Ransomware es un anglicismo que, por circunstancias obvias, ya todos conocemos. Los ciberataques a través de secuestro de datos están a la orden del día y son varias las empresas que los han sufrido en los últimos meses. Evitar un ataque ransomware es casi imposible, pero sí que es posible reducir las consecuencias del ataque al máximo posible.

¿Cómo se reduce la repercusión de un ataque cibernético de esta tipología? Simple. Con copias de seguridad especializadas en este tipo de ataques. Backups Antiransom, copias inmutables e inaccesibles, que permitan restaurar la información corporativa sin sobresaltos y, evidentemente, sin tener que recurrir al rescate económico de los datos de empresa.

Durante 2021 e inicios de 2022 hemos podido conocer varios ataques ransom a empresas prestigiosas del territorio nacional. A continuación, un resumen de los ataques más conocidos de esta tipología:

 

1.    El sonado ciberataque ransom de Estrella Damm

La cervecera Damm padeció en noviembre de 2021 un ataque informático que afectó principalmente a su fábrica ubicada en El Prat del Llobregat, la más grande de la compañía, llegando a detener la producción de la misma. Se trató de un ataque de ransomware (secuestro de datos o de acceso a los sistemas informáticos). Este hecho se conocía apenas tres días tras el ciberataque del mismo tipo a MediaMarkt, que afectó a tiendas en varios países europeos, entre los cuales se encontraba España.

La distribución de la compañía cervecera no se vio afectada, al contar con provisiones suficientes, pero sí que tuvo que detener su producción a causa de este ciberataque. En el caso de Estrella Damm la época en que ocurrió – menor consumo de su producto – benefició la recuperación de la normalidad. Sin embargo, fue uno de los casos más conocidos el año pasado y que hizo reflexionar sobre la necesidad de tener cobertura y herramientas de recuperación de datos ante ataques ransomware.

 

2.    Iberdrola: afectada por un ataque ransomware

Iberdrola es el caso más reciente de grandes empresas conocidas en España que han sufrido un ciberataque con secuestro de datos. El Instituto Nacional de Ciberseguridad (Incibe) alertaba el pasado jueves, 31 de marzo, que la empresa I-DE Redes Eléctricas Inteligentes, distribuidora de electricidad del grupo Iberdrola, había sido atacada por ciberdelincuentes. En este caso el ataque ha dejado expuestos los datos de usuarios: DNI, domicilios, teléfonos y direcciones de correo electrónico.

En un comunicado oficial de la empresa a sus clientes detalla que datos financieros tales como los números de cuenta corriente o tarjetas de crédito no han sido vulnerados. Tampoco el consumo eléctrico de los clientes. Tras el ataque ransomware a la empresa, ésta ha puesto en marcha medidas para mitigar el impacto y evitar que vuelva a suceder en un futuro.

 

3.    Ataque ransomware al Servicio Público de Empleo Estatal

El sistema informático del Servicio Público de Empleo Estatal (SEPE) fue víctima en marzo de 2021 de un ataque de secuestro de datos que impidió el acceso al sitio web y paralizó la actividad en línea de la entidad pública. El equipo técnico del SEPE trabajó para recuperar la normalidad y se habilitó una línea telefónica para recibir información de este incidente.

El ataque informático afectó todo el sistema informático del organismo. Un secuestro exprés de datos que afectó a 710 oficinas del SEPE que prestan servicio presencial y a 52 que lo hacen telemáticamente. Una paralización del trabajo que afectó no solamente la productividad de sus empleados, sino el tiempo de los usuarios finales. La recuperación de la normalidad tardó dos semanas en llegar, con las implicaciones burocráticas que eso supuso, especialmente para nuevos demandantes de prestaciones.

Sólo tres meses después de sufrir el mayor ciberataque de los últimos años, el Ministerio de Trabajo volvió a sufrir un ciberataque con la misma técnica. Un secuestro de los sistemas por parte del ransomware Ryuk, con una solicitud de rescate económico para liberarlos.

 

4.    El transparente secuestro de datos de Mapfre

En agosto de 2020 la aseguradora Mapfre reconoció ser víctima de un ataque informático de tipo ransomware. Fue de las primeras empresas en reconocer con transparencia el tipo de ataque y cómo estaban tratando de solventarlo.

Según la AEPD y la cronología del ataque presentada por la empresa, en algún momento el atacante obtuvo las credenciales de una colaboradora externa que accede a su puesto de trabajo de forma virtual. El uso de escritorios virtuales aumentó considerablemente con la pandemia, sin estar muchas corporaciones suficientemente protegidas.

La hipótesis más probable es un caso de phishing, a través del cual el atacante infectara de código malicioso el ordenador particular de la empleada y, posteriormente, capturara la contraseña cuando ésta accedió al puesto virtual en Mapfre.

El 1 de agosto tuvo lugar el primer acceso y durante los días posteriores se producen diversos accesos desde distintos países e intentos de conexión a otros servidores y equipos para obtener las credenciales de usuarios administradores con perfiles de administración superiores. El 7 de agosto el atacante obtuvo las credenciales de uno de los administradores de dominio y trató de exfiltrar información tras analizar la red.

El 14 de agosto a las 21.00 h, en solo 7 minutos, la compañía detecta fallos en varias aplicaciones y se activa el protocolo de Alto Impacto. El Centro de Control General de la aseguradora recibe las primeras llamadas. No es hasta las 4 de la madrugada cuando se consigue identificar el ransomware y se envía a analizar a un tercero, que detecta el código malicioso y comienza a desinfectar los equipos.

Al día siguiente Mapfre contacta con el Instituto Nacional de Ciberseguridad, con el CCN-CERT, con la Dirección General de Seguros y Fondos de Pensiones con el objetivo de darles detalles del ciberataque. La resolución del ataque fue rápida y eficiente y no se perdieron datos de la empresa, lo que hace reflexionar sobre la necesidad de tener un equipo técnico eficaz ya sea interno o externo.

 

5.    El ciberataque ransomware a la UOC que bloqueó su campus virtual

La Universitat Oberta de Catalunya (UOC) sufrió un ataque de tipo ransomware los primeros días de 2022 que impidió a su comunidad el acceso al campus virtual. La institución anunció el ciberataque sin afectación a datos personales de los usuarios del campus. En 24 horas fueron capaces de restablecer la actividad docente y afectó principalmente al área de gestiones académicas.

El ataque de la UOC vino justo después del sufrido por la Generalitat y el de la Universitat Autònoma de Barcelona. En el segundo caso, la normalidad no se pudo recuperar durante semanas y afectó a la información y día a día de más de 50.000 personas.

 

En conclusión, los ataques de tipo ransomware no son fácilmente evitables. A través de distintos métodos como el phishing, el atacante puede acceder a los datos de la empresa. Ahora bien, es muy importante estar preparados y disponer de las herramientas de seguridad adecuadas para no sufrir grandes pérdidas para la empresa.

Proveedores informáticos como OnWork IT & Cloud, cuyo principal objetivo es la seguridad de los datos de las empresas, son fundamentales en el plan de ciberseguridad de cualquier empresa: de la más pequeña a la más grande.

"Existen dos tipos de empresas: las que han sido atacadas y las que lo serán, perdiendo información valiosa, productividad y beneficios."

– Marc Piquer (CEO de OnWork Grup)

Marc Piquer

¡Hola! Déjanos tus datos y nos pondremos en contacto

    Open chat
    1
    💬 ¿Necesitas ayuda?
    OnWork Grup
    ¡Hola! 👋
    ¿En qué te puedo ayudar?