Los ataques petroleros sauditas podrían ser un precursor de la guerra cibernética generalizada, con daños colaterales para las empresas de la región.
PUNTOS CLAVE
- El Reino y la industria del petróleo y el gas han tardado en apuntalar las defensas, levantando banderas rojas sobre la posibilidad de consecuencias a largo plazo en la región, dijeron expertos, incluidos aquellos que han respondido a incidentes en la región.
- Los inversores deben desconfiar de una posibilidad a largo plazo de ciberespionaje y ataques de actividad maliciosa, incluido el potencial de ataques destructivos que perjudiquen el valor de las empresas en la región más allá de Aramco.
El portavoz del Ministerio de Defensa de udi, coronel Turki Al-Malik, muestra en una pantalla drones que, según el gobierno saudí, atacaron una instalación petrolera de Aramco, durante una conferencia de prensa en Riad, Arabia Saudita, el 18 de septiembre de 2019.
Hamad I Mohammed | Reuters
Un ataque reciente contra Saudi Aramco dañó al mayor productor mundial de petróleo y retrasó la producción de petróleo, agitando los mercados de petróleo y gas. El gobierno saudita y los funcionarios de inteligencia de Estados Unidos han afirmado que el incidente es obra de Irán, mientras que Irán culpó a los rebeldes yemeníes.
Esta es una continuación del mundo real de una guerra cibernética de larga duración entre los dos países, que se ha extendido a otras potencias globales.
En los últimos años, Irán ha desplegado virus informáticos destructivos contra Arabia Saudita. El Reino y la industria del petróleo y el gas han tardado en apuntalar sus defensas, levantando banderas rojas sobre la posibilidad de fallas a largo plazo en la región, dijeron los expertos. Los inversores deben esperar ciberespionaje a largo plazo y brotes de actividad maliciosa, incluido el potencial de ataques destructivos que perjudiquen a las empresas en la región más allá de Aramco.
Saudi Aramco declinó hacer comentarios para este artículo.
Aprendiendo de la historia
Irán y Arabia Saudita han sido un campo de pruebas de guerra cibernética durante más de una década.
La actividad en todo el Golfo se ha concentrado en las compañías de petróleo y gas, que recopilan terabytes de datos relacionados con la perforación y los campos petroleros. El sector del petróleo y el gas ha dependido durante mucho tiempo de dispositivos de “internet de las cosas” potencialmente vulnerables para medir la información sobre la disponibilidad de petróleo y para alimentar la compleja maquinaria que lo encuentra, extrae y refina.
Las instalaciones nucleares de Irán fueron atacadas por un virus llamado Stuxnet a mediados de la década de 2000. Este software malicioso era sofisticado, construido en un formato “modular”. Los atacantes podrían usarlo no solo para extraer inteligencia sino también para controlar y destruir maquinaria sensible.
Stuxnet ha atribuido ampliamente a un esfuerzo combinado de Israel y los Estados Unidos .
Irán reaccionó a Stuxnet de una manera sorprendente: no hablaron mucho de eso. Pero sí tomaron medidas, dijo el teniente coronel Scott Applegate, experto en la historia de la ciberseguridad y profesor cibernético en la Universidad de Georgetown.
VER AHORA
Una teoría es que Irán tomó algo de lo que aprendieron de Stuxnet y creó una nueva arma, que luego desplegaron contra Saudi Aramco en 2012.
Ese virus, conocido como “Shamoon”, era modular y multifacético como Stuxnet, pero tenía un solo propósito: encontrar y destruir datos. Lo hizo con bastante éxito, dijo Brian Hussey, vicepresidente de detección y respuesta de amenazas cibernéticas para la compañía de seguridad cibernética Trustwave.
“Viste que en Saudi Aramco, 30,000 cajas fueron tapiadas”, dijo Hussey, describiendo cómo 30,000 de las computadoras de la agencia petrolera fueron borradas en el transcurso del día, destruyendo franjas de datos.
El ataque expuso las capacidades cibernéticas de Irán para que el mundo las vea, pero tuvo poco impacto financiero en Saudi Aramco, costando solo una pequeña fracción de los ingresos diarios del gigante petrolero, dijo Applegate.
“Si bien tuvieron un gran impacto en el escenario mundial, no se desangraron en el sistema más amplio. Históricamente, los ataques cibernéticos no han jugado un papel importante en la industria del petróleo y el gas, aparte de un punto de vista retórico hiperbólico ”, dijo Applegate.
Pero lo que sucedió después de Shamoon es más alarmante.
Un problema de cambio lento
Tras el ataque de Shamoon, Aramco tardó varios años en fortalecer sus defensas. Los funcionarios de Arabia Saudita estaban interesados en instalar las mejores prácticas de seguridad cibernética al estilo estadounidense en toda la empresa.
