Siempre hay un paciente cero. Y en la mayoría de las ocasiones es un empleado de la empresa que se descarga de forma involuntaria un fichero. Podría estar sucediendo ahora: estos días, el grupo de ciberdelincuentes BlackBasta está enviando un phishing haciéndose pasar por miembros del soporte técnico de Microsoft Teams para engañar a las víctimas y tomar el control remoto del ordenador. Los atacantes aprovechan la configuración por defecto de Teams que permite recibir llamadas y mensajes de dominios diferentes al corporativo. Se infiltran así en los equipos y provocan uno de los quebraderos de cabeza para las empresas. Un ciberataque.
¿Qué es lo que ocurre a partir de ese momento? Cuando salta la alarma, comienza una carrera contrarreloj en la que la organización debe actuar con velocidad y eficacia ante el riesgo de perder operaciones y clientes en pocas horas, según explican los expertos consultados. Lo primero que ha de hacer el empleado, indican, es desconectar lo antes posible el ordenador del wifi y quitar el cable de red. Y notificar lo ocurrido. Eso en los casos en que sea consciente de lo que acaba de ocurrir. La organización debe activar en ese momento los protocolos previstos y cumplirlos a rajatabla. Si dispone de ellos, claro.
Por ciento Es el porcentaje de incidentes por acciones no intencionadas de empleados y el 80% de ellas se habría impedido con concienciación, dice KPMG
La consultora Deloitte, que cuenta con un centro de ciberseguridad en Madrid en el que presta asistencia a nivel global, tiene instalada una war room para combatir los ataques. Según explica el socio responsable de esta área, Xavi Gracia, dispone de un equipo específico de respuesta de incidentes. Es el comando que se despliega cuando la prevención y los cortafuegos no han sido suficientes.
La metáfora del incendio funciona en estos casos. Sergi Gil, socio de Ciberseguridad de KPMG en Catalunya, Baleares y Andorra, alude a la importancia de actuar con velocidad, eficacia y conforme a los protocolos. “Si hay un fuego, hay que seguir unas normas. Debes saber cuántas habitaciones hay y que en algunas de ellas no se puede entrar”. Es el momento de actuar con sangre fría y aplicar lo ensayado. “No more cowboy style”. “Follow the rules and the protocols”. “Fail fast, learn faster”, son consignas que se repiten en el momento de máxima tensión.
Identificar. Proteger. Detectar. Responder. Recuperar. Son los pasos que cita Jesús Romero, socio responsable de Business Security Solutions de PwC España, cuando se ha producido el ciberataque. “Es una situación compleja que requiere una respuesta planificada y preparada”, afirma. Las 24 primeras horas son cruciales y en ellas el departamento informático debe abrirse a la dirección.
El comité de crisis ha de incorporar a responsables de datos, al equipo jurídico y al de comunicación para manejar la relación con proveedores, empleados y medios de comunicación. En función de la gravedad y de las empresas, es necesario informar al consejero delegado.
Variantes Son las variedades de malware detectadas el año pasado, con 637 nuevas amenazas, según SonicWall
“En un mundo hiperconectado, la diferencia no está en evitar incidentes, sino en la rapidez y eficacia con la que se gestionan”, asegura Rubén Frieiro, socio de Ciberseguridad de Deloitte. Desde la firma indican que el problema comienza a nivel tecnológico, pero puede generar al menos cuatro tipos de daños: reputacional, de continuidad del negocio, de disponibilidad y de pérdida de confianza.
En los informes mensuales que la consultora distribuye entre clientes aparecen nombres de ciberdelincuentes con blogs con nombres como sarcoma, termite , cloak , donutleaks o medusalocker . Todos ellos van publicando en distintos blogs los nombres de sus víctimas.
¿Y cómo se recuperan los datos? ¿Hay que pagar un rescate? Los expertos coinciden en que es ilegal y en que recomiendan a los clientes no hacerlo. “Si pagas, entenderán que pueden volver a atacarte”, señala Gil. “Son delincuentes, no son pocos los que siguen extorsionando a los que pagan”, indica Romero desde PWC. “Pueden estar financiando actividades como el terrorismo, lo que puede generar un enorme problema reputacional y legal a la empresa”, avisa Frieiro.
Cuatro pasos tras el ataque
Desde KPMG, Sergi Gil identifica los cuatro pasos que deben abordarse tras detectar que la empresa ha quedado infectada. El primero es el de contención para aislar los sistemas y poner barreras. El segundo, el de investigación de lo ocurrido y su alcance. El tercero, el de comunicar lo sucedido, si procede, a empleados y proveedores. El cuarto, el de mitigación, para entender el incidente y tomar medidas de cara al futuro.
Al sufrir el ataque, explica, las empresas también deben reportar al exterior, generalmente a la Agencia Española de Protección de Datos y, en los casos más sensibles, al Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
En enero, Deloitte detectó 488 víctimas de ataques entre sus clientes, de las que el 51% era estadounidense.
