Ciberataque era igual a desprestigio. Hoy es positivo publicitarlo, si no lo harán los ‘hackers’
Una de cada cuatro empresas no prepara a su plantilla ante un ‘malware’. Un solo click puede ser fatal Nadie reconoce haber cedido a la extorsión de los grupos criminales, es tanto como financiarles
cional que este enero consiguió desmantelar la infraestructura criminal que estaba tras este código fatal. Conviene reparar en que la peligrosidad de Emotet ha sido su capacidad para robar credenciales de usuario, como esas que hoy se ofertan a puñados en el lado oscuro de internet.
Y es que una cosa es que las empresas inviertan en protegerse en términos de ciberseguridad y otra que sus empleados estén listos para saber qué hacer y qué no. Respecto a lo primero, el análisis de Deloitte revela que el 57 por ciento ha reducido su presupuesto anual en ciberseguridad debido a la pandemia, que continúa la tendencia a externalizar este servicio –el 76 por ciento utiliza ese modelo– y que una de cada cuatro empresas no proporciona ningún tipo de formación en esta materia a su plantilla.
El error humano
Esta dejación conecta con la falta de adiestramiento del personal –a veces, desde los administradores de redes a los trabajadores más básicos– para haberse enfrentado desde sus despachos caseros al reto de ser ellos custodios de la confidencialidad y la integridad de los datos de la empresa como el que más. «En un día típico de trabajo se dan muchas circunstancias en las que se nos requiere urgencia e inmediatez: periodos de facturación, plazos inamovibles... los ciberdelincuentes lo saben y se valen de ellos para que piquemos en cosas tan cotidianas como descargarnos un archivo adjunto», narra la directora de la central de una firma de servicios a la tercera edad que acabó contaminando con el famoso Emotet a todas sus delegaciones, según un testimonio anonimizado que facilita Incibe.
En este sentido, desde KPMG España, su responsable de Ciberseguridad, Marc Martínez, recuerda que en estos tiempos «se ha dependido mucho del nivel de concienciación: si te llega un ‘phising’ hay dos opciones, que abras el fichero que lleva anexo o no, y las empresas que habían sensibilizado al respecto han salido beneficiadas. Las que no, muchas veces han generado la instalación de ‘malware’ en los equipos y en las redes de los clientes». Actuar correctamente y hacerlo a tiempo es clave y, subraya el experto, ante ello, la diferencia entre grandes empresas y pequeñas es la misma que separa «a dos mundos».
Y aquí la experiencia real de una muy grande: Mapfre. De que «una maquinaria probada y engrasada es la mejor garantía de que todo va a funcionar cuando más se necesita» da cuenta la respuesta que la aseguradora dio al ciberataque masivo que le fue disparado a las ocho de la tarde del viernes 14 de agosto de 2020. Les obligó a desconectar sus sistemas y quedarse a ciegas en una fecha crucial para el tráfico, coincidente entonces con la fallida «desescalada». En cuatro horas estaban rehabilitados los ‘call center’ de atención en carretera y en seis tenían el antídoto para repeler el virus que los atacantes habían diseñado un año antes expresamente para esta tentativa. Y que inocularon gracias a las credenciales robadas a finales de julio a un usuario privilegiado, según revelaron los exámenes forenses.
Pecados íntimos
Mapfre ya había analizado y modelizado un riesgo de este tipo en su plan de crisis, solo hubo que activar el protocolo, y disponía de un ‘backup’ que no lograron vulnerar. Pero igual de importante fue la preparación de sus empleados, empezando por el experto de Seguridad que alertó desde Majadahonda (Madrid) de que un primer equipo comenzaba a encriptarse. El mismo sábado día 15, el incidente fue comunicado a la opinión pública en desafío del habitual oscurantismo que relega los ciberataques a la esfera de los pecados íntimos de las empresas, en tanto estiman que daña su reputación, y airea sus vergüenzas en materia de seguridad. Por el contrario, en este caso, dar la cara aumentó la comprensión ante la crisis, destacan en la compañía.
«Hay quien opta por vías menos transparentes y obvian que, al final, el ataque va a ser conocido porque sus clientes y sus proveedores, que son una parte muy importante del ecosistema de la empresa, no pueden, por ejemplo, acceder a una web, y eso en dos horas va a estar en Twitter. Hay pocas alternativas, las empresas están optando por la transparencia y es una buena política», indican en KPMG.
En ocasiones, son las propias organizaciones criminales las que se exponen como autoras y difunden una determinada incursión como un éxito, aunque el verdadero, el buscado, es sacar dinero. El de los rescates, el de comerciar con la información saqueada –cuentas de correo, códigos de acceso, no olvidar el espionaje industrial...– o con los equipos que han logrado comprometer y que alquilan en modo zombies a redes de ‘botnet’, verdaderos ejércitos informáticos creados para delinquir. Ninguno de los consultados da idea de las tarifas y aseguran no saber de quien haya pagado, lo que al fin y al cabo significa financiar el gansterismo en la red y casi contratarles para que vuelvan. Sí facilitan cifras, y muy preocupantes, marcas que curiosamente venden escudos de protección: dicen que el 58 por ciento de las empresas desembolsan lo requerido, otra fuente lo cifra en un 21 y señala que, a pesar de ello, una de cada tres ni recuperó los datos que le habían distraído. Una más concluye que el 60 por ciento de las pymes damnificadas por un ciberasalto termina cerrando.
Son afirmaciones incontrastables. Como la de Schaw, el del Foro de Davos, de que el caos informático llegará y lo hará «como un tsunami», que por cierto lleva vaticinando desde 2016.