Prayukth K V
9 de febrero de 2026
El reciente ciberataque a CONPET S.A., el operador estatal de oleoductos de Rumania, no es solo otra estadística de ransomware en lo más mínimo imaginable. Es otro ejemplo de un ataque complejo que opera bajo el paraguas de una guerra asimétrica moderna, donde la "brecha de aire" entre la vida personal de un administrador de TI y una infraestructura energética crítica de una nación fue esencialmente puenteada por una sola infección de infostealer.
En la última década, todos hemos visto caer muchos sistemas "impenetrables". Sin embargo, el incidente de CONPET y su inconfundible conexión con el asedio sistémico a la infraestructura crítica rumana añade un nuevo capítulo en la sofisticación de los ataques. Revela una escalofriante evolución en la manera en que actores de amenazas como Qilin, también conocido como Agenda, están pasando de la fuerza bruta a la entrada "autorizada". Qilin es un grupo conocido por traer datos robados al mercado con bastante rapidez. Lo que significa que los datos ya están en camino hacia posibles compradores mientras las negociaciones con la víctima están en marcha.
Antes de avanzar, no olvides revisar nuestra publicación anterior en el blog sobre “Un análisis profundo de los ciberataques más devastadores de 2025 según Tokio Marine HCC International,” aquí.
Un poco sobre CONPET
CONPET SA es una empresa estatal rumana de oleoductos. Se especializa en el transporte de crudo, productos petrolíferos y etano a través de una vasta red de oleoductos que recorren más de 3,800 kilómetros por toda Rumania. La empresa juega un papel vital en la seguridad energética del país a través de su infraestructura. CONPET trabaja para asegurar el transporte eficiente y seguro de recursos económicamente esenciales. Además, CONPET tiene asociaciones activas con importantes actores de la industria como Petrom OMV, Petrotel Lukoil y Rompetrol Rafinare. La empresa se estableció como Compañía de Transporte de Oleoductos Ploieşti (ITTC). Desde entonces, ha pasado por un extenso proceso de modernización hasta finalmente ser llamada por su nombre actual en el año 1991.
La cronología de la brecha:
La brecha no comenzó el 3 de febrero de 2026, cuando el sitio web se volvió oscuro. Comenzó semanas antes en un entorno muy alejado de una sala de servidores de alta seguridad.
11 de enero de 2026: Se identifica al "Paciente Cero". Un malware de infostealer infecta una computadora personal (nombre del host: DESKTOP-TCR5GQM) perteneciente a un administrador de TI de CONPET. Supuestamente, la máquina se usaba para un negocio secundario de reparación electrónica (utilizando el apodo "GadgetFix").
12 de enero de 2026: Los monitores de inteligencia de amenazas indexan los datos exfiltrados. Se cosechan más de 268 credenciales, incluidas claves de acceso para el VPN de CONPET, Cacti (Monitoreo de Red). Esto incluye WSUS (Servicios de Actualización de Windows Server).
12 de enero – 2 de febrero de 2026: Tiempo de permanencia. Los operadores de Qilin usan las credenciales robadas de VPN y WSUS para mapear la red y las credenciales. En un entorno OT, el acceso a herramientas de monitoreo de red como Cacti es aproximadamente equivalente a tener un plano del sistema nervioso.
3 de febrero de 2026: Se lanza el ataque. Qilin despliega su ransomware basado en Rust, encriptando sistemas IT corporativos y exfiltrando aproximadamente 1TB de datos sensibles, incluidos registros financieros, información confidencial de la empresa que posiblemente incluye esquemas de oleoductos, detalles de proveedores y escaneos de pasaportes de empleados.
Perfil de actor de amenaza: El auge de Qilin (Agenda)
Qilin es un grupo de Ransomware como Servicio (RaaS) vinculado a Rusia que ha ascendido rápidamente a la lista de "más buscados" en 2025 y 2026.
Por qué son una amenaza de Nivel 1 para OT:
El filo de Rust: Han migrado completamente su base de código de Go a Rust. Esto hace que sus binarios sean más difíciles de realizar ingeniería inversa y muy eficientes, permitiendo una rápida encriptación de grandes volúmenes de datos antes de que EDR pueda intervenir.
Personalización dirigida: A diferencia de los actores de "rociar y rezar", Qilin personaliza binarios para cada víctima. Incluyen un "interruptor de apagado" que verifica los locales del sistema (evitando CIS/Rusia) y pueden dirigir específicamente o omitir directorios para asegurar que los sistemas más "dolorosos" sean atacados.
Afiliados incentivados: Con una estructura de pago de 80–85%, atraen a corredores de acceso inicial (IAB) altamente calificados y especialistas en movimientos laterales. También son conocidos por llevar a cabo campañas de reclutamiento para involucrar a talento altamente calificado para el desarrollo de malware.
Foco inquebrantable en víctimas empresariales: Este actor de amenazas ha ganado una experiencia y competencia significativas en atacar a víctimas empresariales y vender sus datos. De hecho, se encuentra entre los dos actores de amenazas persistentes más destacados que logran escapar con ataques exitosos en grandes y conocidas entidades.
