**Ciberataque paraliza los sistemas de Conpet, operador nacional de oleoductos en Rumanía**
—
### Introducción
El operador nacional de oleoductos de Rumanía, Conpet, ha sido víctima de un ciberataque significativo que ha interrumpido de manera sustancial sus sistemas empresariales y ha dejado fuera de servicio su sitio web corporativo. Este incidente, reportado el pasado martes, se suma a la creciente lista de ataques dirigidos contra infraestructuras críticas en Europa, resaltando la urgencia de reforzar las estrategias de ciberseguridad en el sector energético.
—
### Contexto del Incidente
Conpet S.A. gestiona la red nacional de oleoductos de Rumanía, siendo un eslabón clave en la cadena de suministro energético del país y, por extensión, de la región. El ataque, detectado durante la madrugada del martes, paralizó tanto los servicios online de la empresa como una parte relevante de sus aplicaciones administrativas. Aunque la operativa física de los oleoductos no se ha visto afectada, la interrupción de los sistemas de gestión y comunicación interna ha supuesto una degradación operativa significativa.
Este incidente ocurre en un contexto de intensificación de ciberataques dirigidos contra infraestructuras críticas europeas, en línea con las advertencias emitidas por la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y el aumento de las exigencias regulatorias bajo la Directiva NIS2.
—
### Detalles Técnicos
Aunque Conpet no ha revelado públicamente detalles exhaustivos sobre la naturaleza del ataque, fuentes cercanas a la investigación apuntan a un probable compromiso mediante ransomware, alineado con los modus operandi de grupos como LockBit o BlackCat/ALPHV, que han intensificado su actividad en el primer semestre de 2024.
Las primeras evidencias sugieren un acceso inicial a través de la explotación de vulnerabilidades en servicios expuestos, posiblemente mediante CVE-2023-23397 (relacionada con Microsoft Outlook) o mediante autenticación comprometida en servicios RDP y VPN no actualizados. Una vez dentro, los atacantes habrían desplegado herramientas de movimiento lateral como Cobalt Strike y Mimikatz, siguiendo patrones documentados en la matriz MITRE ATT&CK:
– **T1190: Exploit Public-Facing Application**
– **T1078: Valid Accounts**
– **T1059: Command and Scripting Interpreter**
– **T1021: Remote Services**
– **T1486: Data Encrypted for Impact**
Indicadores de compromiso (IoC) observados incluyen conexiones inusuales desde direcciones IP asociadas a botnets, la aparición de ejecutables ofuscados en directorios temporales y la presencia de archivos de nota de rescate.
—
### Impacto y Riesgos
El ataque ha supuesto la caída completa del portal web corporativo de Conpet y la interrupción de aplicaciones críticas de negocio, incluyendo sistemas de gestión documental y plataformas de comunicación interna. Si bien la red SCADA y los sistemas de control industrial no han presentado anomalías, la indisponibilidad de los sistemas administrativos puede retrasar la gestión de incidencias y la coordinación operativa, con potenciales ramificaciones para el suministro nacional de petróleo.
El impacto económico directo aún está por cuantificar, pero se estima que las pérdidas por paralización y costes de recuperación podrían superar los 500.000 euros, sin contar el posible daño reputacional y las sanciones regulatorias bajo el RGPD y NIS2 por posible exposición de datos personales o falta de notificación temprana.
—
### Medidas de Mitigación y Recomendaciones
Conpet ha procedido a aislar los sistemas afectados, iniciar análisis forense y restaurar servicios esenciales a partir de backups offline. Las recomendaciones para entidades del sector energético incluyen:
– Aplicar parcheos urgentes en sistemas expuestos (especialmente en Microsoft Exchange, VPN y RDP).
– Reforzar autenticación multifactor (MFA) y limitar el acceso remoto.
– Segmentar redes OT/IT y monitorizar tráfico lateral mediante soluciones EDR/XDR.
– Realizar análisis de amenazas proactivos y simulaciones de respuesta ante incidentes.
– Revisar y actualizar los planes de contingencia y continuidad de negocio, asegurando alineación con NIS2 y el marco de gestión de riesgos de ENISA.
—
### Opinión de Expertos
Analistas del CERT-RO y consultores de seguridad señalan que la sofisticación del ataque y la rapidez de propagación indican la posible implicación de actores APT (Amenaza Persistente Avanzada), con capacidad para identificar y explotar vulnerabilidades específicas del sector energético. Según Andrei Popescu, CISO de una empresa energética rumana, “la resiliencia digital de las infraestructuras críticas exige una inversión constante en detección temprana y respuesta automatizada, más allá de las soluciones perimetrales tradicionales”.
—
### Implicaciones para Empresas y Usuarios
El incidente evidencia la necesidad urgente de priorizar la ciberseguridad en infraestructuras críticas, no solo por el impacto económico, sino por el riesgo sistémico para el suministro energético nacional. Para las empresas, implica revisar el cumplimiento normativo (NIS2, RGPD), actualizar procedimientos de gestión de incidentes y fortalecer la colaboración con organismos nacionales e internacionales de ciberseguridad.
Para los usuarios, aunque no hay evidencias de fuga de datos personales masiva, se recomienda vigilancia ante posibles campañas de phishing derivadas del incidente y la actualización de credenciales si han interactuado recientemente con sistemas de Conpet.
—
### Conclusiones
El ciberataque a Conpet subraya la vulnerabilidad de las infraestructuras críticas ante amenazas cada vez más sofisticadas y dirigidas. La rápida actuación y la colaboración con organismos nacionales de ciberseguridad han permitido contener el impacto, pero la lección es clara: el sector energético europeo debe acelerar la adopción de medidas de prevención, detección y respuesta, en línea con el nuevo marco regulatorio de la UE y las mejores prácticas internacionales.
(Fuente: www.bleepingcomputer.com)