Un ransomware causó el caos en Port de Barcelona y otras empresas de la ciudad
26/09/2018Publicat a: El Confidencial
Las redes informáticas del Port de Barcelona sufrieron la semana pasada un virulento ciberataque del que se han dado pocos detalles. "Teknautas" ha sabido que se trató de un virus del tipo "ransomware". Este dejó KO a la red corporativa del puerto, que tardó al menos 6 días en recuperarse. La ola del tsunami alcanzó a algunas de las empresas que trabajan con el puerto, como la naviera danesa Moller-Maersk. Otras empresas de la ciudad cayeron también bajo ataques de ransomwre e incluso a Mossos d'Esquadra se les cayó la red, pero aseguran que en este caso no tenía nada que ver con virus.
Los virus "ransommware" cifran el contenido de los ordenadores que infectan y piden un rescate para descifrarlo. Si la empresa afectada tiene copias de seguridad, el incidente se reduce a reinstalar sistemas y las copias, pero cuando el número de ordenadores afectados es importante, esta tarea puede alargarse en el tiempo.
Esto es lo que habría pasado en el Port de Barcelona, donde un número indeterminado de servidores quedaron inutilizados por un ataque que se detectó la madrugada del día 20 de septiembre (https://twitter.com/portofbarcelona/status/1042701903270961152). La organización insiste en que las operaciones portuarias no fueron afectadas (https://twitter.com/portdebarcelona/status/1043145577733779456), pudiendo los buques entrar y salir del puerto sin problemas, aunque la operativa de carga y descarga se tuvo que realizar de forma manual.
El periódico especializado "El Vigía" (http://elvigia.com/el-puerto-de-barcelona-sufre-un-ciberataque-que-colapsa-sus-sistemas-de-informacion/) relata un panorama más dantesco para las oficinas del puerto, donde las comunicaciones con el exterior se cortaron, obligando al personal a utilizar medios de comunicación alternativos, como el correo particular o whatsapp, dado que el correo corporativo no funcionaba.
La responsable de prensa del puerto ha confirmado a "Teknautas" que el correo interno ha estado unos días inoperativo a causa del incidente. También ha mencionado la existencia de servicios que seguían sin funcionar, pasados 5 días del ataque, porque había "ficheros encriptados". A la pregunta de si el ciberataque se debió a un ransomware, la responsable aseguró que no podía "ni desmentirlo ni afirmarlo".
Según los expertos consultados, la teoría del ransomware como arma del ataque es la que tiene más fuerza, vista la lentitud de recuperación de los sistemas informáticos de las oficinas. Si hubiesen sufrido un bombardeo o ataque de Denegación de Servicio (DDoS), la recuperación habría sido más rápida, afirma el experto en ciberseguridad Miquel Colobran.
Fuentes del Ministerio de Defensa han confirmado que el ransomware entró en las redes del puerto a través de un correo electrónico, como un adjunto o enlace dentro del cuerpo del mensaje.
El 18 de septiembre, dos días antes de descubrirse el ataque, el puerto promocionaba desde su cuenta en Twitter un artículo premonitorio aparecido en la plataforma PierNext (https://twitter.com/portofbarcelona/status/1042024185680326657) y titulado: "¿Están los puertos preparados para manejar ataques de hackers?" (http://piernext.portdebarcelona.cat/tecnologia/estan-preparados-los-puertos-para-hacer-frente-a-las-amenazas-de-los-hackers/). Colobran opina que cuando se publicó este artículo, el virus ya habría entrado y estaría propagándose por los sistemas informáticos del puerto. En el artículo, el Responsable de Seguridad de Información del puerto, Cristian Medrano, afirma: "En algún momento, tu organización sufrirá un ataque que tendrá éxito".
Pero el ataque de la semana pasada no se habría quedado solo en el Port de Barcelona sino que habría afectado también a algunos de sus clientes, concretamente la naviera danesa Moller-Maersk. Trabajadores de la delegación en Barcelona de esta multinacional han asegurado a "Teknautas" que su red corporativa cayó diversas veces:
"Hoy (por el 25 de septiembre) hemos seguido con problemas, hemos sufrido una caída de servidores por la madrugada, después han aislado a la red del Puerto de Barcelona y hemos podido recuperar conexión". La naviera no ha querido hacer declaraciones oficiales a "Teknautas".
