El ataque a Colonial Pipeline se originó con el robo de una sola contraseña

El ciberataque que interrumpió las operaciones del oleoducto más grande de Estados Unidos, Colonial Pipeline, y que provocó escasez en el suministro en la costa este del país durante varios días, se inició con el compromiso de una única contraseña, según publica Bloomberg.

Un consultor de ciberseguridad que ha estado remediando y conteniendo la amenaza asegura que los ciberdelincuentes lograron acceder a la red a través de una cuenta de red privada virtual (VPN, de sus siglas inglesas) que permitía a los empleados acceder de forma remota a la red informática de la compañía. La cuenta ya no estaba en uso en el momento del ataque, pero aún se podía utilizar para entrar en sus sistemas. Desde entonces, la contraseña de la cuenta es pública dentro de un lote de claves filtradas a la dark web. “Esto significa que un propio empleado puede haber usado la misma contraseña en otra cuenta que fue comprometida anteriormente. Además, es posible que los investigadores nunca sepan con certeza cómo se obtuvo la credencial”.

La cuenta VPN, que ya fue desactivada, no usaba autenticación multifactor, una herramienta básica de seguridad, lo que permitió a los ‘malos’ acceder a la red usando solo un nombre de usuario y contraseña. “Hicimos una búsqueda exhaustiva para tratar de determinar cómo obtuvieron esas credenciales”, dice Charles Carmakal, vicepresidente senior de Mandiant. “No vemos ninguna evidencia de phishing ni de otra actividad de los atacantes antes del 29 de abril”.

Una semana más tarde, y tras una petición de rescate, Colonial Pipeline cerró la totalidad de su sistema de gasoductos en lo que fue una acción “correcta” según la empresa.