El diciembre de 2015, la red eléctrica de Ucrania sufrió un apagón, que dejó sin servicio durante seis horas a cerca de 225 000 personas. Fue el primer ciberataque reconocido públicamente que generó cortes de energía. Los ciberdelincuentes responsables del ataque dedicaron meses a la planificación y recopilación de inteligencia. Una de las técnicas que utilizaron para poner en práctica su plan fue el phishing dirigido. En este caso, los objetivos fueron miembros del equipo de TI y administradores de sistemas de las tres empresas de distribución de energía de Ucrania (conocidas como oblenergos)

¿Cómo sucedió?

Para comprometer estos usuarios, los ciberdelincuentes enviaron un archivo adjunto malicioso de Microsoft Word que parecía proceder de una fuente de confianza. Una vez abierto, el documento mostraba un cuadro emergente que solicitaba la activación de las macros. Si el usuario aceptaba, el malware BlackEnergy3 infectaba la máquina, proporcionando una puerta trasera a los ciberdelincuentes. Estos ataques de phishing dirigido proporcionaron a los ciberdelincuentes acceso a la red de la compañía eléctrica. A partir de ahí, los atacantes dedicaron meses a infiltrarse en las redes de control industrial SCADA (control de supervisión y adquisición de datos) de las empresas para preparar su gran ataque. Utilizaron varios métodos, incluido el acceso a controladores de dominio de Microsoft Windows para recopilar incluso más credenciales de cuentas de usuario.

El apagón fue breve. Sin embargo, hicieron falta meses para que los centros de control de los oblenergos (entidades regionales de distribución) afectados volvieran a estar completamente operativos. Y como reveló un informe sobre el ataque, el incidente «sentó un nefasto precedente para la protección y seguridad de las redes eléctricas en todo el mundo».

¿Cómo podría haber ayudado la concienciación de los usuarios?

Como la mayoría de los ciberataques, el apagón de la red de 2015 se inició con un mensaje de correo electrónico de phishing. Después de engañar a un empleado para que abriera un adjunto infectado, los ciberdelincuentes pasaron meses recopilando inteligencia y penetrando con mayor profundidad en el entorno. La formación para concienciar en materia de seguridad podría haber ayudado a impedir que se iniciara el ataque. El empleado no habría abierto ni interactuado con el adjunto, lo que habría impedido la entrada del ciberdelincuente.