«Una crisis de ransomware no es un plato de buen gusto. Quita años de vida»

El propio presidente y consejero delegado de GAM, Pedro Luis Fernández, lo comunicaba a través de las redes sociales: «El sábado 5 de septiembre fuimos víctimas de un ataque externo contra nuestros servidores, dirigido a la encriptación de archivos mediante ransomware. Ni la base de datos principal de nuestro ERP, SAP, ni los ordenadores corporativos de los empleados fueron afectados». Los ciberdelincuentes también reivindicaron 'su obra', ese ransomware apodado 'NetWalker'.

¿Cómo empezó la pesadilla? Los atacantes, según explica Juan José Rodríguez, director de Tecnologías de la Información de GAM, «pudieron conseguir las credenciales de un usuario de una delegación, presuntamente a través de un correo electrónico malicioso (creemos que relacionado con la covid) y después mediante técnicas de hacking y desde IPS geolocalizadas en Europa del Este obtuvieron privilegios y lanzaron los scripts de encriptación». ¿Cómo se detectó? Fue, explica, a raíz de una alarma «en la cabina de discos del Centro de Proceso de Datos» y de una llamada de un usuario de Marruecos. Así se detectó una bajada de rendimiento de los sistemas y se comenzaron a ver los ficheros encriptados.

Como suele suceder, para recuperar la información, llega la extorsión de los ciberdelincuentes que exigen rescates millonarios a pagar en criptomonedas. En el caso de GAM pidieron casi dos millones de dólares, duplicándose la cantidad a los siete días. Pero, como señala Rodríguez, «el pago no garantiza la clave. Lo primero es, como indica la policía, ir a fuentes oficiales, identificar el tipo de ransomware y verificar que no exista ya opción de desencriptación».

La respuesta de GAM fue inmediata. Se pararon los servidores, se priorizaron los servicios de negocio y «se comenzó a planificar la restauración de acuerdo al plan de continuidad». También, por supuesto, se informó a la Guardia Civil, aportando toda la información posible porque «quizás puedan parar el siguiente ataque a otra empresa». Asimismo, ahonda Rodríguez, «se analiza el impacto de posibles filtraciones y se documenta la brecha de seguridad notificando a la AEPD (Agencia Española de Protección de Datos)».

Según el director de TI de GAM, «la afectación ha sido contenida y el 80% de los usuarios estaba trabajando con normalidad entre el lunes y martes siguiente». También, a lo largo de la pasada semana, la empresa logró levantar y recuperar entornos de preproducción y secundarios, «trabajando en estabilizar los sistemas afectados». Juan José Rodríguez reconoce, no obstante, que queda trabajo por hacer, pero aleja la negatividad viendo este ataque «como una oportunidad, porque una situación así debe aprovecharse para mejorar sistemas».

Desde GAM aprovechan para lanzar un mensaje de concienciación a todo el mundo para que revisen sus sistemas porque «el riesgo cero no existe y los hackers cada vez disponen de más y mejores herramientas». Ellos mismos han adelantado proyectos de seguridad, «hemos realizado un disaster recovery y vamos a mejorar los posibles puntos de fallo». Decisión importante, también, en un momento donde el teletrabajo va en aumento. Si en febrero en GAM eran entre 10 y 20 personas teletrabajando, en marzo eran más de 300. «Lógicamente a más conexiones, mayor exposición. Los hackers solo tienen criterios de rentabilidad, buscan quién les financie y les pague. Si encuentran un resquicio y la empresa es apetitosa, lo intentan». Tras ensalzar el trabajo de su equipo y a los proveedores asturianos que les ayudaron, reconoce que «una crisis ransomware no es plato de buen gusto y no se la recomiendo a nadie que trabaje en IT. Quita años de vida».