La prevención es sin lugar a dudas la mejor arma…pero en la actualidad y en el grueso empresarial, la realidad sigue siendo una estrategia reactiva.
Durante la semana pasada se vivieron en España y en muchos lugares del mundo, momentos de nerviosismo dentro de los departamentos de seguridad (en caso de que contaran con ellos), de algunas empresas.
Durante la semana pasada, la sombra que se expandió por el mundo entero hace unos años del WannaCry volvió a asomar. Y es que, en muchas de estas empresas durante esos días se escuchó repetidamente la frase «Ransomware…¿y ahora qué?». Algunas confirmaban a autoridades públicas como el DNS o INCIBE que habían sido afectadas por un Ransomware. En varios grupos de redes sociales, los rumores ascendían como humo negro y varias empresas fueron las que tuvieron que hacer un importante trabajo de comunicación para desmentir que no habían sido afectadas por dichos ciberataques. «Habíamos tenido esa suerte», nos comenta algún responsable de ciberseguridad de una importante empresa. Y es que aquí, puedes estar muy protegido, pero cuando sale a la luz un ransomware que está afectando a varias empresas, se desconocen en los primeros momentos, su origen, tipología o alcance…ahí es cuando todos cruzan los dedos basándose en la razonable verdad de que la seguridad completa no existe.
Os confirmamos que Accenture NO ha recibido ningún ciberataque y que estamos operando con absoluta normalidad
— Accenture España (@AccentureSpain) November 4, 2019
Por tanto, a la famosa lista de Ransomware que han causado cierto daño y revuelo mediático, en la que ya se encuentran algunos como Wannacry o NotPetya debemos añadir Bitpaymer, BlueKeep, Ryuk…
…¿Y ahora qué? El papel de los ciberseguros
Una vez ocurrido el ciberataque, el despliegue de medios debe de ser inmediato. En una empresa pequeña donde no existan conocimientos in house concretos y no exista un plan de respuesta establecido ante este tipo de incidentes, quizás el ciberseguro sería una buena opción para poder comenzar a trabajar una vez ocurrido el hecho.
Aún así, siendo una gran empresa, como hemos visto las empresas que han sido afectadas esta última semana por el ransomware, el coste es tremendo.
Estamos hablando de que su actividad debe de parar (al menos parte de ella), por lo que hay un primer impacto económico y negativo en su cuenta de resultados de manera directa. Un segundo impacto económico, negativo e indirecto lo encontramos en la pérdida de reputación. Y es que un ciberataque y más cuando el alcance en medios generalistas es importante, suele causar una gran pérdida de confianza entre sus clientes.
Por supuesto y en este caso concreto, ante un ransomware, debemos de hablar del coste del rescate. En primer lugar cabe destacar que tanto profesionales como instituciones públicas como INCIBE aconsejan que no se debe de pagar el rescate en ningún caso. Aún así, son muchos los ejemplos actuales de empresas e incluso ciudades, sí, ciudades, que han acabado pagando el rescate de sus ciber secuestradores.
Todos estos costes de reputación, parada de la actividad, rescate, plan de actuación tras el ciberataque, de respuesta, de informática forense…suelen estar recogidos ya en algunos ciberseguros para empresas de las principales aseguradoras que están en el mercado. Es por ello por lo que este tipo de seguros, está creciendo tan rápidamente en los últimos años. Para que la respuesta a «¿Y ahora qué?», sea mucho más fácil.
Aún así, los ciberseguros actuales deben de evolucionar mucho. Tanto, que deben de convertirse en ciberseguros vivos que vayan actualizándose conforme va evolucionando los ciberataques. Y además de este reto, deben de convertirse en seguros proactivos y no solo reactivos, de manera que un ciberseguro incluya un plan preventivo de ciberseguridad que ayude a prevenir muchos de los ataques actuales, reduciendo el ciberriesgo de la empresa final y por supuesto, de la aseguradora, que en este contexto asume una gran incertidumbre.
Comentario de Borja Pérez, Country Manager de Stormshield Iberia
Los ataques de ransomware del pasado, 4 de noviembre, no hacen sino confirmar la tendencia que venimos observando en Stormshield en los últimos meses. Tras un 2018 en el que descendió este tipo de ataques, frente a otros como el minado de criptomonedas, vemos un repunte en 2019.
Los primeros rumores del lunes hablaban de varias empresas, como si se tratase de una campaña organizada de ataques. Lo que vamos sabiendo horas después es que se puede confirmar que se han visto afectados la Cadena SER y la consultora Everis, además, por distintos tipos de ransomware: Ruyk en el caso de la SER y BitPaymer/IEncrypt en el de Everis. Además, en este segundo caso, se ha comprobado que, por la extensión de los archivos cifrados (.3v3r1s), se trata de un ataque dirigido. Esto coincide con la tendencia de los últimos meses de ataques dirigidos contra todo tipo de empresas y organizaciones, desde ayuntamientos a hospitales, en todo el mundo. Como ejemplos de este tipo de ataques ransomware (dirigidos) están los sucedidos contra Norsk Hydra y el ayuntamiento de Baltimore.
Como conclusión podemos afirmar que detrás de estos incidentes no se esconde una campaña orientada contra empresas españolas, sino que son ataques, muchos de ellos dirigidos, a escala mundial. Ante estas campañas globales, debemos hacer las recomendaciones habituales de actualización de sistemas, adecuación de las políticas de seguridad incluida la concienciación, y el mantenimiento de backups actualizados que hagan posible la recuperación de los datos.