Colonial Pipeline ransomware (DarkSide): pipeline US East Coast cerrada y $4.4M pagados
  • ALCA
  • 5 de mayo, 2021
  • Ciberseguridad

Colonial Pipeline ransomware (DarkSide): pipeline US East Coast cerrada y $4.4M pagados

El 7 de mayo Colonial Pipeline, operadora de la ducto de combustible más grande de la costa este de Estados Unidos, fue víctima de un ataque de ransomware atribuido al grupo DarkSide. La compañía detuvo operaciones por aproximadamente seis días. Entre el 11 y el 13 de mayo se vieron filas en gasolineras de Carolina del Norte a Virginia, declaratorias de emergencia regional y una intervención coordinada del FBI y de CISA. Colonial pagó cerca de 4.4 millones de dólares en Bitcoin, de los cuales el Departamento de Justicia anunció después haber recuperado aproximadamente 2.3 millones.

El incidente no afectó directamente la red de control industrial (los sistemas OT). El ataque tocó IT, específicamente sistemas de facturación, pero la decisión preventiva de detener la operación física para contener el alcance fue lo que generó la crisis nacional. Esa distinción es crítica.

Para una empresa mexicana mediana en sectores como energía, agua, transporte, alimentos, manufactura crítica, o servicios financieros, este episodio ofrece lecciones que conviene leer con cuidado, no por morbo, sino porque la siguiente puerta toca aquí.

Qué pasó técnicamente

La información pública señala que DarkSide entró por una VPN sin segundo factor que usaba una contraseña reciclada de un viejo dump de credenciales. Una vez dentro, escalaron, exfiltraron datos y desplegaron el cifrado.

El patrón es exactamente el que llevamos años viendo:

  • Vector inicial: credencial expuesta + acceso remoto sin MFA.
  • Movimiento lateral: aprovechar Active Directory mal endurecido.
  • Exfiltración previa al cifrado para presionar con doble extorsión.
  • Cifrado de servidores críticos (en este caso de facturación).
  • Demanda de rescate en cripto.

Ningún paso es novedoso. Lo que cambió fue la elección del objetivo: una pieza de infraestructura crítica. Y eso hizo que Estados Unidos respondiera con un nivel de coordinación que no se había visto antes.

Tres lecciones inmediatas para infraestructura crítica en México

1. Segmentar OT de IT no es un proyecto, es la primera línea de defensa

Colonial decidió detener la operación física porque no tenía la confianza de saber con certeza que el ataque no había cruzado a OT. Esa duda costó seis días de operación.

Para una planta mexicana, una refinería, una procesadora, una distribuidora de agua, las preguntas son las mismas:

  • ¿Existe segmentación física o lógica clara entre la red IT (oficinas, ERP, correo) y la red OT (PLCs, SCADA, HMI)?
  • ¿Hay un firewall industrial o una arquitectura tipo Purdue (zonas y conductos) implementada de verdad, no solo en el diagrama?
  • ¿Los accesos remotos a OT pasan por un jump server con MFA, monitoreo y registro?
  • ¿Hay un inventario actualizado de activos OT con sus versiones de firmware?

Si alguna de estas preguntas no tiene una respuesta concreta y verificable, la primera tarea de junio está clara.

2. MFA, MFA, MFA

El acceso inicial fue por una VPN sin segundo factor. En 2021 ya no hay excusa razonable para que ningún acceso remoto, ni siquiera el del proveedor que viene a hacer mantenimiento del PLC dos veces al año, esté sin MFA.

Acción concreta este mes:

  • Inventariar todos los puntos de acceso remoto a la red corporativa y a la red industrial.
  • Habilitar MFA obligatorio en cada uno. Aplicaciones autenticadoras (TOTP) o llaves físicas (FIDO2) por encima de SMS.
  • Eliminar VPNs antiguas que ya nadie use pero sigan abiertas.

3. Plan de respuesta a incidentes ensayado, no escrito

El error de muchas organizaciones medianas en México es tener un documento de IR (Incident Response) en una carpeta de SharePoint que nadie ha vuelto a abrir desde la auditoría. Cuando ocurre el incidente, nadie sabe quién llama a quién, qué datos se preservan, qué dice la política de pago, cómo se coordina con el regulador.

Lo que sí funciona:

  • Un playbook corto (10-15 páginas) por escenario (ransomware, exfiltración, fraude wire) con pasos numerados, contactos, plantillas de comunicación.
  • Tabletop exercises trimestrales con el comité ejecutivo, no solo con TI. La decisión de detener la planta es del CEO, no del CISO.
  • Un retainer con un equipo de DFIR (digital forensics e incident response) firmado antes del incidente. Buscarlo a las 3 a.m. del sábado nunca termina bien.

La pregunta del rescate

Colonial pagó. El FBI recuperó parte. CISA y el FBI no recomiendan pagar, pero tampoco lo prohíben. La realidad operativa es más compleja: cuando la compañía calcula que cada día de paro vale más que el rescate, y los backups no son confiables, la decisión se inclina hacia el pago.

La forma de no llegar a esa pregunta es simple en concepto y difícil en ejecución:

  • Backups inmutables, fuera de línea o en una cuenta separada con acceso restringido. Si el ransomware llega a tus backups, no son backups.
  • Pruebas de restauración mensuales. No basta con que el respaldo se haga; tiene que demostrar que se restaura en el RTO comprometido.
  • Política escrita de pago de rescate, aprobada por consejo, que tome en cuenta consideraciones legales (sanciones OFAC, responsabilidad fiduciaria), reputacionales y operativas.

El factor regulatorio mexicano

México todavía no tiene una ley federal de ciberseguridad equiparable a la NIS Directive europea, pero hay marcos sectoriales relevantes:

  • CNBV para sector financiero, con la disposición de continuidad de negocio y la obligación de reportar incidentes.
  • CRE / SENER para infraestructura energética, con criterios de seguridad operativa.
  • LFPDPPP / INAI cuando hay datos personales involucrados.

Reportar un incidente al regulador correspondiente, dentro de los plazos correctos, no es opcional. La preparación regulatoria es parte del playbook.

Qué hacer este mes

Tres acciones para la junta de TI de mayo:

  • Auditoría rápida de accesos remotos y MFA en todos ellos.
  • Verificación de la separación OT/IT y de la última prueba de restauración de backups.
  • Tabletop ejecutivo de 90 minutos con escenario ransomware, agendado antes de fin de mes.

Colonial Pipeline no fue una sorpresa técnica. Fue un caso de manual que ocurrió en una organización con un perfil similar al de muchas empresas medianas mexicanas. La diferencia, hacia adelante, va a estar entre las que tomen las lecciones esta semana y las que esperen a aparecer en titulares.

¿Tu OT está segmentada de IT? Hagamos un assessment. Solicita una llamada de 30 minutos y revisamos arquitectura, accesos y plan de respuesta.

Artículos relacionados

Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

2 de mayo, 2026 Survex: escaneo continuo de vulnerabilidades para equipos que ya están cansados del ruido

Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

1 de abril, 2026 Anatomía del compromise de Axios npm (mar 2026): lecciones de un supply chain attack que afectó a miles

RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia

25 de febrero, 2026 RSAC 2026: por qué la conversación de ciberseguridad se mueve de prevención a resiliencia