Los ciberataques pueden paralizar la actividad de una empresa

Los incidentes de seguridad pueden menoscabar la continuidad de negocio y paralizar la actividad de una empresa, generando cuantiosas pérdidas

El 87% de las pymes temen que un ciberataque pueda paralizar la actividad de una empresa. Esta cifra que arroja un estudio sobre los desafíos de las empresas en materia de ciberseguridad resulta extraordinariamente gráfica.

No solo las grandes multinacionales pueden sufrir interrupciones de sus servicios y ver socavada su continuidad de negocio.

¿Por qué? En pleno 2024, la práctica totalidad de las empresas están plenamente digitalizadas. Ordenadores, dispositivos IoT, servidores, aplicaciones, software… Todos ellos son activos críticos para las compañías e imprescindibles para su operatividad.

Para la mayoría de las empresas resulta imposible desenvolver sus actividades si no pueden emplear sus sistemas informáticos.

A continuación, vamos a desgranar las claves de los ciberataques que pueden provocar la parálisis de la actividad de una empresa, así como la importancia de disponer de servicios de ciberseguridad para evitar esta clase de incidentes o limitar su impacto.

1. Robar datos y paralizar la actividad de una empresa

Basta con leer las noticias para saber que diariamente se producen nuevos ciberataques contra empresas que tienen como objetivo hacerse con datos de sus clientes, socios y trabajadores. Algunos de los incidentes de seguridad más sonados de lo que va de año, como el que sufrió la DGT, han conllevado el robo de información de carácter personal con el fin de cometer una oleada de fraudes digitales contra la ciudadanía.

Sin embargo, esta tendencia no debe hacernos perder de vista que algunos ciberataques no solo provocan brechas de información, sino que pueden llegar a paralizar la actividad de una empresa.

La división italiana de Synlab, una multinacional que presta servicios de diagnóstico y pruebas médicas en más de 30 países, tuvo que desconectar sus sistemas IT para evitar la propagación de un ataque de ransomware y limitar el alcance de la brecha de seguridad que dicho incidente produjo.

Como consecuencia de ello, Synlab tuvo que suspender tanto los análisis de laboratorio de las muestras que ya había recopilado, como la recogida de nuevas muestras. Es decir, mediante un ransomware, los actores maliciosos no solo pudieron acceder a datos personales e, incluso médicos, de miles de pacientes, sino que lograron, también, paralizar la actividad de la empresa.

2. Desconectar los sistemas IT para aislar a los actores maliciosos y expulsarlos antes de que hagan más daño

El incidente sufrido por Synlab Italia evidencia la evolución habitual de la mayoría de ataques que logran paralizar la actividad de una empresa. En un primer lugar, los delincuentes logran acceder a los sistemas de una compañía. Después, emplean malware para cumplir sus objetivos maliciosos. Los mecanismos de seguridad de la empresa detectar actividad hostil y se procede a desconectar los sistemas que se hayan podido ver afectados para reducir el impacto y lograr contener a los actores maliciosos.

Por ejemplo, esto fue lo que sucedió en un reciente incidente sufrido por Microchip Technology, una compañía estadounidense que fabrica microchips para más de 120.000 empresas de múltiples sectores: industria, automoción, aeroespacial, defensa…

Como consecuencia de desconectar algunos de sus sistemas, Microchip Technology no pudo gestionar nuevos pedidos de sus clientes y, además, la actividad de sus factorías se vio ralentizada.

Algo similar ocurrió tras el ciberataque que sufrió DP World Australia, el principal operador de los puertos de este país y que gestiona el 40% de su carga marítima. El 10 de noviembre de 2023, la empresa tuvo que interrumpir sus operaciones como consecuencia de un ciberataque. Hasta el 13 de noviembre no pudo reanudar su actividad normal y necesitó una semana más para dar salida a los contenedores acumulados durante la parálisis de su actividad.

Para más inri, este incidente se produjo a las puertas de la Navidad, un periodo crítico para el tráfico marítimo. Por lo que no solo DP World Australia sufrió sus consecuencias, sino que las repercusiones se extendieron a miles de negocios.

3. Pagar un rescate para poder restaurar los sistemas

En algunos incidentes, la imposibilidad de usar los sistemas informáticos corporativos no se debe a que la empresa los haya desconectado de cara a contener el ataque, sino a que los actores maliciosos se han hecho con su control.

