del FBI no han querido hacer declaraciones.

En los días siguientes, el Departamento de Energía actuó como canal a través del cual Colonial podría ofrecer actualizaciones a varias agencias federales involucradas en la respuesta, declara Blount. La secretaria de Energía, Jennifer Granholm, y el subsecretario, David Turk, mantuvieron un contacto regular con la compañía, en parte para “obtener información para guiar la respuesta federal”, según el portavoz del Departamento de Energía, Kevin Liao.

Llevará meses de tareas de restauración recuperar algunos sistemas, y a la larga supondrá un coste de millones de dólares

A medida que Colonial se preparaba para restablecer el servicio, su personal patrulló el oleoducto buscando algún indicio de daños físicos, conduciendo más de 46.000 km. La empresa envió a casi 300 trabajadores para que vigilaran el oleoducto, complementando su supervisión electrónica habitual, según Blount.

A pesar de que el flujo de combustible del oleoducto ha vuelto a la normalidad, las consecuencias del ataque no terminaron con el pago del rescate. Llevará meses de tareas de restauración recuperar algunos sistemas empresariales, y a la larga supondrá un coste de millones de dólares para Colonial, indica Blount, señalando que todavía es imposible facturar a clientes tras una interrupción de dicho sistema.

Otra pérdida costosa, explica Blount, fue el nivel de anonimato deseado de la empresa. “Éramos totalmente felices sin que nadie supiera quién era Colonial Pipeline, y desgraciadamente ese ya no es el caso”, declara. “Todo el mundo lo sabe”.

*Contenido con licencia de ‘The Wall Street Journal’.

El operador de Colonial Pipeline descubrió que estaba en serios problemas la madrugada del 7 de mayo, cuando un empleado encontró una nota de rescate de unos ‘hackers’ en un ordenador de la sala de control. Por la noche, el director general de la compañía tomó una difícil decisión: tenía que pagar.

Hackers Rescate Wall Street Journal Diésel
El redactor recomienda