Ataques

Doble ciberataque a una empresa de recambios de Audi, BMW, Mercedes…

Las desgracias nunca vienen solas. Unos crackers robaron a esta empresa información confidencial y ahora la han publicado en Internet. Con esos datos accesibles públicamente, podrían suceder nuevos ataques.

Imagen de una chica sentada en el suelo de un taller de motos, rodeada de herramientas.
Foto: Piqsels.

Un grupo de ciberdelincuentes -denominado NetWalker- ha robado y difundido en Internet numerosos documentos confidenciales de NameSouth, una empresa de recambios de automóviles estadounidense.

NetWalker es una banda de crackers especializada en ransomware. Suelen secuestrar datos de empresas para pedir después un rescate por su liberación. Fue lo que sucedió con NameSouth, que trabaja con componentes originales de Audi, BMW, Mercedes, Porsche, Saab, Volkswagen y Volvo.

En este caso, todo empezó en noviembre del año pasado, cuando los ciberdelincuentes lograron sacar de la red de NameSouth 3GB de archivos confidenciales. La información secuestrada la formaban documentos escaneados de facturas con números de identificación fiscal; nombres completos, direcciones, números de teléfono y horas de trabajo exactas de al menos 12 empleados de NameSouth; nombres y direcciones de clientes; extractos de tarjetas de crédito de entre 2010 y 2020; y datos financieros y contables.

Tras la sustracción, los crackers pidieron un rescate a la empresa si querían recuperar los documentos. Recientemente, y tras no recibir pago alguno, Netwalker ha publicado toda esa información en el blog que tiene en la Internet oscura, según informa Cybernews. Por tanto, esos datos están disponible de forma gratuita para aquellos usuarios de la ‘dark net’.

¿Cuál podría ser el impacto de este ataque?

El citado medio explica que NetWalker suele ofrecer de forma gratuita el ‘botín’ obtenido en sus ataques, pero solo hasta que cierto número de usuarios lo ha descargado. Por tanto, que aún continúe accesible sin coste podría significar que “un número relativamente pequeño de usuarios ha accedido a los datos”.

Sin embargo, aquellos que lo hayan hecho podrían usar esa información para atacar a NameSouth y a sus trabajadores. Tras analizar los documentos filtrados, Cybernews concluye que se podrían realizar atacar a los empleados con spear phishing -robar información o infectar con malware a través del correo electrónico-. También sería posible que un cracker pudiera cometer fraude en nombre de la empresa. Por ejemplo, solicitar préstamos en su nombre.

¿Qué tendría que haber hecho la empresa para evitar el ciberataque… y qué debería hacer ahora?

Una vez que el daño está realizado, toca analizar qué se podría haber hecho para haberlo evitado. Pablo F. Iglesias, consultor de Presencia Digital y Reputación Online, piensa que toda organización debería “tener un sistema de alerta temprana implementado que nos alerte de potenciales filtraciones“. Esto protegería contra casos de ransomware y filtrado de información confidencial. Además, como pautas generales, el experto recomienda:

  • Establecer controles de seguridad efectivos que analicen el tráfico y actividades potencialmente sospechosas dentro de las fronteras de la organización, y bloqueen accesos según salten las alarmas. Por ejemplo, sistemas inteligentes de detección, sistemas de gestión de incidentes de seguridad, cortafuegos, honeypots….
  • Contar con una política de compliance correctamente aplicada -no vale solo con tenerla, hay que cumplirla…- que evite, por ejemplo, que un usuario infectado pueda exponer todos los recursos de la organización y no únicamente los que compete a sus labores.
  • Cifrar la información sensible y forzar el tratamiento de dicha información mediante canales cifrados. Con ello se logra que, aunque un ataque tenga éxito, “no puedan recompartir los datos en texto plano como parece que ocurrió en este caso” afirma Iglesias.

Además, el experto afirma que, para evitar un nuevo ciberataque derivado del uso de la información filtrada, la empresa debería establecer sistemas de alerta temprana, bunkerizar y compartimentar por permisos el acceso a la información por parte de todos los trabajadores, y cifrar las comunicaciones y, sobre todo, los documentos sensibles.

También cree conveniente formar en competencias digitales a los empleados, ya que “muy probablemente ese ransomware, como el 95% de los ciberataques a empresas, entró no debido a un fallo de seguridad, sino a un fallo humano“.

Y es que las consecuencias que podría sufrir NameSouth son varias.

Para Iglesias, la más importante “son los potenciales costes de una multa por incumplimiento de contrato con algún cliente y/o exposición de datos privados“. Aunque matiza que eso depende de qué regulación compete a cada organización, y si se puede demostrar que hicieron previamente todo lo posible para remediarlo o se puede achacar a una mala praxis organizacional.

“Y, por supuesto, el factor reputacional que, al principio, afecta de forma indirecta a las arcas, y a medio/largo plazo, de forma directa”, añade.

¿Hizo bien la empresa al no pagar el rescate que le pedían los crackers?

Por último, Iglesias opina que la empresa actuó correctamente al no dar a los ciberdelincuentes el dinero que reclamaban. “Nada te asegura que, una vez pagado, te devuelvan el acceso a tus documentos y cumplan su palabra de no publicar la información robada. Es más, puede ocurrir perfectamente que pagues, y que te vuelvan a extorsionar para que pagues aún más“, explica.

Entonces, ¿cómo deben actuar las empresas que se enfrenten a este tipo de extorsiones?Iglesias afirma que lo primero de todo es acudir a la policía y, si no contamos con un equipo especializado, contratar a una compañía o experto que nos asesore sobre siguientes acciones a llevar a cabo.

“Al final, en este tipo de situaciones lo que interesa es volver a la normalidad lo antes posible, porque, por regla general, mientras tenemos el sistema infectado por un ransomware, se bloquea parcial o totalmente la operativa diaria de la organización. Y eso es una pérdida constante de facturación -ya no es que no produzcas, es que directamente pierdes dinero-“, concluye el experto.

He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.