La fábula de Nikolai
No contar con personas realmente expertas en ciberseguridad puede tener resultados catastróficos para las empresas.
Érase una vez una empresa industrial ubicada en un polígono cualquiera, de una ciudad española cualquiera. Esta empresa, que ubicaríamos en el rango empresarial de lo que podríamos considerar PYME, pero ya de un tamaño respetable (orden de 50 M€ de facturación, poco más de 100 empleados), nunca hasta la fecha había tenido problemas de seguridad de la información y, mucho menos, de ciberseguridad, más allá de la típica pérdida de archivos accidental por borrado de un usuario despistado, caída puntual de la línea de comunicación o algún virus aislado, pero sin la menor consecuencia.
No obstante, un día todo cambió. Un día que nunca olvidarán y con unas consecuencias jamás imaginadas marcando un antes y un después.
Un fatídico día, los trabajadores, al inicio de su jornada, intentaron acceder al ERP corporativo –programa de gestión de la empresa- sin éxito. Tras dar aviso al departamento de TI se dieron cuenta de que la base de datos no era accesible y ésta había sido cifrada por un tercero malicioso. Llegar a esta conclusión fue sencillo gracias a un correo electrónico recibido en varios buzones de la compañía, en la que un simpático hacker de Europa del Este, llamémosle Nikolai, les solicitaba un rescate de una muy razonable cantidad de “bitcoins” para facilitarles la clave y descifrar la base de datos que, obviamente, había cifrado él mismo. La Dirección se puso muy nerviosa, como es normal. Se contrastaron alternativas con el personal interno de TI y se contactó al proveedor TI externo de confianza, que les ayudaba regularmente en materia de sistemas y microinformática, quien asumió el liderazgo en la gestión del incidente y se ofreció a prestarles asesoramiento en la materia. Obviamente, no se negocia con terroristas y, gracias a una recomendación en el pasado del citado proveedor, se disponía de una copia en otro servidor de la empresa de hacía exactamente 24 horas. En menos de dos horas se restauró la última copia de la base de datos, perdiéndose únicamente un día de trabajo y volviendo a la normalidad toda compañía, con gran alivio de la Dirección y con grandes parabienes hacia el personal TI interno y su asesor externo por su buen y rápido hacer. Nikolai había sido derrotado y todo había quedado en un susto.
Al día siguiente, se repitió extrañamente el mismo incidente y el ERP tampoco funcionó. Al poco tiempo se descubrió que, supuesta y desgraciadamente, a Nikolai, donde quiera que estuviera, allá en su querida madre Rusia, no le sentó muy bien que no atendieran a su razonable petición, y se enfadó bastante con esta empresa. Se enfadó tanto, que no sólo cifró nuevamente la base de datos, sino que cifró también todas las copias de seguridad. Además, esta vez, no se recibió ningún ofrecimiento de recuperación a cambio de una cierta “donación” de “bitcoins”. Todos los datos que contenía el ERP habían desaparecido para siempre. La peor pesadilla de una empresa. No os diré que hubo final feliz y que apareció una copia mágica en un cajón, porque ya que no fue así. Tampoco os puedo contar el detalle de hasta qué punto ha impactado en la empresa un mazazo de estas dimensiones, y a qué coste han logrado no cerrar, aunque creo que todos nos podemos imaginar la gravedad de las consecuencias, no sólo a corto, si no a medio (y si se sobrevive) a largo plazo.
Esta historia, por desgracia, no es ficción ni hay que remontarse a muchos meses en el pasado. Como moraleja, al más puro estilo de las Fábulas de Esopo, podríamos concluir que, la gestión de la incidencia fue casi inexistente. No se atacó la causa raíz, no se analizó el origen de cómo pudo entrar Nikolai, ni cuál era la brecha. Tampoco se tomaron precauciones para evitar nuevas intrusiones, y no se aisló ni tan sólo la red, ni un largo etcétera de acciones que no se consideraron en esos momentos. Lamentablemente para esta empresa y, haciendo un símil de otro sector, permitió a su médico de cabecera que le operara de una cirugía cardiovascular con fatídicos resultados. El no considerar tener a su lado a personal realmente experto en ciberseguridad que le asesorara correctamente en ese ciberataque, y el no gestionar adecuadamente este incidente de seguridad, tuvo unas consecuencias de las que realmente sólo las llegará a saber la Dirección de la propia empresa.
Fin.
|
|
José Miguel Cardona PastorSocio del Área de Consultoría. División de Seguridad de la Información de Auren. Ingeniero de Telecomunicación por la UPV. Especialidad en Telemática. Máster en Seguridad de la Información, con certificaciones en: CISA, CISSP, CRISC, CISM, ITILf, auditor Jefe ISO 27001/20000, implementador Jefe ISO 22301, etc. Perito en Sistemas de Información. Más de 15 años de experiencia profesional en Seguridad de la Información, Auditoría, Consultoría y Formación. Experto en Control Interno TIC, Seguridad de Firma Electrónica y entornos PKI, Ciberseguridad Auditorías informáticas, Auditoría de procesos, Data Analytics, Protección de Datos y Continuidad de Negocio. Formador de Postgrados. Ponente y colaborador habitual en charlas, congresos y publicaciones/medios. Madrid, España. |