Así, la American Radio Relay League (ARRL), una organización sin ánimo de lucro que aglutina a las radios amateur estadounidenses, sufrió en mayor un ciberataque a gran escala que afectó a sus sistemas, tanto Cloud como on-premise. De tal forma que quedaron inutilizables sus ordenadores y servidores. Los actores hostiles emplearon para ello un ransomware. De ahí que no deba sorprendernos que ofrecieran a la ARRL la posibilidad de acceder a herramientas de desencriptado y evitar que se publicasen los datos obtenidos a cambio del pago de un rescate.

A finales de agosto, la organización reconoció que pagó 1 millón de dólares en concepto de rescate, una práctica absolutamente desaconsejada tanto por las autoridades policiales como por los expertos en ciberseguridad.

Este incidente resulta especialmente interesante por otro motivo: no afectó a una gran compañía, sino a una entidad sin ánimo de lucro. ¿Por qué los actores hostiles la pusieron en su punto de mira si carece de una gran cantidad de recursos económicos para sufragar rescates millonarios? Contaban con que la organización abonase el rescate gracias al dinero de su seguro.

De ahí que no deba sorprendernos que los ataques que buscan paralizar la actividad de una empresa no se dirijan solo contra grandes corporaciones o administraciones públicas, sino también contra pymes u organizaciones sociales.

Por cierto, a pasar de pagar el rescate, la ARRL no ha sido capaz de restablecer, meses después del incidente, la totalidad de sus sistemas. Lo que también supone un aviso a navegantes sobre la efectividad de aceptar el chantaje de los ciberdelincuentes.

4. Poner en jaque la continuidad de negocio en múltiples sectores

Los casos anteriores nos permiten visualizar, también, otro de los aspectos que debemos tener en cuenta sobre los ciberataques que logran paralizar la actividad de una empresa. Ningún sector económico está a salvo.

A finales de agosto de 2024, Halliburton, una empresa que provee equipos de perforación y servicios petrolíferos a las principales compañías energéticas del mundo, informó de un incidente de seguridad que le obligó a desconectar sus sistemas IT y repercutió en su funcionamiento a nivel mundial.

Sanidad, industria, transporte, energía, comunicaciones… No hay que irse muy lejos en el tiempo para encontrar ejemplos en otros sectores.

A principios de verano, la Universidad de Ciencias Aplicadas de Frankfurt sufrió un ciberataque que impactó en su actividad cotidiana. Por ejemplo, no pudo realizarse la matriculación online en un momento crítico para esta actividad porque los sistemas estaban desconectados. Igualmente, la institución quedó incomunicada del exterior, tanto por email como por teléfono e, incluso, los ascensores dejaron de funcionar ante el temor de que se produjese accidentes.

5. Cuando la parálisis se extiende a través de la cadena de suministro

Habida cuenta de que, hoy en día, la mayoría de las empresas cuenta con diversos proveedores tecnológicos, debemos tener en cuenta que paralizar la actividad de una empresa puede redundar en perjuicios para miles de organizaciones.

Así, en junio, CDK Global, una compañía que provee software de gestión a miles de concesionarios en Estados Unidos y Canadá, sufrió un ciberataque que afectó a la operatividad de su programa. Como consecuencia de ello, un gran número de concesionarios tuvo que volver al papel para poder comercializar sus vehículos y atender a las necesidades de sus clientes.

Igualmente, en algunos de los incidentes que mentamos en los apartados anteriores, se produjo también una réplica de los efectos de un ciberataque en la cadena de suministros. Por ejemplo, el incidente de Halliburton reverberó en el sector energético mundial, dada su relevancia dentro de dicho sector.

En el mismo sentido, un ciberataque sufrido por el aeropuerto de Seattle-Tacoma, uno de los más importantes de la Costa Oeste norteamericana, provocó que no funcionara el sistema de check-in y que se retrasaran numerosos vuelos durante más de cuatro días. El impacto de esta parálisis en la actividad repercutió, evidentemente, en las aerolíneas que operan en dicho aeropuerto y, especialmente, en aquellas que lo emplean como hub como Alaska Airlines o Delta Air Line.

No solo vivimos en un mundo plenamente digitalizado, sino también fuertemente interconectado.

6. Pérdidas millonarias, daños reputacionales y conflictos legales

¿Cuáles son las principales consecuencias de los ciberataques que desencadenan la parálisis de la actividad de una empresa?

