Red eléctrica de EUA vulnerable por puerta trasera, Rusia entró por ahí

5 de feb. (Dow Jones) -- Una mañana de marzo de 2017, el teléfono de Mike Vitello sonó de manera incesante. Los clientes querían saber sobre un extraño correo electrónico que acababan de recibir. ¿Cuál era el acuerdo que él quería que le firmaran? ¿Dónde estaba el vínculo?

Vitello no tenía ni idea de qué le estaban hablando. La empresa de construcción de Oregon donde trabaja, All-Ways Excavating USA, lo verificó. El correo electrónico era falso, les dijeron a los contactos de Vitello. Ignórelo.

Luego, meses después, el Departamento de Seguridad Nacional de Estados Unidos envió un equipo para examinar las computadoras de la empresa. Has sido atacado, le dijo un agente del gobierno a Dawn Cox, una colega de Vitello. Tal vez por los rusos. Estaban intentando piratear la red eléctrica.

“Estaban interceptando todos mis correos electrónicos”, dijo Vitello. “¿Qué demonios? No soy nadie”.

“No eres tú. Es a quién conoces”, dijo Cox.

El ataque cibernético a la compañía de 15 empleados ubicada cerca de Salem, Oregon, que trabaja con empresas de servicios públicos y agencias gubernamentales, fue una de las primeras incursiones del peor ataque conocido de un gobierno extranjero a la red eléctrica estadounidense. Este provocó tanta alarma que el gobierno de Estados Unidos tomó la medida inusual a principios de 2018 de culpar públicamente al gobierno ruso.

Una reconstrucción del hackeo reveló una vulnerabilidad evidente en el corazón del sistema eléctrico del país. En lugar de atacar de frente a los servicios públicos, los piratas informáticos buscaron los puntos débiles sin protección del sistema: cientos de contratistas y subcontratistas como All-Ways que no tenían motivos para estar en alerta máxima contra los agentes extranjeros. Desde estos pequeños puntos de apoyo, los hackers se abrieron camino en la cadena de suministro. Algunos expertos creen que, en última instancia, violaron dos docenas o más de compañías de electricidad.

El éxito de la estratagema provino menos de su destreza técnica --aunque los atacantes usaron algunas tácticas inteligentes-- que de la forma en que ésta aprovechó las relaciones comerciales de confianza mediante la suplantación y el engaño.

Los hackers colocaron malware en sitios de publicaciones en línea que los ingenieros de servicios públicos leen con frecuencia. Enviaron currículos falsos con archivos adjuntos contaminados, haciéndose pasar por buscadores de empleo. Una vez que obtuvieron las credenciales de la red de computadoras, se deslizaron a través de portales ocultos utilizados por los técnicos de las compañías eléctricas, en algunos casos ingresaron a los sistemas de computadoras que monitorean y controlan los flujos de electricidad.

El gobierno de Estados Unidos no ha dicho qué compañías fueron atacadas. El periódico identificó pequeñas empresas como Commercial Contractors de Ridgefield, Washington, y Carlson Testing de Tigard, Oregon, junto con grandes empresas de electricidad como la estatal Bonneville Power Administration y PacifiCorp de Berkshire Hathaway. Dos de las compañías de electricidad atacadas construyen sistemas que suministran energía de emergencia a bases de las fuerzas armadas del país.

La campaña rusa provocó un esfuerzo del FBI y de Homeland Security Department para rastrear las huellas de los atacantes y notificar a las posibles víctimas. Algunas compañías no sabían que se habían visto comprometidas hasta que los investigadores del gobierno les llamaron, y otras no sabían que habían sido atacadas hasta que fueron contactadas por el diario.

“Lo que Rusia ha hecho es preparar el campo de batalla sin apretar un gatillo”, dijo Robert P. Silvers, ex secretario adjunto de política cibernética del Departamento de Seguridad Nacional y ahora socio legal en Paul Hastings.

La oficina de prensa de la embajada rusa en Washington no respondió a múltiples solicitudes para que diera sus comentarios sobre el tema. Rusia ha negado previamente atacar infraestructura crítica del país.

Traducido por  Luis Felipe Cedillo