PyME/Empresa

Ataque de ransomware: el día en que mi mundo se detuvo

Avast SMB Customer, 17 mayo 2018

El ransomware acapara los titulares, pero ¿qué supone un ataque de este tipo para la oficina de una pequeña empresa? Un afectado nos cuenta su historia.

«Te sientes invadido y vulnerable. Era su empresa, su criatura, y unos hackers podrían haber acabado con ella por solo para obtener algo de dinero».

Nombres como Bad Rabbit, WannaCry y CryptoWall son noticia por el enorme impacto que tienen sus ataques de ransomware. Los hackers les costaron a las personas y a las empresas 5 mil millones de dólares en 2017 y se prevé que en 2018 se va a alcanzar la increíble cifra de 11.500 millones de dólares. Solamente Avast bloqueó 132.000.000 ataques de ransomware en 2017.

Casi todo el mundo sabe cómo funciona el ransomware, pero ¿qué ocurre cuando te ataca a ti y a tu empresa? ¿Qué se siente cuando el jefe anuncia: «Hemos sido atacados»?

Hemos hablado con Chris*, quien nos ha contado un caso de lo que ocurre cuando el ransomware afecta a tu empresa. Esta es su historia, una descripción detallada de cuatro días que nunca olvidará.

«El problema no fue solamente que nos atacase, sino que se extendió», dice Chris.

* El nombre de Chris se ha modificado y algunos de los detalles se han omitido o alterado para proteger la identidad de las personas afectadas.

Prólogo

«Éramos una empresa emergente (situada en Europa) que vendía productos de alta gama por Internet a clientes de todo el mundo.

«En ese momento yo era el director de marketing. Aunque he trabajado muchos años en medios digitales, mi conocimiento técnico no era muy amplio, pero manejábamos datos confidenciales, por lo que sabía que debíamos tener protección. No teníamos información sobre tarjetas, pero sí nombres y direcciones postales y de correo electrónico».

«Tu grado de solidez viene determinado 
por tu eslabón más débil».

«Sentí que les debíamos a nuestros clientes el cuidado de sus datos, que fueran privados. También se puede contratar un seguro por pérdida de datos, pero la cobertura depende de tu nivel de protección.

«El director general pensaba que tenía muchos conocimientos informáticos y era muy cauteloso sobre la seguridad con la que contábamos. Creo que lo que teníamos era muy básico y no cubría a toda la empresa, solo a los servicios integrados que vienen con los ordenadores al comprarlos. Pero sucedió...».

Ransomware-attack-1

Día cero: el día previo

«Empezó como un día normal. Por la tarde, casi al final del día de trabajo, algunas personas se dieron cuenta de que no podían abrir ciertos documentos. Yo no tuve ningún problema porque, al trabajar en marketing, estaba usando principalmente servicios en la nube y redes sociales. El problema afectó sobre todo al personal que lleva las cuentas y al que se encarga de las preguntas de los clientes. La gente pensó que sería simplemente un fallo y que estaría solucionado cuando encendieran los ordenadores al día siguiente. Nadie le dio demasiada importancia».

Ransomware-attack-2

Día 1: el ataque

«A la mañana siguiente, todo el mundo llegó como siempre y encendió su ordenador. Sin embargo, esta vez, nadie pudo abrir ningún documento. Al hacer clic en algún archivo, se abría un extraño documento de texto lleno de código sin sentido. Comprobamos que los archivos no eran del mismo tipo que los anteriores, sino más bien archivos de imagen que hacían que pareciesen los originales.

»El director general llegó cuando todo el mundo estaba preguntando a los demás si estaban teniendo problemas al abrir documentos del servidor y todo el mundo contestaba afirmativamente.

»Se sentó en su mesa de nuestra oficina diáfana y arrancó su ordenador. Unos minutos después, maldijo y dio un puñetazo en la mesa. Luego se levantó y se llevó las manos a la boca. Se quedó así entre 10 y 15 segundos y, a continuación, le gritó a todo el mundo que desconectaran los ordenadores, los cables de red y todo lo que estuviera conectado en ese mismo momento.

»Era un hombre bastante imponente, así que, cuando decía que hicieras algo, lo hacías. Todos pudimos sentir la emoción y el pánico en su voz. Además, él no solía comportarse así, con lo cual supimos inmediatamente que había algún problema, y todo el mundo se metió debajo de las mesas y desconectó todo».

El correo electrónico

«Después de esto, nos convocó en la sala de reuniones para informarnos de que había recibido un correo electrónico de los hackers en el que le decían que habían tomado el control de su servidor, que habían bloqueado los documentos y que, si quería recuperar todo, les tenía que dar 15.000 € en criptomonedas. Además, también ponía que, para que viese que tenían buena voluntad y demostrar que le podían devolver los documentos, desbloquearían los dos que quisiese. La empresa tenía tres días para tomar una decisión.

