La industria del petróleo y el gas se enfrenta a una multitud de preocupaciones y riesgos que pueden tener un impacto significativo en su producción. La minería, el transporte, la refinería, la distribución… Este sector tiene una cadena de producción amplia y complicada que puede ser difícil de defender de forma exhaustiva.
No en vano, los riesgos vienen de todas partes: las condiciones meteorológicas extremas pueden afectar al transporte, la política (global y local) puede influir en la producción y los ataques físicos a las infraestructuras pueden llegar a amenazar la seguridad de los trabajadores e incluso afectar al suministro mundial de petróleo. Con todos estos riesgos concretos, los ciberataques aparentemente intangibles pueden parecer menos urgentes.
Sin embargo, a medida que crece la automatización de las instalaciones y la conectividad entre las redes y aumenta el uso de los servicios en la nube, las empresas de petróleo y gas están cada vez más expuestas a las amenazas relacionadas con la ciberseguridad.
La infraestructura crítica
A lo largo de todo este proceso, la supervisión constante es crucial. Debe haber una estricta visibilidad de la temperatura, la presión, la composición química y las posibles fugas. Los equipos de producción in situ, así como los sistemas instrumentados de seguridad y de parada de emergencia, son vitales y suelen ser supervisados y controlados a distancia. No obstante, todos estos sistemas conectados pueden verse potencialmente comprometidos por un atacante.
Las empresas petroleras y de gas tienen pocos incentivos para cifrar los datos que fluyen desde los sensores, pero la falta de comprobaciones de la integridad de la comunicación de datos deja abierta la posibilidad de ataques de sabotaje en pozos petrolíferos y refinerías por parte de actores maliciosos.
Amenazas
Las principales amenazas que puede sufrir la industria del petróleo y el gas son las siguientes:
- Sabotaje de infraestructuras: Algunos actores de amenazas despliegan malware elaborado específicamente para destruir o sabotear los servidores informáticos, los sistemas de control o la red de las instalaciones de las fábricas. Se han utilizado diferentes versiones de malware wiper −o limpiador− en ataques contra la industria petrolera. El más conocido es Stuxnet, lanzado exclusivamente para atacar la centrifugadora de la instalación de enriquecimiento de uranio de una central nuclear en Irán. Otro ejemplo es un malware llamado Industroyer, que impulsa cargas útiles que afectan a los sistemas de control industrial utilizados en las subestaciones eléctricas y que puede utilizarse para atacar otras infraestructuras críticas. Las empresas del sector del petróleo y el gas deben tener cuidado con estas amenazas. Una preocupación adicional es el hecho de que no siempre se necesita un malware específico para comprometer con éxito una determinada instalación. Cualquier herramienta de acceso remoto que permita a un atacante acceder a una interfaz hombre-máquina de un equipo implicaría graves riesgos.
- Espionaje y robo de datos: El espionaje y el robo de datos son problemas críticos, pues las empresas dependen de la propiedad intelectual única y exclusiva para mantener una ventaja sobre sus competidores. En las industrias del petróleo y el gas, información como los resultados de las pruebas, las técnicas de perforación, las nuevas reservas de petróleo y la composición química de los productos de primera calidad son muy valiosos. Y, por supuesto, lo que es muy valioso se convierte en un objetivo muy importante. Hay ciertas tácticas que los actores de las amenazas utilizan para tratar de comprometer las comunicaciones o encontrar una manera de mantener una presencia en las redes corporativas con fines de espionaje: el secuestro de DNS, el ataque a los servidores de correo web y VPN corporativos o incluso el raspado de información disponible públicamente para obtener datos. Además, el espionaje y el robo de datos pueden ser el punto de partida de acciones más maliciosas. El reconocimiento es el primer paso de un ataque; las empresas deben ser cautelosas y asumir que cualquier signo de espionaje es un indicador de un ataque más complejo.
- Malware en constante cambio: Los distintos tipos de malware tienen diferentes objetivos en un ataque dirigido: intrusión, robo de datos, propagación, etc. Para un agente de amenazas, mantener una presencia en el sistema de la víctima es crucial. Necesita poder dar continuamente órdenes a su malware y recibir datos. Este tipo de comunicación estable y constante entre el servidor de mando y control y el malware es una prioridad, por lo que los atacantes suelen actualizar siempre su malware para intentar adelantarse a las soluciones de seguridad que puedan afectarle. Existen diferentes tipos de malware que los ciberdelincuentes utilizan para infectar a las víctimas, mantener la persistencia y comunicarse. Por ejemplo, las webshells −pequeños archivos escritos en PHP, ASP o Javascript− pueden utilizarse para conectarse a un servidor de mando y control, robar información, descargar archivos en servidores comprometidos y mucho más. El método del DNS tunneling aprovecha el protocolo DNS para transmitir datos entre el malware y su controlador. E incluso el correo electrónico y los servicios en la nube pueden utilizarse como canales de comunicación.
- Ransomware: El ransomware puede tener un gran impacto en las operaciones diarias, especialmente debido a la naturaleza conectada de las redes empresariales. Un ejemplo reciente lo encontramos en el ciberataque del grupo Darkside a Colonial Pipeline en Estados Unidos, que obligó a la compañía a suspender sus operaciones y al gobierno a declarar el estado de emergencia. El reconocimiento es necesario para acceder con éxito a la red de una corporación: los atacantes tienen que explorar sus objetivos para encontrar el mejor punto de entrada. A menudo utilizan emails
de spear phishing elaborados específicamente para la empresa o el sector. Entonces, un ‘clic’ erróneo de un empleado puede abrir potencialmente cientos de dispositivos para comprometerlos. Una vez dentro de la red, el atacante intentará moverse lateralmente. Y elegirá cuidadosamente un momento para lanzar el ransomware en servidores seleccionados o de forma masiva en la red. El objetivo final suele ser que la organización no pueda operar con normalidad o recuperar los datos perdidos (por ejemplo, manipulando el sistema de copias de seguridad) para que sea más probable que paguen el rescate.
Recomendaciones ante los ciberataques
Las instalaciones de petróleo y gas son infraestructuras críticas que crean productos vitales para las economías de todo el mundo. La protección de la cadena de suministro no es solo una cuestión importante para las empresas que participan en la fabricación de los productos, sino también para quienes dependen de ellos y los consumen.
Los datos e investigaciones ya demuestran que los actores persistentes, utilizando métodos relativamente simples, pueden causar un daño real a las compañías involucradas en esta industria e incluso provocar circunstancias que afecten a las economías mundiales.
Asegurarse de que todas las comunicaciones de datos tienen comprobaciones de integridad, bloquear y proteger los nombres de dominio, utilizar las extensiones de seguridad del sistema de nombres de dominio, mantener todo el software actualizado siempre y cuando sea posible o usar herramientas de parcheado virtual, monitorizar fugas de datos y formar y mantener a los empleados al tanto de las amenazas actuales son algunas de las recomendaciones para defenderse de las ciberamenazas.
