A lo largo del fin de semana, la multinacional aseguradora española Mapfre ha sido víctima de un ataque de ransomware, según ha comunicado la misma compañía a través de su página web. Se trata de una comunicación escueta, en la que informan de la incidencia, si bien no dan información técnica sobre el ataque, por lo que más adelante daremos un repaso a las principales posibilidades, y lo que pueden significar para la compañía.
Según dicha comunicación, el ataque sí que ha tenido incidencia en sus operaciones, si bien, y esto me parece un aspecto destacable, partían de contar con un plan de contingencia con procedimientos alternativos, que fueron desplegados por Mapfre al detectar el ataque. Algo que, según afirma la compañía, ha permitido que puedan mantener su operativa, si bien no en las condiciones de servicio habituales, algo por lo que se disculpan en el comunicado.
Esta es, sin duda, una muestra más de lo importante que es la combinación de políticas activas de seguridad, con la definición de planes de contingencia que permitan mantener una cierta normalidad, aún habiendo sido víctima de un ataque, ya se haya ejecutado total o parcialmente. Más en el caso de empresas como Mapfre, de cuya operatividad pueden depender muchos aspectos clave para la vida diaria de sus asegurados.
Con respecto al ataque, y a falta de más información (Mapfre se ha comprometido a ir proporcionando más información próximamente), lo más probable es que el ataque se iniciara mediante un ataque de phishing o spearphishing y que, desde el sistema comprometido por dicha acción, se produjera la difusión del malware por el resto de la infraestructura. Tampoco sabemos si solo ha incidido en ordenadores o, por el contrario, también se han comprometido las operaciones de servidores y otros recursos de IT.recursos de IT.
Tampoco sabemos si se trata de un ataque de secuestro «sin más» o, por el contrario, si también se ha producido alguna exfiltración de datos. En cualquier caso, la disrupción de la operativa habitual, así como que Mapfre afirmara estar trabajando en repeler el ataque, nos invita a pensar que el ataque fue detectado cuando ya se había iniciado la última fase del ataque, es decir, cuando ya se había iniciado el cifrado de los activos comprometidos.
Los próximos pasos de Mapfre dependerán, sin duda, del tipo de ataque que haya sufrido. Con suerte, si solo se han cifrado los datos, como ocurrió recientemente con el ataque a las administraciones públicas de Lafayette, quiero pensar (y sus planes de contingencia me hacen pensar en tal sentido) que sí que contarán con una política activa de copias de seguridad y de restauración de sistemas, por lo que una vez repelido el ataque y eliminado todo el malware de los sistemas, una restauración de los mismos no debería resultar especialmente complicado para la compañía.
Peor serán las cosas si se ha producido una exfiltración de datos. Algunos medios afirman que esto no ha ocurrido, si bien la única comunicación oficial de Mapfre, el comunicado, no menciona nada en este sentido. Y es que, en ese caso, y más todavía teniendo en cuenta el nivel de protección que marca la GDPR sobre algunos de los tipos de datos con los que trabaja una aseguradora, la restauración de los sistemas solo sería una parte del problema, y quizá ni siquiera la más importante a medio y largo plazo. De ser así, no es descartable que la compañía se vea forzada a negociar con los ciberdelincuentes para garantizar que esos datos no se difunden y son eliminados.
Ya es la segunda vez, en pocas semanas, que sabemos de un ataque de ransomware que afecta a un grupo español. Hoy es Mapfre, y hace unas semanas se produjo el ataque de REvil con Sodinokibi a ADIF. Son estos unos tristes recordatorios de que el ransomware no es algo que solo ocurra «ahí fuera«. Empresas, profesionales y particulares de cualquier lugar del mundo son potenciales víctimas de este tipo de malware que, con los años, no hace más que ganar tracción e, incluso, de ofrecerse en modalidad de servicio. Protegerse frente al ransomware es, cada día, más necesario.
Este es el texto del comunicado oficial de Mapfre:
Pedimos disculpas a nuestros clientes porque no estamos pudiendo atenderles con la calidad habitual de MAPFRE. Desde hace unas horas estamos actuando sobre nuestros sistemas informáticos para repeler un ataque de ransomware que se ha lanzado contra algunos sistemas de la compañía.
Actualmente continuamos prestando servicio con normalidad, aunque para determinadas operaciones está siendo necesario hacerlo mediante los procedimientos alternativos establecidos en nuestro Plan de Continuidad de Negocio, lo que puede alargar nuestros tiempos de respuesta.
Continuaremos proporcionando actualizaciones periódicas de información a través de nuestros canales habituales.
Fuente: https://www.muyseguridad.net/
0 Comentarios