»El director nos preguntó si alguien había tenido algún problema con sitios web o correos electrónicos sospechosos. Nuestra jefa de operaciones le comentó que había recibido una factura en PDF y que, al abrirla, se dio cuenta de que era para otra persona, pero respondió al remitente para explicarle la situación y no supo nada más. A esto, el director general le preguntó que por qué nadie le dijo nada, pero a nadie se le ocurrió en ese momento, ya que ella recibe docenas de correos electrónicos de clientes, siempre con direcciones de correo electrónico desconocidas, por lo que no era tan raro.

»Nos preguntamos si parte del problema surgió porque no apagó el ordenador después de esto, lo que pudo hacer que los hackers tuvieran 12 horas antes de que volviera al trabajo para atravesar nuestro básico antivirus y entrar en el servidor. La mayoría teníamos algún antivirus gratuito en el ordenador, pero no todo el mundo y, cuando estás vinculado a una red, tu grado de solidez viene determinado por tu eslabón más débil.

»Inmediatamente nos descargamos un software antivirus y antimalware gratuito, mientras buscábamos una solución más duradera.

»Nuestro jefe respondió a los hackers y les pidió que desbloquearan un documento y, en ese momento, fue cuando empezamos a recibir cada vez más correos de ellos, amenazantes, por supuesto».

Los hackers

«Parecía que los ataques estaban automatizados y que habría cientos, o quizás miles, de virus funcionando en servidores y redes. Más tarde, cuando el director general respondió al correo electrónico para pedirles que desbloquearan los documentos, los hackers supieron que habíamos picado el anzuelo.

»Estaba claro que el inglés no era su primer idioma. Las palabras estaban, pero la gramática no era correcta. Nos dimos cuenta de que en la traducción usaron lenguaje coloquial y jerga, por lo que nos pareció que los hackers serían muy jóvenes, poco menos de 30».

Ransomware-Attack-3

Día 2: el daño

«Éramos una empresa emergente, por lo que 15.000 € era mucho dinero. Los jefes se reunieron para evaluar el valor de la información: los datos, el tiempo para recopilarlos, la información sobre los clientes, los informes de ventas anteriores, los bienes, los vídeos y la fotografía de productos. También pensamos que si les pagábamos podrían creer que éramos un blanco fácil y lo volverían a hacer, por lo que había que añadir el coste de deshacerse de lo que fuera que estaba pasando y de adquirir lo que necesitábamos para estar protegidos de cara al futuro.

»Mientras decidíamos qué hacer, algunos trabajadores salieron a comprar ordenadores nuevos para que la empresa pudiera seguir adelante. Así, pudimos seguir recibiendo pedidos, pero tuvimos que recurrir al bolígrafo y al papel para registrar las transacciones».

El miedo

«El personal de la oficina estaba realmente preocupado no solo por la empresa, sino por sus propios datos personales. Muchas personas tenían sus propios ordenadores y móviles en la red, y todos nos preguntábamos si los hackers habrían podido acceder también a nuestros datos personales, a las fotos de boda de las que no habíamos hecho copia de seguridad, a la información bancaria que teníamos en Internet o a la información de las redes sociales, además de si infectaría a nuestras familias y amigos a través de nuestros correos electrónicos personales. Así, tanto yo como el resto del personal llamamos a nuestros familiares y amigos para decirles que no abriesen ningún correo electrónico que hubiesen recibido recientemente de nuestra parte».

Ramificaciones

«También sabíamos que teníamos que contener esto. El director nos dijo que no se lo podíamos contar a nadie. En ese momento estábamos buscando inversión externa y sabíamos que esto influiría negativamente en nuestras oportunidades de conseguirla. Nos preguntamos quién querría invertir en una empresa insegura que se gasta 15.000 € para pagar un rescate, sobre todo si creen que puede volver a ocurrir. ¿Y qué pasa con los clientes? ¿Debíamos decírselo? Eran sus datos, sus direcciones de correo electrónico, etc.

»Descubrimos que nuestro sistema de correo electrónico no estaba infectado, por lo que pudimos obtener muchos de los datos perdidos de los correos electrónicos. También teníamos los dos documentos que los hackers desbloquearon.

»Nuestro director consiguió negociar con los hackers. Les dijo que éramos una pequeña empresa emergente y que no teníamos 15.000 €. Así, ellos respondieron que nos hacían una rebaja, que debíamos pagar 10.000 € ¡Una rebaja! Imaginamos que buscaban simplemente conseguir dinero fácil, por lo que era posible que aceptaran cualquier cosa, era dinero gratis para ellos».

Ransomware-attack-4

Día 3: la decisión y el plan

«Después de una larga y complicada deliberación, tomamos una decisión: no íbamos a pagar a los hackers, pero estábamos expuestos. Necesitábamos estar limpios y protegidos antes de la fecha límite, es decir, antes de que se dieran cuenta de que no íbamos a pagarles nada, para que no pudieran hacernos más daño. Nos dimos cuenta de que la información que teníamos, aunque fuera importante para nosotros, no tenía ningún valor para nadie más, por lo que los hackers no ganarían nada si la publicaban. Nos haría daño a nosotros, pero su objetivo era conseguir dinero, no ensañarse con una empresa al azar.  

