Sociedad

Ataques informáticos: mala gestión y perjuicio económico

Sociedad

[email protected]

Ataques informáticos: mala gestión y perjuicio económico

Daño económico o daño reputacional, consecuencias de los ataques informáticos a empresas

Desde hace un tiempo, se han incrementado los ataques informáticos a empresas. Recientemente, se ha tenido conocimiento de los sufridos por Adeslas y Zendal. A mayores del evidente perjuicio económico, se generan otros, de igual o mayor importancia, como son la brecha de seguridad y el daño reputacional, los cuales pueden producir un impacto económico mayor que el primero al generar inseguridad en clientes y proveedores y un daño a la imagen de la empresa, que se puede traducir en pérdida de clientes actuales y/o potenciales.

Ser solventes, eficaces y ofrecer garantías en la gestión de estos incidentes, puede convertirse en una ventaja competitiva, pero para ello y para evitar el ataque y los perjuicios derivados del mismo, primero tenemos que saber a qué nos enfrentamos, cómo evitarlo y, si lamentablemente lo sufrimos, cómo mitigar su impacto.

- ¿Cómo se han realizado estos ataques?
El ocurrido a Adeslas (SegurCaixa) (09/09/20) se denomina ransomware (secuestro virtual: ransom (rescate, en inglés) y ware (producto o mercancía), es un software que cifra ciertos archivos o bien todo el disco duro de la víctima, bloqueándolo para impedir que el usuario acceda a sus ficheros y solicitando un rescate para recuperar el acceso al sistema y los ficheros. En Adeslas el colapso digital fue absoluto, impidiendo la consulta de pólizas y el acceso a la información de los asegurados. Comunican que no han pagado ningún rescate y que ninguna información sensible está en poder de los cibercriminales.

En el caso de Zendal, dedicada a la biotecnología y, actualmente trabajando para fabricar la vacuna contra el covid-19, el ataque sufrido en noviembre, es del tipo phishing (misma naturaleza que el Vishing y Smishing), los cuales se tratan de tres ataques basados en ingeniería social. El ciberdelincuente enviará un mensaje suplantando a una entidad legítima, que inspire confianza a la víctima, en el caso concreto, suplantaron la identidad del gerente (variante conocida como fraude del CEO) creando una cuenta de correo electrónico corporativo desde la que ordenaron a un subordinado que realizase las transferencias con total discreción. De forma paralela, también se hicieron pasar por auditores de la auditoría holandesa y considerada dentro de las Big Four, KPMG, para girar por vía telemática las órdenes de pago y las correspondientes facturas falsas, por valor de 9,7 millones de euros.

- ¿Cómo evitarlos?
Las medidas más eficaces son las relacionadas con la concienciación y formación a trabajadores, formando parte de medidas enfocadas a la prevención, tales como implantar políticas de copias de seguridad, uso de contraseñas seguras, vigilancia de correos electrónicos desconocidos y supervisión continua, realizando auditorías de control.

- ¿Qué hacer una vez sufridos?
En primer lugar, realizar una evaluación de impacto, a fin de documentar la brecha de seguridad (obligación del art. 33 RGPD, sancionable por la AEPD) y para el caso de que se vean afectados datos de carácter personal (que el ciberataque no sólo haya encriptado si no que haya accedido y pueda existir un riesgo de difusión de los datos de trabajadores, clientes…) habrá que notificar a la AEPD, antes de 72 horas desde que se haya tenido constancia, y en su caso, la comunicación a los afectados.
En concreto, en junio de 2020, una empresa fue sancionada por la APED, al pago de 6.000 euros, al incumplir la obligación de documentar y notificar la brecha de seguridad a la Agencia y a los afectados. 

Por lo que puede darse la situación de haberse repuesto del ciberataque de forma satisfactoria, sin haber pagado el rescate, pero una mala gestión del mismo, puede ocasionar igualmente el perjuicio económico.

Te puede interesar