Extorsión cibernética a una empresa de producción de caucho y plástico.
La compañía, con una facturación de 34 millones de euros, sufrió un ataque de ransomware a través del que los ciberdelincuentes pidieron un rescate de 28 Bitcoins (276.000 euros aproximadamente). Gracias a la implementación de un sistema de copias de seguridad que habían puesto en marcha los asegurados meses antes pudimos restaurar todos los datos vulnerados y evitar pagar el rescate.
Vulneración de datos de una ONG a través de su proveedor de software en la nube.
La compañía tecnológica comunicó a la entidad solidaria, dedicada a la infancia, que había sufrido un ataque de ransomware y que sus datos habían sido vulnerados. Se reembolsó a la ONG los costes que incurrió quien había confirmado que los datos robados habían sido destruidos.
Un proveedor de gestión de datos, con ingresos de más de 1,6 millones de euros, sufrió un ataque de fraude por desvío de pagos.
El asegurado realizó tres pagos por un total de 92.000 euros a lo que creyó que era la cuenta de sus abogados, pero el despacho había sido atacado y los delincuentes habían cambiado sus datos bancarios. Afortunadamente, el asegurado tenía cobertura contra estos incidentes y se cubrieron 81.000 euros de los fondos perdidos.
Vulneración de datos en una red de clínicas dentales.
A través de una brecha de seguridad sufrida en una sola cuenta de correo electrónico perteneciente a una compañía dental, con ingresos superiores a 660 millones de euros, los delincuentes accedieron a la información personal de más de 24.000 clientes. El asegurado tuvo que notificar a todos los afectados este suceso siguiendo los requisitos reglamentarios generándose un coste final total de 124.000 euros.
Una compañía de títulos de bienes raíces tuvo que asumir el pago de 40.000 euros para recuperar los sistemas de su negocioa partir de un ataque ransomware que derivó en una extorsión cibernética.
El asegurado, con ingresos de 4,9 millones de euros, tras las gestiones necesarias consiguió detener que las pérdidas causadas por la interrupción de la actividad fueran a más, aunque aún se enfrenta a posibles daños en la reputación de su negocio y al futuro impacto de clientes perdidos.
Una empresa de contabilidad, con ingresos de 271.000 euros, sufrió un ataque de phishing que vulneró siete cuentas de correo electrónico empresarial.
La brecha de seguridad ponía en riesgo información de más de 2.000 clientes, así como la información profesional y personal de los titulares de estas cuentas. El coste total por el trabajo realizado en el área legal, la recuperación de la información y la notificación a clientes cuyos datos se podían haber visto afectados fue de 106.000 euros.
Todo empieza con un link en el correo
Una Pyme que se dedica a servicios, que factura 2.500.000€ y tiene datos de 3.000 clientes, datos de salud incluidos, ve como todos sus datos han quedado encriptados de la noche a la mañana.
Nadie sabe cómo ha sucedido, aunque siempre hay alguien en la empresa que sabe que no debía haber abierto ese enlace que venía un correo que le urgía a abrir ese enlace para aprovechar una promoción…
Lo cierto es que al intentar abrir los archivos surgen unas instrucciones claras donde se insta al pago de un rescate para liberar los datos: 1 bitcoin, unos 6.700€.
Rápidamente el responsable de administración que hace las veces de puente con la empresa de servicios IT, les informa y les pide soluciones alternativas.
La empresa de IT les dice que la copia de seguridad más actualizada es de hace un mes. Que claro ellos ya les dijeron que reducir las copias a una vez al mes que no era buena idea (pero claro el coste se reducía en un 25%).
Así las cosas, la perspectiva es perder los datos de un mes de trabajo. Reconstruir los datos son 300 horas, es decir, un coste de 9.000€ como mínimo.
La empresa de servicios IT es también quien les ha gestionado la LOPD con un departamento especializado en la materia. Este departamento se pone en contacto con el Responsable de Administración: hay que notificar la brecha de seguridad a la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, y en 72 horas desde que se conocieron los hechos.
