Un día, a Lorenzo Martínez, CTO de Securízame, le sonó el teléfono: tenía que ir a una empresa. “Tenemos un hackeo”, le dijeron textualmente. La historia le sonaba un poco peliculera, pero resultó ser cierto que, como poco, estaban pasando cosas raras: “Les imprimían cosas en la impresora, le decían que les veían por las cámaras, les dejaban mensajes en su web de que habían accedido sus servidores y los tenían controlados…”. Ojo, parece que aquí hay algo serio.
Fue entonces cuando comenzó la investigación: “Todo apuntaba al ordenador de un empleado, al que además yo conocía personalmente. Tuve una reunión con él y me juró y perjuró que no había sido. Incluso decía que a lo mejor su PC podía estar siendo utilizado por otra persona”. La teoría podría ser cierta, nos reconoce, pero Lorenzo Martínez se dio cuenta de dos cosas: “En cuanto empezamos a analizar el incidente dejó de haber ataques”. Además, el empleado sospechoso “empezó a borrar cosas. De ahí para atrás costaba ver un montón de información como si le hubiera echado lejía al ordenador”. Y hubo un punto que fue el detonante final: “En mitad de la investigación, el empleado se fue de la empresa”.
El final es el que todos sospechamos: “Había sido él, era un insider. Aunque se fue, encontramos lo suficiente para probar su actividad. Fue una cosa muy heavy”. Martínez nos cuenta esta historia en el quinto capítulo de Trabaja en Ciberseguridad, dedicado a los profesionales de respuesta ante incidentes que entran en acción en cuanto hay un ciberataque.
O te recuperas rápido… o te arruinas
Cuando empieza un ciberataque, empiezan también dos cuentas atrás: la primera, el tiempo que tarda el afectado en darse cuenta del ataque; la segunda, el tiempo que tarda en apagarlo y recuperarse. De la primera dependerá que la empresa siga funcionando o no; de la segunda, su propia supervivencia como empresa.
Cualquier empresa puede sufrir un ciberataque, pero como no sea rápida en contenerlo y recuperar su estado inicial, corre un serio peligro de arruinarse. Y en este contexto, ¿cuánto tarda una empresa en recuperarse de un ciberataque? Según un informe de Dell, el 92% de las empresas atacadas no es capaz de detectarlo y recuperarse de manera rápida. Pero, ¿qué entendemos por ‘detectarlo y recuperarse de manera rápida’? El año pasado, el estudio Cyber Security Breaches Survey de Ipsos MORI les preguntó a diversas empresas británicas cuánto tiempo les llevó volver a la normalidad tras un ataque. Sus cifras, por suerte, son mucho más optimistas que las de Dell: apenas el 11% tardó más de un día en recuperarse.
Y es que a medida que corre el tiempo aumentan los riesgos. Según el análisis de Alvaka, una recuperación de entre una o dos semanas es más que aceptable, pero a partir de ahí empieza a peligrar la cosa. Y el tiempo sigue pasando: como la empresa tarde más de dos meses en recuperar la normalidad, puede darse por arruinada.
Recuperarse de un ciberataque cuesta tiempo, pero, sobre todo, cuesta mucho dinero. Muchísimo. En 2018, Accenture hizo una investigación –ceñida solo a las grandes empresas– para evaluar el coste de un ciberataque. Las cifras dan pánico: en Estados Unidos llegaban a los 27,37 millones de dólares, mientras que en países hispanohablantes como España el número sigue asustando: 8,16 millones de dólares.
Y como muestra, varios botones. Varonis analiza tres grandes ciberataques: el de Uber de 2016, el de Marriott de 2014 y el de Target de 2013. En todos ellos evalúa cuánto tiempo tardó la empresa en darse cuenta del incidente, cuánto dinero le costó recuperarse y cuántos usuarios se vieron afectados. Las cifras, de nuevo, asustan.
El atacante al que le sacaron hasta el número de Whatsapp
Pese a los incidentes graves, que son los más llamativos y los que más dinero cuestan, lo cierto es que lo más frecuente en el día a día de una empresa son los incidentes menores. Nuria Prieto Pinedo, del Grupo de Respuesta a Incidentes Informáticos de la UC3M, nos cuenta uno de ellos: “Tuvimos un alumno que decidió cambiarse la nota de una asignatura en la base de datos. Se puso un 6 o un 7, tampoco fue gran cosa”. La estratagema habría tenido éxito… si no fuera por la metedura de pata: “Las notas verdaderas eran ‘Apto’ o ‘No apto’, así que su nota numérica cantaba mucho”, reconoce Prieto entre risas.
Otra de las más interesantes nos la trae Alejandro Aliaga, general manager de Disruptive: “En un banco donde estábamos trabajando, una noche de repente detectamos unos movimientos extraños, una serie de acciones en determinados ordenadores y empezamos a investigar”. Por suerte, se trataba de un pequeño susto: “Nos dimos cuenta de que no era un ataque, sino una simulación que se había contratado una empresa externa para ponernos a prueba”.
La cosa podría haber terminado allí, pero nada más lejos de la realidad: “Quisimos ir un poquito más allá y llegamos hasta el punto de encontrar nombre, apellidos y hasta el teléfono de la persona que estaba haciendo el ataque. Por un lado, le mandamos un Whatsapp a esa persona y le dijimos ‘Te hemos pillado’. Por otro lado, llamamos a nuestro director y le dijimos ‘Sabemos que estáis haciendo una simulación, los hemos pillado, y además te vamos a decir nombre y apellidos de la persona que está haciendo el ataque”. Si eres un ciberdelincuente, recuerda: si lanzas un ciberataque, tienes ciertas posibilidades de que no te pillen. Pero como te pillen, estás perdido.
Recuerda que puedes ver las demás entradas a nuestro Blog de Trabaja en Ciberseguridad a través de este enlace.
Formación Relacionada
