Un ciberdelincuente afirma haber comprometido a Pickett and Associates, una empresa de ingeniería con sede en Florida que cuenta con importantes empresas de servicios públicos estadounidenses entre sus clientes, y está ofreciendo a la venta aproximadamente 139 GB de datos de ingeniería relacionados con Tampa Electric Company, Duke Energy Florida y American Electric Power. El precio solicitado es de 6.5 bitcoin, lo que equivale a unos 585.000 dólares.
Pickett USA, con sede en Tampa, Florida, proporciona servicios de diseño de transmisión y distribución, gestión de proyectos, topografía, mapeo aéreo y LiDAR (Detección de Luz y Rango) a empresas de servicios públicos y operaciones mineras en todo Estados Unidos y el Caribe.
Ante la consulta de The Register, un portavoz de Pickett USA declaró que la empresa no tiene comentarios sobre la supuesta brecha de seguridad.
En capturas de pantalla compartidas en redes sociales y publicadas en Daily Dark Web, el criminal afirma haber robado 892 archivos pertenecientes a la empresa de ingeniería, que describe en el anuncio de venta como «datos de ingeniería operativos reales de proyectos activos de importantes empresas de servicios públicos y que son adecuados para el análisis de infraestructura y la evaluación de riesgos».
Según el delincuente, la información robada comprende más de 800 archivos clasificados en bruto de nubes de puntos LiDAR en formato .las, con un tamaño que oscila entre 100 MB y 2 GB cada uno; cobertura completa de corredores de líneas de transmisión y subestaciones, que incluye capas de terreno desnudo, vegetación, conductores y estructuras; ortofotos de alta resolución en formato .ecw; archivos de diseño MicroStation y configuraciones PTC; archivos de características de vegetación grandes en formato .xyz; y otros archivos de proyectos activos.
De acuerdo con el criminal –y, como hemos advertido repetidamente: los delincuentes no son precisamente los más confiables, por lo que se debe tomar esta información con cautela–, los archivos robados pertenecen a algunas de las empresas de servicios públicos más grandes de Estados Unidos. Tampa Electric Company presta servicio a aproximadamente 860.000 clientes, incluidos 90.000 empresas, en el centro-oeste de Florida, mientras que Duke Energy Florida tiene alrededor de 2 millones de clientes residenciales y comerciales en todo el estado, y American Electric Power presta servicio a casi 5.6 millones de clientes en 11 estados. El delincuente ha ofrecido cuatro archivos de muestra a compradores interesados como prueba.
Un portavoz de Duke Energy declaró a The Register que la empresa está investigando las afirmaciones del delincuente.
«Con las amenazas evolucionando día a día, el equipo de ciberseguridad altamente capacitado de Duke Energy trabaja diligentemente para proteger nuestros negocios, sistemas y activos de tecnología de la información y responde rápidamente si se produce un incidente cibernético», dijo el portavoz en un correo electrónico enviado a The Register. «Estamos tomando las medidas necesarias para investigar esta afirmación».
Las otras dos empresas no respondieron a nuestra solicitud de comentarios.
El mismo delincuente también está vendiendo lo que afirma ser una base de datos interna perteneciente a Enerparc AG de Alemania y que contiene detalles sobre proyectos solares en las regiones españolas de Mallorca y Alicante.
Estas recientes supuestas brechas de seguridad se producen en un momento en que los delincuentes se dirigen cada vez más a sectores críticos, y (de ser cierto) son especialmente preocupantes, ya que ponen en riesgo las líneas de transmisión, las centrales eléctricas y los proyectos en curso.
El mes pasado, el Director de Seguridad de la Información de Amazon culpó a la Dirección Principal de Inteligencia de Rusia (GRU) de una campaña de varios años dirigida a los sectores energético y otras infraestructuras críticas de los países occidentales, y las agencias gubernamentales estadounidenses y los socios internacionales advirtieron a los propietarios y operadores de tecnología operativa (OT) que aseguren sus redes críticas contra los ataques de hackers prorrusos.
A finales de 2023, Volt Typhoon de China se dirigió notoriamente a las empresas de servicios eléctricos en un esfuerzo por preparar a Pekín para ciberataques destructivos contra esos objetivos.
No son solo los atacantes respaldados por gobiernos los que irrumpen en estas instalaciones críticas. Las bandas de ransomware y otros delincuentes motivados financieramente también han mostrado interés en los objetivos de infraestructura crítica, ya que los proveedores de energía y agua son más propensos a pagar rescates para mantener la electricidad y la calefacción para los clientes y mantener el flujo de agua de sus grifos.
Según el último informe anual del Centro de Denuncias de Delitos de Internet (IC3) del FBI, el ransomware representó la mayor amenaza para las organizaciones de infraestructura crítica en 2024, con un aumento del nueve por ciento en el número de denuncias al IC3 en comparación con el año anterior. De hecho, los operadores de infraestructura crítica estadounidenses denunciaron casi 4.900 amenazas de ciberseguridad en 2024, con el ransomware (1.403 denuncias) a la cabeza de la lista. ®
Nota del editor: Esta noticia fue modificada después de su publicación con comentarios de Duke Energy.
