Colonial Pipeline: cuando el ransomware dejó sin gasolina a EEUU

El titular

7 de mayo de 2021. Colonial Pipeline, la empresa que opera el mayor oleoducto de combustible de Estados Unidos (8,850 km, suministra el 45% del combustible de la costa este), apaga sus sistemas tras detectar ransomware. No es solo IT: apagan el oleoducto por precaución.

Las gasolineras empiezan a quedarse sin combustible. Colas kilométricas. Pánico. Gente llenando bolsas de plástico con gasolina. El presidente Biden declara estado de emergencia. El precio del combustible sube a máximos de 7 años.

Un grupo de ransomware llamado DarkSide acaba de demostrar que un ciberataque puede paralizar la infraestructura física de una nación.

Cómo ocurrió

Vector de entrada: VPN sin MFA

DarkSide accedió a la red de Colonial Pipeline a través de una cuenta VPN comprometida. La cuenta tenía contraseña reutilizada (expuesta en un breach anterior) y no tenía autenticación multifactor (MFA). El vector de entrada más simple posible para el impacto más grande posible.

IT vs OT

Colonial apagó el oleoducto (OT/operational technology) por precaución, pero el ransomware solo afectó a la red IT. No está claro si DarkSide tenía capacidad de atacar los sistemas de control industrial. Colonial decidió no arriesgarse.

Esta decisión fue criticada: ¿era necesario parar el oleoducto? Probablemente no, desde el punto de vista técnico. Pero desde el punto de vista de responsabilidad corporativa, Colonial no podía garantizar que los sistemas de facturación y medición funcionaran, lo que impedía saber cuánto combustible entregar a cada cliente.

DarkSide: ransomware "profesional"

DarkSide operaba como RaaS (Ransomware-as-a-Service). Se presentaban como "profesionales": no atacaban hospitales ni infraestructura crítica (según sus propias reglas). Colonial Pipeline demostró que sus afiliados no respetaban esas reglas, o que DarkSide no las hacía cumplir.

DarkSide usaba doble extorsión: cifraba datos Y los exfiltraba, amenazando con publicarlos si no se pagaba.

El impacto

Combustible

• 5 días de cierre del oleoducto (7-12 mayo)
• 10,600+ gasolineras sin combustible en el sureste de EEUU
• Precio del galón: máximo de 7 años
• Colas en gasolineras, acaparamiento, mercado negro

Económico

• Rescate pagado: 4.4 millones USD (75 BTC)
• FBI recuperó: 2.3 millones USD (63.7 BTC)
• Coste total del incidente: estimado en cientos de millones

Político

• Biden firma Executive Order on Improving the Nation's Cybersecurity (EO 14028)
• Creación de requisitos de ciberseguridad para pipeline operators
• TSA emite directivas de seguridad obligatorias para operadores de oleoductos
• Conversaciones Biden-Putin sobre ransomware

Las lecciones

1. MFA no es opcional

Una cuenta VPN sin MFA dio acceso a la infraestructura más crítica del país. MFA habría prevenido el ataque completamente. En 2026, no tener MFA en accesos remotos es negligencia.

2. IT y OT deben estar segmentados

Colonial apagó OT por precaución porque no tenía certeza de que IT y OT estuvieran adecuadamente segmentados. La segmentación IT/OT no es un nice-to-have: es la diferencia entre un incidente IT y una crisis de infraestructura.

3. El ransomware es un problema de seguridad nacional

Colonial convirtió el ransomware de un "problema empresarial" a un "problema de seguridad nacional". El EO 14028 y las directivas TSA fueron consecuencia directa.

4. Pagar no resuelve (pero a veces es necesario)

Colonial pagó 4.4M USD. El descifrador que recibieron era tan lento que tuvieron que restaurar desde backups de todos modos. Pero el FBI recuperó la mayoría del Bitcoin, demostrando que las criptomonedas no son tan anónimas como los criminales creen.

Estado actual

DarkSide: disuelto mayo 2021. Reapareció como BlackMatter (julio 2021), disuelto noviembre 2021. Reapareció como BlackCat/ALPHV (noviembre 2021), activo hasta takedown en diciembre 2023 y reaparición posterior. Colonial Pipeline: reforzó seguridad, implementó MFA universal, mejoró segmentación IT/OT.