El ciberataque al  importante oleoducto estadounidense, Colonial Pipeline, es una llamada de atención a las aseguradoras sobre el potencial de acumulación de ciberriesgos en torno a infraestructuras vitales o sistemas tecnológicos que afectan a un gran número de organizaciones conectadas. Este es el veredicto que hace CyberCube en un nuevo análisis publicado esta semana.

El oleoducto, que fue atacado la semana pasada provocando escasez de gasolina en el este de Estados Unidos, está conectado a 30 refinerías de petróleo y a casi 300 terminales de distribución de combustible en todo el país. Además, miles de gasolineras, consumidores y cientos de empresas, incluidos centros de transporte masivo como aeropuertos, dependen de Colonial para el suministro de combustible.

Según CyberCube, el ataque a Colonial demuestra la vulnerabilidad de los llamados puntos únicos de fallo (SPoF) ante los ciberdelincuentes. Los SPoF son componentes o empresas enteras -físicas o electrónicas- cuyo fallo desconecta todo un sistema y afecta a muchos usuarios finales.

Una muestra de lo que viene

William Altman, consultor de ciberseguridad de CyberCube, analiza que lo que pasó con «Colonial es una muestra de lo que está por venir. Tanto los operadores criminales de ransomware como los actores de amenazas patrocinados por estados nacionales están dirigiendo cada vez más su atención hacia el ataque de SPoF».

«Al ir tras los SPoF, los atacantes criminales crearán un apalancamiento máximo para convencer a sus víctimas de que paguen un rescate, y los actores del estado-nación utilizarán los SPoF como punto de partida hacia los sistemas adyacentes para llevar a cabo espionaje y otras operaciones de información. Aunque todavía no hemos visto una verdadera catástrofe de acumulación en la ciberseguridad, se dan los primeros pasos. Los recientes ataques a SPoF como SolarWinds, Microsoft Exchange y Colonial Pipeline indican claramente la dirección que toma el sector».

Un suscripcion con ‘higiene cibernética’

«Ahora debería estar muy claro para el sector asegurador que los ciberataques de alcance catastrófico -y el potencial de pérdidas catastróficas- ya no son sólo ciencia ficción. En 2021, se reconocerá ampliamente que un enfoque riguroso y estructurado de la gestión de la acumulación de riesgos cibernéticos es ahora un requisito previo y una necesidad para todas las (re)aseguradoras.»

Yvette Essen, directora de contenidos de CyberCube, matiza: «El ataque subraya la creciente necesidad de que los suscriptores evalúen la higiene cibernética básica junto con los riesgos específicos de las amenazas como el ransomware para las organizaciones de todos los tamaños en todas las industrias.»