Según Miquel Colobran, esta caída o caídas de la red en Maersk significaría que "o bien el ransomware estaba intentando entrar en sus redes, o bien las afectaciones en la red del puerto habrían provocado problemas en la red de Maersk". El mismo día, 25 de septiembre, caía también la red interna de la policía catalana, que estuvo inoperativa 40 minutos, pero fuentes de Mossos niegan categóricamente cualquier relación con el ataque del puerto.
Durante los mismos días del ataque al puerto hubo al menos otra empresa en Barcelona afectada por un ataque de ransomware. Se trata de una empresa mediana dedicada a las Tecnologías de la Información, a la que el virus cifró toda la información interna de la empresa. Al funcionar de forma correcta los sistemas de "backup", solo fue necesario hacer una reinstalación.
Este ransomware, explica uno de los expertos que trabajó en la reparacíon, no se mandaba por correo electrónico sino que era de los que buscan BUSCA agujeros en las redes corporativas y se cuela automáticamente, sin intervención humana: "Una vez conseguido el acceso, instalan el ransowmare y se expanden por las unidades compartidas de la red". El nombre del ransomware era Brrr Dharma (https://www.bleepingcomputer.com/news/security/new-brrr-dharma-ransomware-variant-released/) y justo aquella semana acababa de salir una nueva versión.
No se descarta que otras empresas de la ciudad fuesen atacadas por el mismo ransomware, aunque no lo hayan hecho público por temas de imagen. Tampoco sería descabellado que el ransomware que atacó el puerto fuese el mismo Brrr Dharma, que estaría corriendo por las redes catalanes a la búsqueda de agujeros por los que "colarse".
El Port de Barcelona no es tampoco el primero en vivir el ataque de un ransomware dentro del sector de los transportes marítimos. El 27 de junio lo sufrió la naviera Moller-Maersk. Afectó a 80 puertos de todo el mundo, con pérdidas de entre 170 y 250 millones de euros. El ransomware, llamado Petya, llegó hasta los terminales de carga que tiene APM, subsidiaria de Maersk, en el puerto de Barcelona (https://www.portseurope.com/apm-terminals-closes-barcelona-terminal-to-protect-from-cyber-attack/).
Los puertos de Antwerp y Rotterdam también sufrieron, en 2011 y 2013 respectivamente, sendos ciberataques. Los puertos son considerados infraestructuras críticas, lo que hace más delicado cualquier incidente que suceda en ellos y les obliga a seguir normativas específicas, como el Plan Nacional de Protección de Infraestructuras Críticas en España.
Pero la securización de estas infraestructuras está aún en sus inicios y nadie está a salvo, explica el director del Centro de Ciberseguridad Industrial (https://www.cci-es.org/), José Valiente: "El incidente del puerto habría afectado también a otros operadores de infraestructuras críticas porque a día de hoy la mayoría está contruyendo sus capacidades de prevención y respuesta frente a incidentes de Tecnología Operacional".
Precisamente Port de Barcelona acaba de poner en marcha su Oficina Técnica de Seguridad (http://www.penteo.com/IT%20reports/WhitepaperAckcent_PortBarcelona.pdf) y otras mejoras como la incorporación de un sistema de información y gestión de eventos (SIEM) a su plan de ciberseguridad. Valiente muestra el lado positivo del ataque del ransomware: "No hay mejor impulsor que los incidentes tecnológicos de alto impacto para que la organización aumente el presupuesto y las capacidades".
Y es que toda medida es poca cuando Port de Barcelona es considerado un "smart port" o puerto inteligente que ha incorporado multitud de servicios inteligentes, como la gestión del alumbrado, la automatización de las entradas y salidas, la monitorización del tráfico interno de vehículos y varios proyectos de sensores, además de que el 90% de gestiones se realizan de forma telemática. Una ransomware infiltrado en este entramado puede hacer, realmente, mucho daño.
Mercè Molist
https://www.elconfidencial.com/amp/tecnologia/2018-10-02/puerto-barcelona-maersk-ransomware-ciberataques_1623718/