Asimismo, es obligatorio notificar a los clientes afectados por la brecha de seguridad. En este caso los 3.000 clientes (900 de ellos personas físicas de una asociación). El coste de la notificación es de 3,5 euros por cliente, es decir 10.500€
Llegados a este punto tenemos un coste de 17.200€, asumiendo que se paga el rescate como mal menor. Pero esto no ha hecho más que empezar.
Una semana después de comunicar a la AEPD, llega un escrito de ésta, donde la AGENCIA notifica que se abre expediente sobre la brecha de seguridad y la vulneración de los datos de los clientes, personas físicas en su mayoría. La sanción propuesta es de 25.000€
A las dos semanas de la notificación llega un burofax de un despacho de abogados especializado en Demandas colectivas, informando que 900 clientes afectados por la violación de seguridad y de privacidad de sus datos interponen demanda. Reclaman 200€ por afectado, es decir, 180.000€
Resumen y conclusiones:
- Con un protocolo de seguridad en la gestión del correo electrónico se habría evitado la encriptación.
- Las copias de seguridad se deben hacer a diario
Dos meses planeando una estafa
En este caso tenemos una Pyme del sector industrial que factura 4.000.000. Tiene 3 proveedores principales de materias primas. Con uno de ellos, Proveedor X hay una relación especialmente buena en lo profesional y en lo personal entre los dos Directores Generales.
La cuestión es que un hacker entra en los servidores de la Pyme donde están instaladas todas las aplicaciones fundamentales para desarrollar la actividad: correo, datos, software especializado, etc.
Durante dos meses observa con detalle la actividad de correo y los procesos de gestión de facturas, relación con los proveedores, flujos de trabajo, y todo lo que le parece pertinente para hacerse una idea clara de donde mejor dar “el golpe”.
Llega a la conclusión que la relación del Director General de la Pyme con el Director General del Proveedor X es la clave para el éxito de la estafa.
Y la oportunidad llega de forma natural. La Pyme recibe un encargo importante de un cliente, unos 200.000€. Para acometer el pedido la Pyme necesita urgentemente acopio de materiales que son los que el Proveedor X le suele suministrar.
El Director General de la Pyme le solicita directamente al Director General de Proveedor X el pedido y le pide ya una proforma de factura con el pedido. El Director General de Proveedor X le indica que dada la cuantía y la urgencia del pedido necesita facturarlo antes de acometerlo.
Le hace llegar esta proforma, con 92.367€ de importe. El Director General de la Pyme acepta el importe y le pide que le mande la factura.
El hacker se da cuenta de que es ahora o nunca. Crea un domino nuevo al que llama ProvedorX. Es decir, quita una “e” del nombre ProveedorX.
A su vez conoce bien el nombre del Director General de Proveedor X. Crea un correo nuevo: Director.General@ProvedorX.com
Manda con este correo la factura perfectamente falsificada al Director General de Pyme. Lo único que cambia es la cuenta corriente de pago.
El Director General de Pyme le pide a su Director Financiero que la pague de inmediato, que es urgente para poder recibir los materiales.
A toda prisa el Director Financiero paga la factura a la cuenta indicada en la misma.
Y le confirma el pago al Director General que respira aliviado.
A los dos días llega la factura original de Proveedor X. Y se descubre la estafa.
Los 92.367€ han volado gracias a una elaborada y planificada ingeniería social, ejecutada de forma sencilla y eficaz.
Resumen y conclusiones
- Debe existir un protocolo específico para la transferencia de fondo: llamada al proveedor, certificación de titularidad , y doble firma por parte de dos personas de la empresa.
- Debe existir un protocolo sobre las buenas prácticas con el correo electrónico, donde una revisión del dominio de correo es fundamental. Más aún con colaboradores habituales y siempre en relación a facturas.