Pero un ingeniero de ciberseguridad que participó en la respuesta a Shamoon dijo que observó una cultura corporativa en todo Saudi Aramco que era resistente al cambio. Fue difícil “provocar urgencia” en trabajadores y líderes, dijo, porque sus trabajos “simplemente no estaban en la línea, como si estuvieran en todas partes cuando hay una brecha”.
Los trabajadores, a muchos de los cuales se les garantizó trabajos lucrativos debido a sus lazos familiares o la tenencia, expresaron indiferencia por algunos aspectos básicos de seguridad, dijo. El resultado fue un “problema de cambio lento” que dificultó la implementación de los tipos de controles que a menudo se requieren en las empresas estadounidenses, especialmente después de un incidente de seguridad, dijo.
Otros dos expertos en ciberseguridad que trabajaban en Arabia Saudita en ese momento coincidieron con estas observaciones. Todos solicitaron el anonimato porque no estaban autorizados a hablar con la prensa.
El ingeniero dijo que no estaba sorprendido cuando vio que Saudia Arabia había sufrido otra serie de ataques por el mismo virus Shamoon en 2017, cinco años después de los ataques iniciales .
También en 2017, surgieron informes de que los sistemas de seguridad industrial de Saudi Aramco pueden haber sido “probados” por piratas informáticos que buscan ver cómo podrían apagar esos sistemas. Este giro oscuro mostró cómo el conflicto cibernético podría tener un efecto significativo en la seguridad pública y en la industria del petróleo y el gas en general.
“Ciertamente, si pueden ingresar a los sistemas SCADA, existe la posibilidad de interrumpir la producción de petróleo y gas, y eso sería un incidente mucho más grave”, dijo Applegate. También mencionó que la lentitud de Arabia Saudita para responder a ataques muy similares, con años de diferencia, puede haber sido una mala señal en términos de preparación
Que pasa despues
Todavía no ha habido un aumento perceptible en la actividad de ataque cibernético en la región, dijo Nicholas Hayden, jefe global de inteligencia de amenazas de la empresa de inteligencia cibernética Anomali.
Pero aunque “nada se destaca en este momento en la región, hay una buena posibilidad de que haya actores de estado-nación” preparándose para un posible conflicto cibernético, dijo Hayden, quien ha servido como operador de ciberseguridad en el sector eléctrico.
“Ciertamente estamos prestando más atención de lo que normalmente haríamos a esa área. Cuando sucede algo así, tendemos a acercar un poco la oreja al suelo ”.
Irán es conocido por aumentar los ataques cibernéticos cuando entra en conflicto con los países, dijo Hayden, y eso también puede significar daños colaterales en otras compañías, no solo de propiedad de Arabia Saudita, que hacen negocios en la región.
Hayden dijo que era pesimista sobre la preparación en la industria del petróleo y el gas. “Probablemente no estén muy listos. El mayor ataque que pudieron haber visto es un ataque de ransomware ”, dijo. Eso significa que las empresas de petróleo y gas y sus terceros pueden tener poca experiencia práctica en la lucha contra un ataque más feroz de un adversario extranjero.
John Hultquist, director de análisis de inteligencia de la empresa de ciberseguridad FireEye , fue algo más optimista. Estas compañías han “hecho grandes avances a lo largo de los años” y se han familiarizado con las amenazas que enfrentan por parte de los estados nacionales.
Aún así, el daño colateral es a menudo un efecto secundario del conflicto cibernético regional, dijo Hultquist, y las compañías que operan en Arabia Saudita y más allá también deben estar alertas a los cambios.
“Cualquier persona con operaciones en Arabia Saudita, o debería decir, el Golfo en general, podría ser un objetivo”, en caso de ataques cibernéticos en la región. Eso incluye a aquellos con bases hogareñas lejos de la región, dijo.
Irán también ha sido blanco tradicionalmente de Irán en tiempos de conflicto, particularmente cuando el gobierno federal les impone nuevas sanciones , dijo Hultquist. Si la Administración Trump emite nuevas sanciones, tenga cuidado.
Hultquist dijo que no veía indicadores de un aumento de la actividad cibernética en la región, pero que “en general es difícil medir las operaciones de espionaje”.
Todos los expertos encuestados por CNBC acordaron una conclusión: desde Stuxnet, y a pesar de las dificultades económicas acumuladas en su contra, Irán se ha convertido en uno de los poderes de ciberseguridad más importantes del mundo.
“Nunca han sido los más sofisticados técnicamente”, dijo Hultquist. “Pero han compensado su descaro, su disposición a destruir e interrumpir. Realmente se han separado de esto de los demás, como si no tuvieran nada que perder ”.
VER AHORA
No hay comentarios:
Publicar un comentario