Web Analytics
Conecta con nosotros

Noticias

Colonial Pipeline fue hackeada usando simplemente una contraseña comprometida

Publicado el
Colonial Pipeline

El incidente de Colonial Pipeline está considerado como uno de los ataques cibernéticos contra infraestructura crítica estadounidense más peligrosos de la historia. También es una muestra de todo lo que no hay que hacer en seguridad informática, como usar software obsoleto sin actualizar o pagar a los extorsionadores.

Colonial Pipeline tiene la red de oleoductos más grande de Estados Unidos. Abastece casi la mitad de los combustibles líquidos consumidos por la costa Este de Estados Unidos. Su cierre tras el ataque de Ransomware (el primero en toda la red en 57 años de historia de la compañía), afectó a 18 estados, provocó escasez de suministro, compras de pánico, subidas de precio y movimiento en los futuros del crudo. Tal fue su gravedad, que el presidente de Estados Unidos firmó una orden ejecutiva destinada a fortalecer las defensas de seguridad cibernética de Estados Unidos.

Colonial Pipeline: solo una contraseña

Como en la mayoría de ciberataques no sabemos toda la historia del caso. Las empresas afectadas suelen andar de puntillas con ello, por seguridad, pero también para intentar frenar la pérdida reputacional que suponen estos incidentes. Por supuesto, los culpables son los ciberdelincuentes, pero la responsabilidad se extiende a las empresas que seguramente no han invertido lo necesario en cuidar sus activos. La facilidad para vulnerar la ciberseguridad en algunos casos ha sido increíble. Lo de Colonial Pipeline va por ahí.

El ataque de Ransomware fue el resultado de una única contraseña comprometida, según uno de los consultores de seguridad que respondieron al incidente.

Los piratas informáticos lograron acceder a los servidores de Colonial Pipeline Co. el 29 de abril a través de la cuenta de una red privada virtual, que permitía a los empleados acceder de forma remota, asegura Charles Carmakal, vicepresidente senior de la firma de ciberseguridad Mandiant (subsidiaria de FireEye) en una entrevista.

La cuenta no estaba en uso en el momento del ataque, pero aún podía usarse para acceder a la red de Colonial. La cuestión es que la contraseña para acceder a esa cuenta se ha descubierto dentro de un lote de contraseñas filtradas en la web oscura. Es habitual que después de un gran ataque con robo de datos, éstos terminen filtrados o vendidos en sitios de la Internet profunda.

Según el investigador, un empleado de Colonial habría usado la misma contraseña para acceder a la VPN empresarial que la que usaba en algún otro servicio. El uso de las mismas contraseñas para varios servicios ya sabes lo que puede provocar: que una vez pirateado un servicio la cuenta está comprometida para todo el resto.

Y aún peor. El servicio de VPN no usaba autenticación multifactor. Una herramienta obligatoria y hoy básica en ciberseguridad, lo que permitió a los piratas informáticos violar la red de Colonial usando solo un nombre de usuario y contraseña comprometidos.

Demasiados errores de seguridad. Colonial se lo puso muy fácil a los delincuentes y es increíble que suceda en una empresa que ofrece servicios críticos en una infraestructura vital para el funcionamiento de un país. Y pagó a los extorsionadores 4,4 millones de dólares en una decisión que solo hace «engordar» al monstruo. Tendremos mucho más Ransomware que comentarte.

Lo más leído