27 de junio de 2017. En las oficinas españolas de Mondelez, matriz de empresas de alimentación como Oreo, Chips Ahoy o TUC, la red informática de los ordenadores ha dejado de funcionar. Nadie sabe qué pasa, aunque se sospecha que será un pequeño incidente puntual, sin mayores problemas.
Pocos minutos después, desde la central mundial de la compañía se lanza la alerta definitiva: han sido atacados por un grupo de ciberdelincuentes que han entrado en su sistema informático y están robando información y datos. Se daba inicio, de este modo, al ciberataque NotPetya, que afectaría a cientos de empresas en todo el mundo como el bufete legal DLA Piper, la farmacéutica estadounidense MSD o incluso el Banco Nacional de Ucrania.
Una crisis de 100 millones
Tras la catástrofe y su posterior solución, llega la hora de hacer un balance de daños, restablecer todo y evaluar las posibles pérdidas. A Mondelez la factura le va a salir cara: sus pérdidas han sido oficialmente estimadas en cerca de 100 millones de dólares. A la empresa no le hace ninguna gracia, pero al menos tiene un ligero descargo: Zurich, su aseguradora, correrá con dichos gastos.
Sin embargo, surge un nuevo problema: Zurich asegura que no debe hacerse cargo de dichos daños, con lo que la multinacional del sector de la alimentación interpone una demanda, de modo que el asunto acabará en los tribunales. Mondelez afirma que en la póliza de seguros firmada también se incluye “la pérdida física o daño a datos electrónicos, programas o software, incluidos los causados por la introducción maliciosa de un código”. Zurich, sin embargo, mantiene que cualquier “acto hostil o de guerra” queda desvinculado de dicho acuerdo.
El coste de un ciberataque
La disputa entre ambas compañías es la primera sobre NotPetya que ha saltado al ámbito público, pero quizá no sea la última, ya que cualquier ciberataque puede causar daños millonarios a la compañía que lo sufra, independientemente de su actividad o incluso de su tamaño.
Porque, ¿cuánto ha costado el ciberataque a las entidades afectadas por este tipo de ransomware? El informe “¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?”, elaborado por Deloitte, hace una estimación muy conservadora de las consecuencias del precursor de NotPetya: cerca de 100 millones de dólares, ya que la consultora solo está evaluando los daños directos y absolutamente verificables.
Sin embargo, hay quien sube la apuesta al hablar de NotPetya: Property Claim Services (PCS) considera que, en total, entre daños directos e indirectos, el ciberataque con este malware a nivel mundial puede haber costado cerca de 3.000 millones de dólares a las empresas afectadas.
Sea cual sea la cifra definitiva, y más allá de posibles estimaciones, una cosa queda clara: un ataque de este tipo no solo consigue romper la ciberseguridad de una compañía, sino que también la enfrenta a sus posibles daños reputacionales y económicos. Y si la empresa aseguradora decide no responder ante ellos, el problema se prolongará aún más en el tiempo.
Cómo evitar estos ciberataques
Este conflicto es un buen ejemplo de las consecuencias que puede tener un ciberataque, pero todavía es más importante saber prevenirlos. Por ello, todas las compañías que quieran mantener a salvo su ciberseguridad empresarial deben seguir una serie de pautas bien definidas.
1.- Ciber-resiliencia. El cibercrimen no solo es incesante, sino que va en aumento y, además, constantemente mejora y redefine sus formas de ataque. Por ello, las empresas deben mantener una actitud de permanente ciber-resiliencia, estando al tanto de las últimas tendencias que los ciberdelincuentes deciden adoptar en sus numerosos actos delictivos. Solo con esta actitud podrán prever a qué tipo de amenazas pueden llegar a enfrentarse.
2.- Concienciación entre empleados. Siempre decimos que, en la mayoría de ocasiones, los empleados pueden ser el eslabón más débil de una compañía y la mejor (y mayor) puerta de entrada para los ciberdelincuentes, ya que sus actuaciones diarias pueden dejar flecos abiertos para que se produzcan este tipo de incidentes. Es por eso que las compañías deben concienciar a sus empleados a la hora de navegar por internet o de descargar según qué archivos adjuntos que lleguen a su correo electrónico. Además, ante cualquier tipo de sospecha, deberán informar a un responsable directo para despejar cuanto antes todo tipo de amenazas.
3.- Auditoría de procesos. La reacción ante un ataque nunca será la mejor opción, a las empresas les conviene tener una actitud proactiva para evitar posibles sustos a posteriori. En este contexto, Panda Adaptive Defense es capaz de monitorizar todos los procesos que se estén dando en un sistema informático de manera automática y en tiempo real, con lo que ejerce una labor preventiva, consiguiendo detectar las posibles amenazas antes incluso de que lleguen a producirse.
4.- Protocolo de actuación. Para cuando el ciberataque no se haya podido evitar, las compañías deberán contar con un protocolo de actuación que aísle los equipos infectados y evite que el ataque se propague entre el resto de dispositivos.
5.- Ciberseguridad como estrategia. El caso de Mondelez y Zurich deja claro un aspecto: los ataques informáticos no deben ser una preocupación solo para los responsables de ciberseguridad, sino para toda la compañía, que debe incluir estos aspectos dentro de su estrategia global.
Y es que un ciberataque no solo coloca a una compañía en el disparadero de la opinión pública de cara a su reputación, sino que también le afectará, y muy gravemente, en su cuenta de resultados. Y ante eso solo cabe una opción: la prevención.