»Solo teníamos 24 horas hasta la fecha límite y debíamos estar preparados.

»Podíamos ver todos los archivos cifrados del servidor, por lo que sabíamos qué documentos teníamos que recuperar».

El plan

«Era fundamental que la seguridad ya estuviese en funcionamiento, por lo que actualizamos inmediatamente el software antivirus a la versión de pago prémium.

»Llamamos a un especialista en informática que vino ese mismo día a mirar el servidor. Desconectó todo, lo limpió y se aseguró de que el nuevo software contase con una barrera lo suficientemente sólida como para esquivar futuros ataques.

»No tuvimos que cambiar el servidor, pero sí compramos uno nuevo de respaldo en que se haría una copia de seguridad del principal al final del día y luego se desconectaría para que estuviese protegido.  

»Yo no hablé con el especialista, pero aparentemente conocía perfectamente este tipo de amenaza. De hecho, le comentó al jefe que cada vez lo llamaban más para ese tipo de asuntos. Además, también le indicó que el ataque era muy complicado en el fondo, pero que se podía frenar fácilmente si se pagaba por el antivirus adecuado, porque, de esa forma, cuentas con una empresa que trabaja para asegurarse de que estés a salvo. La protección antivirus no es tangible ni visible, por eso, no lo vemos como algo cercano y muchas personas no tienen mucha idea sobre esta cuestión, como nos pasó a nosotros».

Ransomware-attack-5

Día 4: las consecuencias y el cálculo de los costes

«Es difícil saber exactamente cuánto dinero perdimos. El informático nos costó 4.000 € y el nuevo servidor, prácticamente lo mismo. Nadie de la oficina pudo trabajar durante tres o cuatro días porque estuvimos recuperando todos los documentos antiguos. Aunque podíamos seguir recibiendo pedidos en nuestras instalaciones, no podíamos procesarlos, por lo que las entregas a los clientes se retrasaron. Estaba en juego el salario de 12 personas, pues no podíamos generar ningún ingreso. Puede que esta cifra no parezca mucho dinero para una gran empresa, pero para una emergente como la nuestra era un gran coste».

El coste humano

«El director nos dijo que estaba harto, que todo estaba corrompido. Le robaron una vez cuando estaba en su casa y fue lo mismo: alguien que no quería que entrase, lo hizo, se llevó todas sus cosas y lo amenazó. Emocionalmente, es lo mismo, te sientes invadido y vulnerable. Era su empresa, su criatura, y unos hackers podían acabar con ella solo para conseguir algo de dinero.

»Además, la situación también tuvo un gran impacto en el equipo. Todo el mundo sentía esa estremecedora intranquilidad. Todos abríamos los correos electrónicos con mucha precaución y nos concienciamos de apagar los ordenadores al final del día. Pasó mucho tiempo hasta que las personas volvieron a conectar sus dispositivos personales a la wi-fi del trabajo.  

»Pusimos en marcha un protocolo para aquellos casos en que alguien notara algo raro en los ordenadores.

»Aunque es posible que fuera la jefa de operaciones la que "lo dejó entrar", nadie la acusó. Todos sabíamos que nos podía haber ocurrido a cualquiera».

Antivirus: amor-odio

«Es gracioso: las personas odian que aparezcan en sus pantallas los pequeños avisos de actualización de los antivirus, pero a nosotros nos hacían sentir más seguros. Sentíamos que no estábamos solos y que no éramos responsables de nuestra ciberseguridad o, por lo menos, que no lo éramos solo nosotros.

»Trabajé en la empresa varios meses después de lo sucedido y no hubo más ataques».

Epílogo: consejo para las pequeñas empresas y las emergentes

«Me gustaría decir dos cosas:

¿Qué es lo más importante?

»Debe saber cuáles son sus bienes de mayor valor. Para algunas empresas, son las existencias o las relaciones, pero para otras muchas son los datos. En este caso, debe asegurarse de que están protegidos. Con esto me refiero a que sus ordenadores y tabletas son muy importantes, ya que constituyen la puerta de acceso a los datos».

Las pequeñas empresas ESTÁN en peligro

«Demasiadas pequeñas empresas piensan que, debido a su tamaño, los hackers no las molestarán; sin embargo, ellos no usan esa estrategia, los virus pueden atacar a todo el mundo porque la tecnología lo hace posible.

»Un ataque de ransomware de 15.000 € puede hundir a una pequeña empresa. De hecho, estuvo a punto de hacerlo con la nuestra. Una gran empresa tiene más capacidad para asumir este coste o combatir el ataque. Los hackers saben que las personas que poseen su propia empresa harán todo lo posible para protegerla. Sin embargo, también son conscientes de que son más vulnerables porque la ciberseguridad no es su principal preocupación, lo que también puede salir caro a una pyme. Por este motivo fijan su objetivo en las pequeñas empresas: es dinero fácil».

Nuestra conclusión final es que se asegure de proteger los dispositivos de su empresa.  Haga clic aquí para obtener más información sobre la protección antivirus de terminales para pequeñas empresas.