El pasado jueves, un grupo de ciberdelincuentes denominado DarkSide atacó el oleoducto Colonial, que transporta cada día el equivalente a dos millones y medio de barriles, un 45 por ciento de la demanda de diesel, gasolina y carburante para aviones de la costa este de Estados Unidos.

El ataque de ransomware tuvo como resultado más de 100 GB de datos capturados y la petición de un rescate a cambio del desbloqueo de ordenadores y servidores y bajo la amenaza de filtrar la información en internet.

DarkSide opera como si fuese una empresa más

Amenaza extendida
El grupo criminal ofreció una lista de los tipos de datos que habían robado, junto a un enlace a una “página personal de información filtrada” en la que los datos ya están cargados, a la espera de ser publicados de forma automática. Por si todo esto fuera poco, la amenaza se extiende al borrado de la información de la red.

DarkSide opera como si fuese una empresa más. De hecho, el pasado mes de marzo lanzó un nuevo software capaz de encriptar datos con más rapidez que antes y llegó a enviar una nota de prensa y a invitar a periodistas a realizar entrevistas.

La organización criminal podría estar ubicada en algún país de habla rusa

Un gran problema
Según James Chappell, cofundador y máximo responsable de innovación de Digital Shadows, una compañía de diberseguridad londinense, la organización criminal podría estar ubicada en algún país de habla rusa, porque parece evitar los ataques en naciones como Rusia, Ucrania, Bielorrusia, Georgia, Armenia, Moldavia, Azerbaiyán, Kazajstán, Kirguistán, Tayikistán, Turkmenistán y Uzbekistán.

El experto ha declarado a la BBC que “cada día hay nuevas víctimas” y que se trata de “un gran problema”. Según sus investigaciones, DarkSide cuenta con una red de cibercriminales afiliados  que reciben el software, una plantilla de correo electrónico para mostrar las condiciones del rescate e incluso formación sobre cómo llevar a cabo los ataques.

La infección por ransomware se suele realizar con técnicas de ingeniería social

Información secuestrada
Según explica el INCIBE, “el ransomware es un tipo de malware o código malicioso que «secuestra» equipos y dispositivos conectados a Internet (móviles, tabletas, etc.), impidiendo que los usuarios puedan acceder a su información y amenazando a las víctimas con su destrucción o propagación si no pagan un rescate (ransom, en inglés) para recuperarla”.

El procedimiento habitual es cifrar la la información del dispositivo infectado, hasta que las personas u organizaciones afectadas decidan pagar.

La infección por este tipo de malware se suele realizar con técnicas de ingeniería social. Es decir, se engaña a la víctima para que acceda un sitio web malicioso o descargue un archivo adjunto que contiene el ransomware.

Como destaca el INCIBE, “este tipo de engaños suelen utilizar correos electrónicos o mensajes de texto (SMS) con los archivos adjuntos o enlaces maliciosos. También pueden aprovechar equipos o dispositivos vulnerables, u otro malware”.

Uno de los grandes problemas del ransomware es que “se manifiesta cuando el daño ya está hecho, es decir, cuando la información ha sido bloqueada, mostrando un mensaje que advierte de este hecho, y pidiendo un rescate para su liberación. Dicho mensaje puede incluir amenazas de destrucción total de la información si no se paga, e insta a realizar el pago de manera urgente”.

La Unión Europea quiere potenciar la seguridad de los servicios esenciales

Protección de infraestructuras críticas
En nuestro país, las infraestructuras críticas se recogen en la Ley 8/2011:
“Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.

"Las infraestructuras críticas en Europa tienen distintos grados en su nivel de protección. En España tenemos una clara definición acerca de mecanismos de protección a través de normativa como el Esquema nacional de seguridad o el reglamento de protección de infraestructuras críticas. Hoy tienen un nivel medio de protección razonable", explica Luis Álvarez, CEO de SIA, una compañía de Indra. 

Su recomendación es "supervisar regularmente a través de un tercero su nivel de seguridad y gestionar la misma actualizando las medidas de protección. Estar protegido hoy no garantiza estarlo en un futuro cercano". 

Más ataques y más sofisticados
Álvarez asegura que "el número de ataques va a continuar aumentando y ganando en sofisticación. Las organizaciones criminales y los individuos que realizan estas acciones incrementan su capacidad técnica lo que requiere desarrollar estrategias de defensa.  Al mismo tiempo, muchas de estas infraestructuras se abren por razones de servicio, mantenimiento remoto o actualización tecnológica, lo que genera vulnerabilidades y riesgos a cubrir".

Su estrategia de protección pasa por "identificar regularmente los riesgos, segmentar las áreas de potencial peligro y protegerlas, establecer un centro de control de amenazas y tener planes para responder y recuperar los ataques recibidos". Y recomienda "combinar recursos propios con el apoyo de compañías especializadas".

Estrategia común
La importancia de la protección contra el cibercrimen -y, en especial, en el caso de las infraestructuras críticas- llevó el pasado mes de diciembre a la Unión Europea a adoptar su nueva estrategia de ciberseguridad, con el objetivo de “potenciar la seguridad de los servicios esenciales y las cosas conectadas”.

Como señala la UE, “Ya sean los dispositivos conectados, la red eléctrica o los bancos, aviones administraciones púbicas y hospitales que la población europea utiliza o frecuenta, merece hacerlo con la seguridad de que estará protegida de las ciberamenazas”.

Se busca crear un verdadero escudo de ciberseguridad para la UE

Red conjunta
Por eso, una de las medidas es la creación de una red de centros de operaciones de seguridad en diferentes territorios, reforzada con inteligencia artificial, que “constituirá un verdadero escudo de ciberseguridad para la UE, capaz de detectar signos de ciberataques con la suficiente antelación como para actuar de forma proactiva, antes de que se produzcan daños”.

Para conseguirlo, es preciso que todos los países miembros de la UE y la industria inviertan en ciberseguridad. El objetivo es alcanzar los 4.500 millones de euros, de los que se deberá “asegurar que la mayor parte se destina a las pymes”.

Josep Borrell, vicepresidente de la UE y Alto representante para Asuntos Exteriores y Política de Seguridad, afirmó en relación a esta nueva estrategia que “la seguridad y la estabilidad internacional dependen más que nunca de un ciberespacio global, abierto, estable y seguro, en el que se respete el gobierno de la ley, los derechos humanos, las libertades  y la democracia”.

Según explicó esta nueva estrategia “la UE da un paso adelante para proteger a sus gobiernos, ciudadanía y empresas de ciberamenazas globales” y para “asegura que todo el mundo puede aprovechar los beneficios de internet y del uso de las tecnologías”.