1. Costes económicos directos, asociados a la inversión que debe realizarse para contener el ataque y recuperar la normalidad.
2. Pérdidas económicas derivadas de la parálisis de las operaciones o de su ralentización.
3. Daños reputacionales que menoscaben la relación con los clientes y limiten la capacidad de la empresa de atraer a nuevos clientes y socios.
4. Sanciones administrativas si no se cumplieron todas las normas que regulan la ciberseguridad de las empresas.
5. Conflictos legales con los clientes, trabajadores o socios afectados, sobre todo, en aquellos casos en los que además de paralizar la actividad de una empresa se consigue sustraer datos confidenciales.

A todo ello debemos sumar la posibilidad de que la parálisis de la actividad de una empresa que opera infraestructuras críticas conlleve daños para la salud de las personas.

7. Servicios de ciberseguridad para prevenir, detectar y responder a los ataques

Habida cuenta de la gravedad de las consecuencias de que los actores maliciosos puedan paralizar la actividad de una empresa, muchas organizaciones se estarán preguntando «¿Qué podemos hacer para evitar esta clase de incidentes?».

Las empresas tienen a su disposición una amplia gama de servicios de ciberseguridad que han sido diseñados para incrementar las capacidades defensivas de las organizaciones y optimizar sus mecanismos de detección de ataques:

• Pentesting. Con el objetivo de detectar debilidades críticas que afecten a los activos empresariales y que puedan ser explotadas por actores maliciosos.
• Gestión de vulnerabilidades. Para gestionar las vulnerabilidades que pueden afectar a la infraestructura IT corporativa a lo largo de su ciclo de vida y priorizar su mitigación.
• Servicio de vulnerabilidades emergentes. De cara a monitorizar el surgimiento de vulnerabilidades nuevas y actuar de manera inmediata para prevenir ataques de día cero.
• Bastionado de sistemas. Permiten comprobar el nivel de seguridad de una infraestructura tecnológica corporativa y proponer mejoras para incrementar su protección.
• Servicios de Red Team. Los profesionales del Red Team pueden diseñar escenarios específicos de ataque y comprobar cómo respondería una organización ante un incidente de seguridad que afecte a su continuidad de negocio. De esta manera, se puede mejorar la capacitación de los equipos defensivos y obtener información de gran valor para mejorar la resiliencia de la organización ante los ataques.

8. La respuesta a incidentes es crítica a la hora de evitar la parálisis de una empresa

Más allá de la relevancia de los servicios de ciberseguridad que venimos de desgranar, resulta imprescindible que todas las empresas dispongan de un servicio de respuesta a incidentes para evitar la parálisis de su actividad ordinaria. O, por lo menos, para limitarla en el tiempo y contener el impacto del ataque.

Las claves de una respuesta a incidentes proactiva

En este sentido, optar por una respuesta a incidentes proactiva y con preparación previa resulta de vital importancia. ¿Por qué?

1. Los profesionales de ciberseguridad pueden responder a un ciberataque en menos de 1 hora, porque ya conocen la infraestructura corporativa y disponen de flujos de comunicación eficaces.
2. Antes de un incidente se han realizado readiness assessments, compromise assessments, simulacros de incidente y análisis de amenazas que permiten disponer de un caudal de información valiosísimo a la hora de responder a un ataque.
3. Se dispone de un plan de respuesta a incidentes integral y personalizado que agiliza el despliegue de medidas para contener el ataque.
4. Es posible comprender el incidente con la máxima celeridad, comenzar a investigarlo desde el primer momento e identificar el alcance del compromiso para tomar medidas acordes al mismo.
5. Se orquestan medidas específicas y personalizadas para minimizar el impacto y proceder a expulsar al actor hostil de la infraestructura corporativa. A la vez que se busca garantizar que no pueda volver a comprometer a los activos de la empresa y se restablece la normalidad.
6. La información obtenida durante la gestión del incidente se recopila y analiza para comprender lo ocurrido e implementar mejoras que permitan evitar un incidente similar en el futuro.

En definitiva, los ciberataques que logran paralizar la actividad de una empresa y dañar su continuidad de negocio están al orden del día. Ninguna empresa, sin importar su tamaño o su sector está libre de ellos. Por eso, es fundamental contar con una estrategia proactiva que ayude a evitar esta clase de incidentes y a gestionarlos con éxito en caso de que se produzcan.