Respaldo estatal: Qilin está respaldado por el estado ruso a través de sus grupos APT. El grupo recibe algún tipo de respaldo del GRU ruso y sus empleados están protegidos por el estado ruso.
También operan con el ciclo de orientación más corto
Qilin también estuvo detrás del Ataque a la Cervecería Asahi. Lee el informe aquí.
Inmersión técnica: Armando el "Plano de gestión"
El aspecto técnico más alarmante de la brecha de CONPET es la explotación de WSUS (Servicios de Actualización de Windows Server).
En una arquitectura estándar del Modelo Purdue, a menudo nos enfocamos en aislar el Nivel 1 (dispositivos de campo/controladores) del Nivel 4 (IT Corporativa). Sin embargo, el Plano de Gestión (actualizaciones, monitoreo, respaldos) a menudo atraviesa estos niveles. Al comprometer el servidor WSUS, Qilin obtuvo una plataforma "confiable" para implementar cargas útiles maliciosas a todas las interfaces de usuario y estaciones de trabajo basadas en Windows en el entorno corporativo sin despertar sospechas.
En resumen, no necesitaban encontrar una vulnerabilidad en el software SCADA del oleoducto. Simplemente usaron el propio mecanismo del sistema (WSUS) para distribuir el veneno.
El panorama general: El asedio de Rumania
El ataque a CONPET ciertamente no es un incidente aislado. Es el último nodo en una campaña coordinada contra la infraestructura crítica rumana que se aceleró a finales de 2025. Rumania está en el radar de los actores de amenazas rusos.
Fecha | Objetivo | Actor/Método | Impacto |
20 de diciembre de 2025 | "Breach de BitLocker" | Más de 1,000 sistemas afectados; arma cifrado nativo. | |
26 de diciembre de 2025 | Grupo "Gentlemen" | Disrupción de ERP y aplicaciones de negocios para energía de carbón. | |
3 de febrero de 2026 | CONPET S.A. | Qilin | 1TB de datos robados; IT Corporativa paralizada; Sitio web fuera de línea. |
El Vínculo Estratégico: Hay un patrón claro de enfoque en los "Capas Administrativas" de servicios críticos. Mientras que los sistemas OT (SCADA) en CONPET y Aguas Rumanas permanecieron funcionales (gracias a los anulaciones manuales y segmentación), el extremo administrativo que comprende la facturación, logística y comunicaciones internas estaba cegado.
En el sector energético, si no puedes facturar el petróleo o comunicarte con los despachadores a través de ERP, el flujo físico eventualmente se ve frenado por la parálisis administrativa, logrando el mismo resultado que un cierre físico de una válvula sin el riesgo cinético de una contraofensiva.
El "¿Y qué?" para los líderes de OT
La brecha de CONPET demuestra que los actores de amenazas están siguiendo de cerca y atacando a los operadores de infraestructura crítica. La "brecha de aire" es un mito cuando tu administrador de TI se conecta a una infraestructura crítica desde una computadora usada para un negocio secundario.
Conclusiones clave:
Implemente MFA en todo: La falta de MFA en el portal VPN fue el primer dominó que cayó.
Fortalecimiento del plano de gestión: WSUS, Cacti y Veeam deben ser tratados como "Activos de Alto Impacto en OT", incluso si están en la VLAN corporativa.
Riesgo de terceros/personal: Las organizaciones deben monitorear la web oscura en busca de fugas de credenciales de empleados antes de que el tiempo de permanencia se convierta en una implementación.
Evaluaciones de riesgo: Realice evaluaciones de riesgo basadas en IEC 62443 frecuentemente y remedie las brechas identificadas.
¿Necesitas ayuda con tus requisitos de gestión de riesgos y cumplimiento? Habla con nuestro experto.
Más sobre nuestros servicios de cumplimiento NIS2.
Aprende un poco más sobre los servicios de respuesta a incidentes de Shieldworkz
Habla con un experto en seguridad de vacaciones (sí, tenemos un experto en seguridad dedicado que sabe más sobre ajustar tus medidas de seguridad durante tiempos de baja actividad).
Prueba nuestra plataforma de seguridad OT aquí.
Recursos descargables:
Lista de verificación de ciberseguridad OT para mantenimiento en sitio
Lista de verificación de protección contra amenazas internas
Lista de verificación de gestión de riesgos cibernéticos
Lista de verificación estratégica IEC 62443 para proteger tus operaciones ICS
El sitio web de Conpet sigue fuera de línea en el momento de publicar este blog.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
3 mar 2026
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
2 mar 2026
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
27 feb 2026
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
25 feb 2026
Todo sobre la nueva Caja de Herramientas de Seguridad de la Cadena de Suministro de TIC de la UE
Prayukth K V
24 feb 2026
IA y NERC CIP-015: Automatización de la Detección de Anomalías en Infraestructura Crítica
Equipo Shieldworkz
23 feb 2026
Uso del marco IEC 62443 para cumplir con NIST SP 800-82: Guía para el CISO
Prayukth K V
