Los sabotajes de los gasoductos de Nord Stream 1 y 2 han despertado todas las alertas en el sector energético de la Unión Europa. Si se ha podido atacar una infraestructura crítica en aguas comunitarias, ahora sobrevuela la sombra de que pudiera volver a repertirse de nuevo en otro punto del territorio.
Noruega está desplegando su ejército para proteger las instalaciones de petróleo y gas, la guardia fronteriza de Finlandia aumenta su monitoreo del tráfico marítimo y la infraestructura, y Dinamarca está aumentando el control de las zonas cercanas a sus infraestructuras de energía.
Y de los ataques materiales a los virtuales. Según el último informe semestral de Threat Landscape Report, se han producido 43 ataques de ransomware contra empresas del sector energético europeo desde enero de 2022.
España ha recibido 34 ataques durante el primer semestre del 2022 y Portugal, 5, colocándolos en el puesto 7 y 37 del ranking mundial de ciberataques, respectivamente.
[Anonymous hackea Rosneft y accede a 20 terabytes de datos de la petrolera]
"Se han disparado los ciberataques a infraestructuras energéticas críticas europeas un 23% a partir del mes de febrero de este año en comparación con el año anterior, coincidiendo con la guerra rusa en Ucrania", explica a EL ESPAÑOL–Invertia Lourdes Mora, líder del área de Ciberinteligencia de la empresa de ciberseguridad española S21SEC.
"Y se espera que este invierno, con la llegada del frío, haya un aumento significativo de esos ataques". La guerra rusa en Ucrania se ha convertido en un claro ejemplo de lo que se denomina una guerra híbrida, en la que el campo de batalla no se encuentra exclusivamente en el ámbito físico, sino que también ha pasado al ciberespacio.
Destruir y paralizar infraestructuras
Según el informe, el objetivo de los ciberatacantes es la destrucción o paralización de las infraestructuras energéticas. Incluso es posible que detrás de la rotura de los gasoductos Nord Stream 1 y 2 haya un hackeo de sus sistemas de seguridad y monitoreo.
El sector energético ha sufrido una serie de ciberataques dirigidos, entre otras, contra empresas alemanas y belgas, asegura la experta. A estos, se suman otros incidentes que tenían como objetivo asaltar infraestructuras críticas, como el ataque de ransomware que afectó a un importante grupo italiano, dejando inoperativos sus sistemas de TI; o a una compañía de servicios de aviación con sede en Suiza.
[Cinco medidas para que las energéticas puedan salvarse de los ataques cibernéticos]
Debido a la magnitud de las consecuencias, los ciberataques a sistemas de infraestructura crítica se han convertido en uno de los mayores peligros para la sociedad, llegando incluso a provocar la paralización en los servicios públicos y situaciones de desabastecimiento.
"Debemos tener en cuenta que las infraestructuras energéticas de un país se consideran infraestructuras críticas y que un ataque contra las mismas puede suponer riesgos no sólo para la empresa atacada, sino también para la ciudadanía", apunta Sonia Fernández, responsable del equipo de Inteligencia de S21sec.
Rusos y chinos, los más activos
El informe también refleja que detrás de los grupos de ciberdelincuentes muchas veces están los Estados, que los utilizan por motivos geopolíticos y por intereses comerciales. Y los dos países que lideran el ranking de promover y apoyar a estos grupos son Rusia y China.
Los actores cibernéticos alineados con Rusia han amenazado con realizar operaciones en represalia por las supuestas ofensivas cibernéticas contra el Gobierno ruso, además de ataques dirigidos contra países y organizaciones que se han posicionado en el bando opuesto.
"Las empresas energéticas españolas, así como un buen número de grandes compañías de otros sectores, han invertido en ciberseguridad, especialmente con la pandemia y el teletrabajo. Al estar fuera de la oficina, los datos que se manejaban diariamente estaban más expuestos a un hackeo", añade Lourdes Mora.
Ataques producidos
"La gran mayoría de los ataques observados durante el desarrollo de la guerra híbrida responden a motivaciones hacktivistas y consisten en desfiguraciones de sitios web, ataques DDoS y DoS, y filtraciones de bases de datos e información confidencial de organismos gubernamentales e infraestructuras críticas", señala Sonia Fernández.
En la fase inicial del conflicto entre Rusia y Ucrania se produjeron tres ciberataques a empresas europeas dedicadas a la generación de energía eólica por parte de grupos de ransomware que se han declarado afines al gobierno ruso, como Conti o Black Basta.
El estudio advierte de que, aunque el incentivo detrás de estos grupos generalmente es económico, no se puede descartar que haya tenido también motivaciones políticas, con el fin de interrumpir el funcionamiento de empresas de generación de energía en Europa.
También en el inicio de la guerra, el ransomware Blackcat, vinculado con grupos cibercriminales de origen ruso, se dirigió contra empresas dedicadas a la producción y al transporte de petróleo y gas.
Este tipo de malware Blackcat, que comenzó su actividad en noviembre de 2021, se distribuye a través de correo electrónico. Cuando la víctima descarga y abre el archivo adjunto al correo, el malware comienza a ejecutarse en la máquina cifrando los archivos de su víctima.
"Blackcat deja caer notas de rescate en los sistemas comprometidos para informar a la víctima de lo que ha sucedido y cómo proceder para recuperar sus datos. El atacante se asegura de que las víctimas paguen el rescate mediante la técnica de doble extorsión, amenazando con publicar la información extraída en su blog de la Deep Web", concluye Sonia Fernández.