El ataque de ransomware que desde hace algunos días ha afectado y secuestrado equipos en el Ayuntamiento de Jerez de la Frontera así como en algunas instituciones y empresas privadas vascas entre otros, puede suponer un nuevo impacto para el mundo empresarial y de negocios, al igual que ya ocurrió con Wannacry y NotPetya en 2017 y 2016 respectivamente.
Desde principio de octubre el Ayuntamiento de Jerez de la Frontera tiene equipos y toda su base de datos encriptada y cifrada, lo que impide continuar con los procesos habituales de gestión y atención al ciudadano o al menos, generar retrasos e impactos de diferente índole. Según las últimas informaciones, se solicitaba un rescate de varios bitcoins para devolver los sistemas a la normalidad, cantidad aún por confirmar.
En este sentido, el rescate no es lo más importante en sí mismo. Aunque las empresas pueden haber estado tentadas de pagar el rescate para liberar sus equipos, esto no solo podría fomentar futuros ataques, sino que también podría poner en riesgo la aplicación de sus pólizas aseguradoras. Y, en cualquier caso, los riesgos financieros irían mucho más allá del rescate en sí mismo.
Con mucho más en riesgo que el propio coste del rescate, las organizaciones necesitan tomarse el ransomware y la prevención en materia de ciberseguridad mucho más en serio. Y siendo este tipo de ataques cada vez más comunes, con un incremento anual sostenido del 300% desde 2016, y una media de 4.000 ataques al día solo, la probabilidad e impacto puede llegar a ser cuantiosa.
A diferencia de los programas más comunes que reclaman un rescate y que se distribuyen sistemáticamente a través de campañas masivas de spam y kits de explotación, Ryuk se utiliza exclusivamente en ataques a medida. De hecho, su esquema de encriptación está construido intencionalmente para operaciones a pequeña escala, de modo que sólo se infectan los activos y recursos críticos, llevando a cabo su distribución de forma manual por parte de los atacantes.
Si ya está infectado y requiere asistencia para parar la infección, determinar el impacto o recuperar los datos, puede contactar con nosotros a través de nuestra vía de contacto cyber.solutions@aon.es
Recomendaciones de seguridad
La inversión en seguridad tecnológica y así como la puesta en marcha de procedimientos y protocolos de actuación para preservar los sistemas y la información es muy relevante.
Para saber si su política de gestión de riesgos cibernéticos es adecuada, pregúntese:
- ¿Cuándo fue la última vez que revisó los procedimientos de actualización de parches/vulnerabilidades? ¿Y sus planes de recuperación ante desastres y continuidad de negocio?
- ¿Puede identificar dónde están ubicados sus activos de información críticos? ¿Realiza copias de seguridad con regularidad?
- ¿Dispone de servicios y productos correctamente alineados e integrados que aporten madurez y robustez a sus sistemas?
- ¿Su póliza de seguro de Ciberriesgos le da una cobertura adecuada? ¿Ha tomado las medidas necesarias para poder presentar una reclamación en caso de que se haya visto impactado?
- ¿Ha comunicado y concienciado a sus empleados sobre las últimas técnicas de “phishing” e ingeniería social que utilizan los criminales para atacar los sistemas y la información, o para cometer un fraude contra su organización?
- ¿Tiene un plan de respuesta ante incidentes y lo ha testeado recientemente de forma que todo el mundo sabe qué debe hacer ante un ataque o incidente?
- ¿Están todos los controles técnicos y de procedimiento en vigor y operando de forma correcta?
- ¿Ha realizado recientemente una revisión de seguridad, ha testeado la misma y ha realizado las actuaciones necesarias frente a las recomendaciones de mejora?
Seguros de ciberriesgos y fraude
A pesar de los esfuerzos que podamos hacer, las organizaciones deben ser conscientes de que la seguridad al 100% no existe. El ramsonware es sólo un ejemplo de lo virulento que puede ser un incidente de seguridad, pero muchas veces los atacantes están dentro de la organización o pueden ser consecuencia de un error humano.
Los seguros son herramientas eficaces para transferir el impacto económico de un incidente de tamaño medio y crítico y si bien no eximen a la empresa de seguir invirtiendo en procedimientos y medidas de seguridad, en algunas ocasiones son el primer paso hacia una gestión del riesgo y en pequeñas / medianas empresas, su primera línea de defensa ante incidentes.
Las consecuencias de un incidente por ramsonware pueden ser:
En primer lugar, la intervención de un equipo de respuesta ante incidentes, para:
- Evaluar el alcance de equipos afectados y la posible desconexión de los equipos infectados;
- Determinar si los ficheros han sido encriptados, y en tal caso, poder identificar el malware.
- Identificar qué información se ha visto afectada y por dónde se abrió la brecha de seguridad;
- Identificar si es posible restaurar la información a través de las copias de seguridad, y restaurarla, e
- Identificar si se pueden limpiar y descontaminar los equipos infectados, y proceder en consecuencia.
En caso de no ser posible la recuperación de dicha información, la empresa podría plantearse llevar a cabo el pago del rescate para conseguir liberar sus ficheros. Sin embargo, el pago del rescate es muy controvertido, ya que si bien es cierto que no garantiza la liberación de los datos secuestrados, esto es un modus vivendi para muchas organizaciones criminales, que si tras el cobro no liberasen los ficheros, se acabaría para ellos el juego del ransomware. Cabe destacar que sólo en el primer trimestre de 2016 se recaudaron 209 Millones de Dólares en concepto de rescates, según publica la empresa de ciberseguridad SonicWall.
Por tanto, si la empresa decide llevar a cabo el pago del rescate, deberá enfrentarse además a gastos para asesoramiento y gestión del pago, ya que no todo el mundo sabe cómo y dónde hay que comprar Bitcoins.
En segundo lugar y tras la realización de las anteriores acciones, es recomendable que la empresa se someta a una auditoría para tomar las medidas posibles para que esta situación no se repita. Ya sabemos que no es posible alcanzar el 100% de seguridad, pero el proceso de fortificación de la empresa exige poner todas las medidas de seguridad posible, por tanto, el coste económico sigue creciendo.
Esta situación podría provocar una paralización y consiguiente pérdida de beneficios / extra costes al no poder realizar las operaciones con normalidad debido a la desconexión de equipos afectados, lo que seguiría incrementando la pérdida económica asumida por la empresa.
Los seguros tradicionales no dan respuesta a gran parte de estos gastos. Complementar sus seguros tradicionales con los seguros de ciberriesgos y específicos para fraudes es la mejor manera de procurar una protección integral frente a las consecuencias de un incidente crítico de seguridad. Pero ojo: no todas las pólizas son iguales. Aon les puede asesorar en cuanto al alcance de su actual cobertura y qué productos son más recomendables para conseguir la mayor amplitud de cobertura.
¿Cómo puede ayudar Aon a mi empresa frente a estos riesgos?
Los riesgos tecnológicos, sobre todo aquellos derivados de la seguridad, están en continuo cambio y cada vez son más complejos, y su análisis y mitigación efectiva constituyen un reto para todas las empresas.
Aon ha desarrollado un abanico de soluciones con el fin de ayudar a las empresas a identificar y proteger sus activos críticos y alinear las estrategias de ciberseguridad con la cultura corporativa y tolerancia al riesgo. Tras la adquisición de la empresa STROZ FRIEDBERG, uno de los principales líderes en ciberseguridad, nuestras soluciones van más allá de la tradicional transferencia de riesgos/retención, con capacidades adicionales en el área de prevención, análisis, cuantificación y respuesta ante incidentes.
Puede contactar con un especialista a través de: cyber.solutions@aon.es
