Jesús Romero, responsable de lo Servicios de Seguridad para Empresas de PwC, ha destacado que la inversión en la respuesta a incidentes permitiría a una empresa minimizar la exposición a un ciberataque, así como reducir el tiempo para remediarlo.
En este contexto, ha apuntado que las grandes empresas normalmente han hecho «inversiones razonables» en personal, tecnología y procesos para la detección y la prevención, pero queda «mucho por trabajar en la respuesta».
Asimismo, ha subrayado que un incidente como este que obliga a parar una empresa tiene un coste «muy alto», ya que a corto plazo afecta a la continuidad del negocio y en algunos casos, si se producen varios días de parón, puede llevar a una quiebra en la empresa.
Respecto al malware que ha afectado a varias empresas este viernes, ha explicado tiene «dos vectores de ataque», por un lado un comportamiento de gusano que hace que se vaya expandiendo y replicando por las redes y, por otro, un ransoware, un cifrado de los archivos de una maquina, secuestrándola y pidiendo un rescate.
VULNERABILIDAD DE MICROSOFT
En este caso, el software ha aprovechado para propagarse una vulnerabilidad de Microsoft conocida desde hace unos meses y que las empresas infectadas no han corregido. «La vulnerabilidad por la que ha sufrido el ataque Telefónica es una vulnerabilidad de Microsoft conocida desde hace una meses», explica.
En concreto, ha apuntado que en los ordenadores de Telefónica afectados por el ataque no se habían parcheado correctamente los sistemas de información y, además, el software antimalware preventivo tampoco ha sido capaz de pararlo.
El ‘ransoware’ como el que ha afectado a Telefónica este viernes pide a la compañía un rescate para darle la clave que le permita acceder a la información que ha cifrado el virus, por lo que la compañía tendrá que plegarse a la exigencias del atacante, salvo que el ‘malware’ este mal hecho y el cifrado no sea robusto, algo que solo pasa de forma excepcional.
«Si el cifrado del ‘ransomware’ es suficientemente bueno, y normalmente lo es, las tres opciones son pagar, recuperar los ficheros desde una copia de seguridad o perderlos si no la tiene o no pagas», ha remarcado Romero, quien ha añadido que esta es la definición de ‘ransomware’.
Sobre el origen del ataque, Romero ha remarcado es difícil de saber y requerirá una investigación forense, ya que puede ser desde un ataque premeditado muy dirigido a Telefónica en el que alguien haya introducido y ejecutado el ‘malware’, incluso trabajando con alguien desde dentro o que a algún empleado le haya llegado el software malicioso al correo en un adjunto y lo haya abierto.
Por otro lado, Romero ha incidido en que cada vez existe una mayor simetría entre los atacantes y los atacados y el cibercrimen «está sustituyendo al crimen tradicional». Por ello, el escenario de amenazas cada vez es mayor, a lo que se suman los riesgos tecnológicos de la transformación y el negocio digital.
«En este nuevo escenario lo que tienen que hacer las empresas, aparte de cosas conocidas y clásicas como parchear los sistemas, que es muy necesario, es prepararse conventiemente para las respuestas, igual que ocurre en el mundo físico», ha resaltado.
Por otro lado, Romero prevé que se produzcan en un futuro más ataques de este estilo combinando vectores y más ataques de ransomware, así como que afecten no sólo al campo de las Tecnologías de la Información, sino también a otros como el de Internet de las Cosas (IoT).
