España, no hace demasiado tiempo…
Suena el teléfono. Al otro lado el director general de una empresa. Llama él directamente, quiere que entendamos la gravedad de la situación. Nos dice preocupado: “Tenemos un problema de ciberseguridad. Hemos intentado recuperarnos del ataque pero no somos capaces solos. ¿Podéis ayudarnos?”
No eran clientes, aún. Sólo un profesional asustado por su empresa al que le habían recomendado que nos llamase.
Y empezó la odisea. Lo primero que hicimos, por lo inmediato de la medida, fue revisar de forma remota. Toda su información había sido encriptada por una variante de ransomware (un wannacry de turno, que así lo recordamos todos mejor).
Nos encontrábamos con una empresa de servicios en la que todo el personal usaba el ordenador, pero en la que nadie se había preocupado de mínimos de ciberseguridad: Permisos de usuario administrador sin criterio, antivirus de puesto de trabajo “mejorable”, un semi-firewall sin configurar ni medio bien (“así nos lo dejaron y así está” fueron las palabras del “chico” que les llevaba la “informática”, al que por supuesto todos apuntaron como responsable), y sin copias de seguridad. Bueno, no del todo así, hacían una copia de seguridad en una unidad externa de backup conectada directamente al servidor… que también sufrió el encriptado de la información, como no.
Cuando las cosas pasan, no creas en milagros. Pasan a lo grande.
Resultado: cuando pasaba por los despachos del equipo de administración me miraban con cara de “por favor, arreglad esto”. Estaban volviendo a cargar TODA la información contable de la compañía desde que tenían papel, montañas de papeles que no dejaban ver a la gente hasta que las tenías delante, porque señores… habían perdido todo. Habían vuelto al “paleolítico”. Todos los contratos, la contabilidad, facturas, trabajos, todo. Más de 50 personas paradas recuperando información en papel para intentar salvar su empresa.
En ese momento escuché la famosa frase que todos los que hemos trabajado en ciberseguridad hemos escuchado alguna vez:
“Nunca pensé que alguien pudiera estar interesado en atacar a mi empresa”
«Esto no me va a pasar a mí»
Y cierto, en este caso, nadie estaba interesado en atacar a tu empresa, simplemente atacan. Y te ha “tocado”.
Les recomendamos que no pagasen la extorsión. El famoso «Págame una cantidad indecente de euros y tendrás la información de nuevo».
Pagaron, y fue inútil. Aunque desde el punto de vista de la desesperación, lo entiendo. Es humano.
El equipo con el que trabajaba era excelente, y con mucho esfuerzo consiguieron recuperar parcialmente información. Por suerte, y me alegro mucho, esta empresa sigue funcionando y les sigue yendo bien, pero en otros casos no las noticias al final no son tan buenas.
La buena noticia es también que algo han aprendido de todo ello. Ahora tienen permisos de usuarios bien gestionados, un antivirus de puesto de trabajo y servidor que hacen su trabajo, un firewall configurado «como Dios manda», un sistema de copias de seguridad adecuado a sus necesidades con respaldo en cloud, y muchas más cosas que ya no vienen al caso.
También cuentan con profesionales de ciberseguridad que les asesoramos en el «cómo hacer» y que revisamos su situación periódicamente.
Se han dejado asesorar, y también son conscientes de que todo eso está muy bien, pero no te garantiza que estés libre al 100% de riesgo… por lo que también han contratado una póliza de seguro de ciberseguridad.
Valoraron económicamente todo lo que “invirtieron”, o mejor dicho, no les quedó más remedio que invertir deprisa y corriendo durante el ataque, le sumaron el coste interno del personal sin poder trabajar y un par de cosillas más… La cantidad estaba «a años luz» de lo que les cuesta ahora protegerse y de lo que les habría costado que llegase a ocurrir la «tragedia».
El director general no se lo pensó demasiado. Ni un segundo realmente. Había aprendido la lección de la peor manera posible. Ni sabía que podía hacer la inversión en protegerse, nadie se lo había contado. Sabía lo que había supuesto el “problema de ciberseguridad” con el que empezó la conversación en su llamada… y sabía que podría haber sido peor además.
Os propongo un ejercicio… poneos en la misma situación.
¿Cómo os afectaría? ¿Cuánto perdéis en 1 día de parada de vuestros sistemas?
Y después de ese ejercicio… ¿Cuántos autónomos, directivos de pymes y hasta de grandes empresas no invierten en medidas de ciberseguridad o les parece demasiada la inversión y ajustan tanto que es como si no hiciesen nada pensando que “a mi empresa no la van a atacar, a nadie le interesa”?
No esperes a que te ocurra para darte cuenta de que eso también puede pasarte a ti.
Protege tu negocio.