Cómo un MFA seguro hubiera evitado el ciberataque a Colonial
El oleoducto Colonial, que transporta petróleo a lo largo de 5500 km del Sur al Este de EEUU, padeció el mayor ciberataque contra una infraestructura petrolera en Norteamérica el pasado 7 de Mayo. Los ciberatacantes del grupo Darkside lograron introducir en los sistemas de la compañía un ransomware con el que se hicieron y bloquearon 100GB de datos.
Este incidente tuvo varias consecuencias: la primera y más directa es que la compañía se vio obligada a interrumpir el suministro del oleoducto temporalmente hasta que sus sistemas IT se recuperaran. Esa interrupción generó carencias de combustible que afectaron a compañías de transporte e incluso hasta el Aeropuerto Internacional de Charlotte-Douglas en Carolina del Norte.
En segundo lugar, también tuvo una repercusión más profunda y es que llegó a generar una respuesta directa de la Casa Blanca: el presidente de EEUU tuvo que hacer frente al incidente declarando el Estado de Emergencia en la zona afectada. Y más allá de ello, también supuso un argumento para impulsar su reciente “Orden Ejecutiva para mejorar la ciberseguridad de la nación”.
Cuando la Orden fue publicada en mayo, también explicamos en nuestro blog que, aunque aborda múltiples áreas de ciberseguridad, la adopción de un enfoque Zero-Trust y la Autenticación Multifactor son dos aspectos que han adquirido relevancia. Y en particular, este último ha jugado un papel muy importante en el propio ciberataque a Colonial.
VPN insegura
La investigación forense apunta a que el vector de entrada utilizado por el grupo Darkside para introducir su malware fue la red VPN de Colonial. Hay que tener en cuenta que, debido al auge de su uso por el trabajo en remoto en esta situación de Pandemia, las redes VPN constituyen un objetivo más frecuente para los ciberatacantes.
Los analistas consideran que accedieron a ella a través de contraseñas previamente filtradas y publicadas en la “Dark Web”. Creen que una de las filtradas podría haber sido suficiente para lograr su acceso ya que, además, ninguna contaba con sistemas de autenticación multifactor: esta doble comprobación (mediante dispositivo móvil u otros métodos) habría reducido mucho las posibilidades para que una contraseña todavía activa como las filtradas fuera utilizada por un usuario ajeno a la empresa.
Por otro lado, pese al acceso logrado en los sistemas IT para introducir el ransomware, los analistas no han encontrado evidencias de que pudieran llegar a los sistemas OT que controlan directamente las instalaciones industriales. Sin embargo, eso no resta gravedad al incidente, ya que, aunque no fuera el objetivo de los ciberatacantes, en la práctica su operatividad sí se vio mermada.
Autenticación Multifactor imprescindible en infraestructuras críticas
Colonial no es la única organización con infraestructuras críticas que ha sufrido un gran ciberataque este año, como abordamos en nuestro post sobre los pendrives como vector de amenazas, pero sí es la que ha tenido el incidente con mayores repercusiones. Además, ha puesto de manifiesto las carencias de ciberseguridad del sector en aspectos como el control de permisos de acceso.
Por eso, es necesario que los MSPs y los equipos de IT implementen una rigurosa política de contraseñas de acceso en infraestructuras críticas, que debe abarcar a todos los sistemas y debe contar para todas ellas con una Autenticación Multifactor Segura. Lo que ocurre es que no resulta sencillo para los equipos gestionar todos los permisos, contraseñas y Autenticaciones de los numerosos empleados con métodos o soluciones de software tradicionales.
Como respuesta, WatchGuard Authpoint elimina todas esas dificultades ya que puede administrarse de manera muy sencilla desde WatchGuard Cloud. Su interfaz permite ver de un vistazo cualquier acceso a los sistemas y gestionar de manera muy fácil los roles y los permisos para cada empleado. Además, ofrece múltiples tipos seguros de Autenticación Multifactor: desde su Aplicación para dispositivos móviles protegida por su exclusivo sistema de ADN Móvil, hasta los tokens de Hardware. Así, se adapta a las necesidades específicas de cada organización y éstas podrán evitar situaciones tan graves como la que ha sufrido Colonial.