Recientemente, salió a la luz que Mapfre fue objeto de un ciberataque con ransomware, que consiste en la introducción en el sistema operativo de un programa que restringe el acceso a la información, de forma que el atacante para liberar la información secuestrada exige un rescate, que a veces se paga, y a veces no. En caso de pagar el rescate no empleen tarjetas de crédito, sino criptomonedas, MoneyPak u otros métodos en línea.
La empresa que es atacada tiene dos opciones: no hacerlo público y tratar de resolver el incidente limitando la comunicación a la autoridad de control o actuar con la máxima transparencia. Las dos opciones son válidas, siempre que se comunique la incidencia a la autoridad de control en el plazo máximo de 72 horas y a los afectados si es alto el riesgo para sus derechos y libertades, además de cursar la pertinente denuncia ante la Guardia Civil para que persigan al delincuente. Personalmente, recomiendo actuar con la máxima transparencia, aunque con la debida prudencia.
Los ataques siempre tienen consecuencias, que son inmediatas e inevitables. En el caso de Mapfre la principal consecuencia fue un rebaja de su cotización en la Bolsa, lo que se traduce en una pérdida de valor de la compañía. En otros casos, la pérdida de clientes es la principal consecuencia. Ahora bien, no desesperen que haciendo las cosas bien los daños son reparables.
La delincuencia en Internet es una realidad, que pone en riesgo el valor de las empresas, además de nuestros datos personales, más aún cuando el número de medios físicos conectados a Internet y el volumen de información almacenado en la nube ha crecido exponencialmente.
Hemos de ser conscientes de que la seguridad al 100% no existe; por ello, las empresas deben protegerse adecuadamente ante riesgos conocidos y previsibles. Además, es importante saber reaccionar ante posibles incidentes de seguridad, que pudieran dañar la capacidad operativa o hacer peligrar la continuidad del negocio.
Siempre les digo a los clientes que de nada sirve tener un bonito y elaborado Manual de Gestión de Protección de Datos en la estantería si no se lleva a efecto, mediante la implantación de las medidas técnicas y organizativas recomendadas. Es igual que un Plan de Prevención de Riesgos Laborales, que de nada sirve si no se instalan las medidas de protección colectiva y no se dota a los trabajadores de sus correspondientes EPI´s.
A continuación, les dejo una estadística del Ministerio del Interior sobre ciberdelincuencia en el año 2019 y su notable incremento desde el año 2015 (Fuente: La Voz de Galicia).
