Hace cerca de un par de años, en mayo de 2021, unos ciberatacantes especializados en ransomware -un tipo de ataque que consiste en robar información a la víctima, exigiendo un rescate a cambio de liberar los datos y no filtrarlos- obtuvieron acceso a una conexión VPN -Virtual Private Network o red privada virtual que, se supone, permite acceder a páginas web y servicios en línea de manera privada y segura- del Colonial Pipeline -un oleoducto que traslada gasolina, gasóleo y carburante para aviones- y pusieron la red de tecnología operativa de la empresa en riesgo de que pudiera tomarse el control a distancia de la misma… en el que está considerado uno de los mayores ataques cibernéticos a la infraestructura energética de EE. UU. llevados a cabo hasta la fecha.
Cuando la compañía desconectó su sistema de tuberías para limitar la exposición de su red operativa, millones de estadounidenses en la costa este tuvieron que hacer largas colas en las gasolineras; además, cientos de estaciones de servicio tuvieron que cerrar por falta de carburantes y la gente comenzó a acumular suministros cada vez más escasos.
Después de días de negociaciones con los atacantes, Colonial finalmente acordó pagarles 4,4 millones de dólares -algo más de cuatro millones de euros- en bitcoins, la mayoría de los cuales finalmente se recuperaron, para volver a hacerse con el control de sus sistemas informáticos.
A raíz del evento, ha habido un enfoque renovado en la seguridad de las infraestructuras y las innumerables formas en que los piratas informáticos pueden afectar nuestras vidas. Eventos como el ataque cibernético del oleoducto pueden causar inconvenientes menores a buena parte de los estadounidenses en una situación controlada… y un colapso social en su peor momento.
Teniendo en cuenta que los objetos físicos, los dispositivos y los sistemas operativos están cada vez más conectados a Internet, existen innumerables oportunidades para que los atacantes de ransomware actúen. Con todo, un área fundamental y que tiende a pasarse por alto es… la infraestructura vial.
En un artículo reciente, Skanda Vivek, investigadora asistente de la Escuela de Políticas Públicas de la Universidad de Maryland, y Charles Harry, profesor de investigación asociado con un nombramiento conjunto en la Facultad de Estudios de la Información y la Escuela de Políticas Públicas de la Universidad de Maryland, observa cómo los atacantes pueden explotar las vulnerabilidades de los vehículos y los sistemas de tráfico conectados a Internet.
Sobre la necesidad de este tipo de investigación, Harry asegura que «comprender qué vectores de ataque generan consecuencias estratégicas sigue siendo vital en nuestra capacidad para asignar recursos escasos para desarrollar la resiliencia. Este tipo de estudios son fundamentales en nuestra comprensión del riesgo nacional».
Si se consigue alterar el funcionamiento de los semáforos inteligentes y tomar el control del freno, el motor y la dirección de los vehículos inteligentes, los atacantes pueden fracturar las redes de carreteras, interrumpiendo el movimiento por las mismas tanto de personas como de mercancías.
Esto puede tener serias implicaciones importantes en cuanto a la seguridad: los vehículos de emergencia pueden quedarse atascados en un callejón sin salida, los suministros críticos pueden bloquearse. Los atacantes también pueden enviar mensajes de alerta falsos diciéndoles a las personas que eviten las rutas principales de la ciudad, creando así atascos de tráfico masivos.
Tanto Vivek como Harry usaron la ciudad de Washington DC como un caso de estudio con el objetivo de ver cómo podrían desarrollarse estos diversos ataques. En primer lugar, recopilaron información sobre las rutas de conducción de millones de viajeros mediante el uso de datos del censo y datos de teléfonos móviles. Luego, mapearon esta información en las redes de carreteras dentro y alrededor de Washington DC, y consideraron qué tipo de ataques podrían afectar las rutas por las que normalmente se viaja.
Los investigadores analizaron tres tipos de ataques: manipular los semáforos, tomar el control de los vehículos y enviar alertas falsas. Llegaron a la conclusión de que para que la mitad de todas las rutas se vuelvan inaccesibles, debe ocurrir uno de los siguientes escenarios: Que apenas un 14% de las intersecciones de carreteras ‘queden atascadas’ por vehículos que han sido ‘desconectados’ o apagados; que las alertas falsas alejen a las personas del 9% de las rutas muy transitadas; y que solo un 2% de los semáforos se desactiven.
Como hemos visto, aunque los porcentajes no son muy elevados, los perjuicios pueden ser enormes; y, en realidad, incluso con datos aún inferiores, bastaría para que un ciberataque causara problemas de movilidad de cierta magnitud. Al centrarse en un porcentaje mucho menor de vehículos e intersecciones, los atacantes pueden redirigir el tráfico a rutas menos óptimas, convirtiendo un viaje de una hora en hora pico en varias horas.
Según los investigadores, el trabajo de hacer que la infraestructura vial sea más resistente no solo recae en manos de los gobiernos locales. Los productos elaborados por empresas privadas generan grandes efectos en la sociedad. Si bien la protección de los sistemas de señalización sigue siendo importante, sus hallazgos demuestran que otras estrategias de orientación que atacan vehículos, plataformas de software y aplicaciones de terceros también tienen el potencial de generar consecuencias significativas.
“Los resultados de este análisis resaltan la importancia de las decisiones del sector privado sobre el riesgo nacional”, dice Harry. «Si bien el desarrollo de productos es una actividad del sector privado, el abuso y generalización de sistemas mal protegidos puede tener consecuencias sociales que requieren una comprensión más profunda, por parte del gobierno, de las complejidades que suponen estas tecnologías con el fin de reducir esos impactos».
Adaptación del texto original de Laurie Robinson, publicado en el College of Information Studies, de la Universidad de Maryland.
