Los automovilistas de la costa este de Estados Unidos aprendieron a sobrellevarla cuando los problemas golpean su arteria de combustible más importante, el oleoducto Colonial. Un huracán lo cerró en 2017 y una explosión detuvo los volúmenes el año anterior.
Pero la semana pasada, los conductores hicieron fila en las gasolineras debido a un peligro diferente: los piratas informáticos infectaron los sistemas de tecnología de la información del oleoducto con ransomware, lo que obligó a su propietario a detener el flujo de 2.5 millones de barriles diarios de productos petrolíferos.
El ataque expuso cómo un impulso para digitalizar la infraestructura crítica creó nuevas oportunidades para los ciberdelincuentes, arriesgando bienes y servicios esenciales como energía, agua y atención médica. “Creo que lo que sucedió la semana pasada es el modelo más probable para lo que nos espera”, dijo Chris Williams, arquitecto de Soluciones Cibernéticas de Capgemini North America.
La digitalización le permitió a las compañías industriales y los servicios públicos aumentar la eficiencia con una mayor supervisión y control en sus operaciones, que en el caso del oleoducto Colonial se extiende por 5 mil 500 millas (8 mil 851 kilómetros) a través de una red desde Texas hasta Nueva Jersey.
Pero los antiguos sistemas de tecnología operativa (OT, por Operative Technology), algunos instalados antes de internet, suelen tener una seguridad obsoleta y pueden ser difíciles de actualizar. Las vulnerabilidades en los sistemas informáticos de la oficina pueden ofrecer puntos de entrada para que los piratas informáticos vayan más tarde tras los sistemas de control. La adopción digital no ha ido acompañada de una inversión suficiente en defensa cibernética, afirman los analistas.
- Te recomendamos Pemex reconoce riesgo de parálisis por ciberataques Política
“Muchos sistemas OT todavía no tienen controles de seguridad básicos”, dijo Simon Hodgkinson, ex director de seguridad de tecnología de la información de BP y asesor de la junta del grupo de seguridad de TI Reliance ACSN.
Desde 2019, los objetivos de infraestructura crítica de EU han sufrido alrededor de 700 ataques de ransomware, 100 este año, según la Universidad de Temple en Filadelfia. En febrero, los piratas informáticos se infiltraron en el suministro de agua de una ciudad de Florida y este mes provocaron disrupciones en una cadena de hospitales de San Diego. El año pasado, los hackers forzaron el cierre de una estación compresora de gas natural, indicaron funcionarios del espacio cibernético de EU.
Solo una cuarta parte de las compañías de infraestructura, incluidos gas y petróleo, servicios públicos y salud, están bien preparadas para un ataque, estima Matias Katz, director ejecutivo del grupo de seguridad cibernética Byos. Una encuesta de Siemens encontró que 31 por ciento de las firmas de servicios públicos se sentían preparadas para responder a una violación.
Pero reconfigurar los sistemas de seguridad tradicionales para tomar en cuenta la naturaleza cambiante de las amenazas cibernéticas es caro. Padraic O’Reilly, un asesor de seguridad cibernética de infraestructura y cofundador de la firma de riesgos cibernéticos CyberSaint, dijo que las empresas tienen que evitar “corregir las fallas” o “conectar y desconectar” los sistemas de seguridad y, en cambio, hacer la transición a sistemas más nuevos donde la seguridad ya está incorporada, y “el problema con eso es que es muy caro”, afirmó.
La infraestructura de oleoductos en gran medida es operada por capital privado, lo que significa que a menudo hay un empuje para reducir costos cuando sea posible.
La administración de Joe Biden tomó medidas para reforzar la seguridad cibernética. El presidente dijo esta semana que va a vincular 20 mil millones de dólares en inversiones en infraestructura bajo su Plan de Empleo Estadunidense para modernizar la seguridad cibernética.
El sector del petróleo y el gas ha sido criticado por una regulación laxa de la seguridad cibernética. La Administración de Seguridad del Transporte, la agencia gubernamental a cargo de los controles de los aeropuertos, establece los estándares para la infraestructura de los oleoductos de EU. Tradicionalmente tiene una dotación insuficiente de personal y fondos: hasta el año pasado solo contaba con seis funcionarios de tiempo completo que se ocupaban de la seguridad de los oleoductos, aunque desde entonces el número aumentó a 34.
Rich Glick, presidente de la Comisión Federal Reguladora de Energía señalo la semana pasada que si bien se aplican regulaciones cibernéticas estrictas a la red eléctrica, “no hay estándares obligatorios comparables” para las casi 3 millones millas (4 millones 828 mil kilómetros) de oleoductos en Estados Unidos”.
La secretaria de Energía de Estados Unidos, Jennifer Granholm, dijo el miércoles que el ataque al oleoducto Colonial es un “duro recordatorio” de la necesidad de fortalecer la infraestructura crítica, y añadió que “ante la evolución de una serie de riesgos del siglo XXI, tenemos que replantear nuestro enfoque de la seguridad y reevaluar las autoridades que podemos utilizar en este tipo de emergencias”.