Un experto en seguridad de datos explica qué consecuencias puede tener para la empresa, en el peor de los casos, ser blanco de un malware de extorsión por parte de piratas informáticos.
La empresa finlandesa KWH Freeze es objeto de un ataque de ransomware mediante malware de extorsión. Los piratas informáticos amenazan con publicar la información que obtuvieron de la empresa el 27 de noviembre si no se cumple su demanda de rescate.
KWH Freeze es el mayor actor de Finlandia en el almacenamiento de alimentos congelados.
El director general de la empresa Peter Lang confirmó el ataque, pero no quiso comentar, por ejemplo, sobre la exigencia de rescate de los piratas informáticos.
– Nuestras operaciones son estables, afirmó el jueves a Iltalehte.
Delegado de protección de datos Anu Talus Le dice a Iltalehti que el caso también ha llegado a conocimiento del Ministerio de Justicia.
– Efectivamente, ya nos han informado de ello, confirma el comisario de protección de datos.
«Los grandes desastres ocurren con menos frecuencia»
En su revisión semanal, el Centro de Seguridad Cibernética de la Agencia Finlandesa de Transportes y Comunicaciones, Traficom, abordó los ataques de ransomware realizados con malware de extorsión.
Según el Centro de Ciberseguridad, entre 2020 y 2022 se denunciaron en Finlandia una media de unos 40 casos de chantaje al año. La cifra incluye tanto grandes empresas multinacionales como particulares.
– A principios de 2023 se observó una tendencia similar, pero durante noviembre se observó un aumento moderado en el número de notificaciones, según el informe semanal.
Experto en seguridad de la información del Centro de Ciberseguridad Matías Mesía Dice Iltalehte que ha habido un pequeño aumento específicamente en los casos más graves.
– Sin embargo, estos grandes desastres, que terminan en grandes extensiones, ocurren con menos frecuencia, dice Mesiä.
– Las organizaciones finlandesas en su mayoría hacen un muy buen trabajo protegiéndose de ellos, pero aquí también sucede lo mismo. Sin embargo, según nuestras estadísticas, relativamente poco en comparación con el resto del mundo, dice Mesiä y toca madera.
La historia continúa debajo de la imagen.
Según el experto, las empresas finlandesas se preocupan principalmente por la seguridad de su información. Caja de colores
Quizás tengas que negociar con extorsionadores.
Los ataques de ransomware suelen revelarse desde la computadora o el servidor de una empresa. En este punto, es posible que el malware haya estado languideciendo en los sistemas de la organización durante meses, esperando el momento adecuado para activarse.
– Primero nos sorprendemos cuando de repente los sistemas dejan de funcionar y luego nos damos cuenta de que aquí aparece ese mensaje. Puede ser, por ejemplo, un archivo o una notificación que aparece directamente en la pantalla, informándole que los datos ahora están cifrados y que se requieren bitcoins, describe Mesiä.
Como regla general, no debe aceptar las demandas de rescate de los piratas informáticos que han secuestrado u ocultado información de la empresa.
– Sí, la instrucción general para estos siempre es no pagar. Está bastante claro. Pagando se apoya la delincuencia, afirma Mesiä.
Sin embargo, Mesia reconoce situaciones en las que el asunto no es necesariamente tan unilateral. Este puede ser el caso, por ejemplo, si la empresa no está bien preparada para este tipo de ataques.
– En algunos casos, que afortunadamente son menos frecuentes, la situación puede ser tan mala que absolutamente todos los datos de la organización están cifrados, afirma Mesiä.
Incluso en tal situación, es posible restaurar los datos desde la copia de seguridad.
– Pero si incluso estas copias de seguridad están cifradas o no existen, entonces la organización puede tener que pensar en una posible negociación o incluso en un pago, afirma Mesiä.
«El peor escenario posible»
Según Mesiä, un ataque de ransomware puede, en el peor de los casos, paralizar por completo el funcionamiento incluso de una gran empresa.
– Por ejemplo, en la industria, si los sistemas de producción de la fábrica están cifrados [salataan]es posible que los empleados no puedan hacer nada, pero la producción está completamente paralizada.
Según Mesiä, esta es una situación muy posible si el malware puede propagarse eficazmente dentro de la empresa. En tal situación, las copias de seguridad juegan un papel extremadamente importante.
– Por ejemplo, las fábricas no siempre cuentan necesariamente con los equipos o sistemas más modernos. Por ejemplo, es posible que allí se utilicen Windows un poco más antiguos y otras cosas, y configurar dichos entornos nuevamente no es tan simple.
– Es un lugar duro cuando llegas a trabajar y notas que hay mensajes de chantaje en las pantallas, los equipos no funcionan, la fábrica no funciona, los vendedores no pueden vender y no puedes acceder a los pedidos. Ese es prácticamente el núcleo del ransomware.
Según Mesiä, en una situación así, toda la empresa rápidamente se confunde.
– La dirección hace un gesto con la mano en dirección al departamento de TI y el departamento de comunicación debe comunicarse. También debería poder decírselo a los clientes, pero el servidor de correo electrónico también está cifrado. Este es el peor escenario posible, afirma Mesia.
– Se puede calcular directamente en dinero cuánto costó ser el objetivo de tal ataque, continúa.
La historia continúa debajo de la imagen.
Si no está preparado en absoluto para los ciberataques, las consecuencias para las operaciones de la empresa pueden ser catastróficas. Caja de colores
La comunicación es clave
En opinión de Mesiä, es de suma importancia que las organizaciones sepan qué tipo de datos o qué sistemas son vitales para sus operaciones.
– Ya sea un sistema de producción o datos importantes o lo que sea, deben identificarse y protegerse muy bien.
Además, Mesiä insta a las empresas a prepararse con antelación para situaciones de crisis relacionadas con la seguridad de la información e incluso practicar operaciones en medio de un ataque. A veces, las empresas dificultan la situación de forma completamente innecesaria con una comunicación deficiente o inexistente.
– Las empresas se comunican en estas situaciones de formas muy diferentes. Es realmente importante pensar en cómo hacerlo en una situación de crisis. Sin embargo, no existe una única solución correcta.
Según Mesiä, algunas empresas pueden realizar una formación completa, por ejemplo, para las autoridades que se han enterado del incidente y están intentando ofrecer su ayuda para resolver la situación.
– Es una situación realmente difícil si nosotros, como autoridad, intentamos ayudar y pedir información adicional a nuestros contactos internacionales, y no recibimos ninguna información dentro de la organización. Realmente no podemos hacer nada entonces.
– El lado de la comunicación es una parte muy importante de la situación cuando lo «cibernético» llega al fanático, comparte Mesiä.
¿Con qué frecuencia se pagan los rescates?
Cada año, el Centro de Seguridad Cibernética recibe únicamente notificaciones individuales de casos en los que se habrían pagado rescates.
– Algunas de ellas seguramente ni siquiera nos llamarán la atención, dice Mesiä.
Incluso si ya se ha aceptado la demanda de rescate, Mesia insta a las empresas a denunciar el caso al Comisionado de Protección de Datos.
– Siempre se debe hacer ante la más mínima duda de que se puedan haber filtrado datos personales.
No confíes en un criminal
Sin embargo, pagar el rescate no garantiza automáticamente que los datos se divulgarán y que la amenaza terminará.
– Nunca es 100% seguro cooperar con delincuentes, dice Mesiä.
Por ejemplo, se puede intentar extorsionar más dinero a una empresa que acepta los requisitos.
– O puedes volver a caer en las garras del ransomware, advierte.