Mientras los mercados mundiales del petróleo y el gas se recuperan de las fuertes ventas del pasado lunes, las amenazas en el mercado no solo están relacionadas con la preocupación por la oferta y la demanda. Los especialistas en ciberseguridad informaron esta semana de que unos piratas informáticos consiguieron acceder a una gran cantidad de datos del gigante petrolero saudí Aramco. La empresa ha confirmado que le robaron alrededor de 1 TB de datos (confidenciales) de sus servidores. Según fuentes de AP, los datos se han puesto en oferta en la darknet por un precio de 50 millones de dólares.
Por el momento se desconoce quién está detrás del robo de datos, pero también preocupa el hecho de que las partes implicadas no den más información. La mayor empresa petrolera del mundo que cotiza en bolsa, Aramco, ha sido blanco de ciberataques con regularidad, como los conocidos ataques del virus Shamoon, instigados por Irán. Este último ataque a Aramco demuestra que aún queda mucho trabajo por hacer para proteger al gigante petrolero contra futuras violaciones de datos, ataques de ransomware y espionaje industrial. La filtración de datos de Aramco demuestra una vez más que la amenaza para el suministro de energía no solo proviene de los ataques con drones y misiles, sino también de los ciberataques.
Desde el ataque de Shamoon, que paralizó gran parte del gigante saudí, los saudíes han propuesto e implementado importantes programas de ciberseguridad. Sin embargo, incluso una empresa de un billón de dólares parece incapaz de proteger completamente su infraestructura digital.
Para las partes interesadas del sector financiero, la situación actual es, por supuesto, interesante. Saudi Aramco está llevando a cabo una importante estrategia de reestructuración de la empresa, centrada en los activos de media y baja producción. La filtración de datos de 1TB está vinculada, según las fuentes, especialmente a los activos y las operaciones de downstream. No hay que descartar de entrada la posible presión de esta “filtración de datos de terceros” sobre las desinversiones o los planes de privatización, como el proyecto de oleoducto de Aramco. Si los datos disponibles son mucho más detallados, especialmente en lo que respecta a la fijación de precios o las estrategias financieras, el daño podría ser mucho mayor de lo que se presenta actualmente en la prensa.
Las fuentes afirman que se ha utilizado una “explotación de día cero” para acceder a los servidores. Los datos están siendo ofrecidos por un grupo de actores de amenazas conocido como ZeroX. En declaraciones realizadas por ZeroX, los 1TB de datos han sido robados en 2020 hackeando “la red y los servidores” de Aramco. El total de datos incluye archivos desde 1993 hasta 2020. En la darknet y en otros sitios de Internet, ZeroX ha publicado muestras de los planos y documentos de propiedad de Aramco. Los primeros datos ya se publicaron en un foro del mercado de la violación de datos en junio de este año:
El conjunto de datos, basado en la publicación inicial en el llamado sitio de filtraciones .onion, tenía una cuenta atrás de 662 horas, o unos 28 días, después de los cuales comenzarían la venta y las negociaciones. Aunque no está exactamente claro por qué los hackers eligieron un plazo de 662 horas, ZeroX ha dicho que la elección de “662 horas” fue intencional y un “rompecabezas” para que Saudi Aramco lo resolviera, pero la razón exacta detrás de la elección sigue siendo poco clara. En un artículo informativo, ZeroX también ha afirmado que el volcado de 1TB incluye documentos relacionados con las refinerías de Saudi Aramco ubicadas en múltiples ciudades de Arabia Saudí, incluyendo Yanbu, Jazan, Jeddah, Ras Tanura, Riyadh y Dhahran. Otra información muestra que incluye:
1. Información completa de 14.254 empleados: nombre, foto, copia del pasaporte, correo electrónico, número de teléfono, número de permiso de residencia (tarjeta Iqama), cargo, números de identificación, información familiar, etc.
2. Especificación del proyecto para los sistemas relacionados/que incluyen electricidad/energía, arquitectura, ingeniería, civil, gestión de la construcción, medio ambiente, maquinaria, buques, telecomunicaciones, etc.
3. Informes de análisis internos, acuerdos, cartas, hojas de precios, etc.
4. Trazado de la red con las direcciones IP, puntos Scada, puntos de acceso Wi-Fi, cámaras IP y dispositivos IoT.
5. Mapa de ubicación y coordenadas precisas.
6. Lista de clientes de Aramco, junto con facturas y contratos.
BleepingComputer informa de que las muestras publicadas por ZeroX en el sitio de la filtración tienen información personal identificable (PII) redactada, y que solo una muestra de 1 GB cuesta 2.000 dólares, pagados a través de la criptomoneda Monero (XMR). ZeroX también ha declarado que el precio de todo el volcado de 1 TB está fijado en 5 millones de dólares, si una parte quiere los derechos exclusivos para una venta única (es decir, obtener el volcado completo de 1 TB y exigir que se borre por completo de ZeroX) tiene que pagar la friolera de 50 millones de dólares.
Todas las partes, incluidas ZeroX y Aramco, han reiterado que el incidente no es un ataque de ransomware. Aramco ha repetido que la brecha se produjo en contratistas de terceros y que los sistemas de Aramco no estaban directamente involucrados. Un portavoz de la compañía repitió que la empresa sigue manteniendo una sólida postura de ciberseguridad. Si se observa el ataque Shamoon de 2012, que destruyó 30.000 discos duros de ordenadores de Aramco, la actual brecha es menos peligrosa. Sin embargo, si se observa el reciente ransomware mundial y otros ataques relacionados con la ciberseguridad, como el del oleoducto Colonial o el de los supermercados europeos, la amenaza para Aramco, y posiblemente para otras compañías petroleras nacionales árabes, es real.
Algunos también han afirmado que el ataque de ZeroX es el primero de una posible lista de próximos ciberataques a Aramco. Aunque la actual violación de datos se ejecutó a través de contratistas externos, demuestra que los hackers lograron encontrar lagunas en los sistemas de ciberseguridad de las empresas petroleras y de gas.
Los analistas se rascarán la cabeza en los próximos meses sobre cómo afrontar y prevenir estas violaciones de datos o los ataques de ransomware Shamoon 2.0. La actual digitalización del petróleo y el gas, incluidas las operaciones upstream, downstream y midstream, no es solo un hecho positivo. La enorme cantidad de sensores, puntos de datos, operaciones de recopilación de información y supervisión en tiempo real, en principio para reducir costes y aumentar los márgenes de beneficio, se ha convertido en un punto débil para las empresas. Como las estrategias de ciberguerra de las potencias mundiales y regionales están avanzando, los ataques podrían ser mucho más sofisticados y se espera que la industria del petróleo y el gas siga siendo un objetivo clave.
Además, hay que tomar con pinzas las declaraciones sobre ciberseguridad de los funcionarios del gobierno o de las empresas de Oriente Medio. Ningún funcionario de una empresa o de un gobierno mostrará jamás la parte posterior de su lengua cuando se le pida que haga un comentario. Si el caso Shamoon de 2012 es una línea de base para las evaluaciones y las discrepancias entre las declaraciones oficiales y la realidad, la situación actual podría ser mucho peor de lo esperado.