Se ha hecho público que otro ataque ransomware se ha producido en otra compañía americana, como ocurrió en mayo con Colonial Pipeline, el mayor distribuidor de combustible de Estados Unidos, hecho que llevó a tomar acciones al país de cortar todo el suministro, al no tener control de los sistemas.
Hace unos días, se publicó que la razón fue una contraseña vulnerable que se comprometió en un sistema secundario y que se usó para acceder a los sistemas, y a partir de ahí, y con otras técnicas más o menos complejas, tomar el control del sistema, llegando a “secuestrar” (ransom) la información y el control.
Pues bien, hoy, o más bien ayer, el eco de la noticia es que la empresa afectada es un contratista que se encarga, tal y como se describen ellos mismos, “ayudar al Departamento de Defensa y al Departamento de Organizaciones Energéticas, Contratistas Aeroespaciales y Firmas Tecnológicas llevando a cabo programas complejos”, pero más allá de esto, el perfil laboral de alguno de sus consultores es el de experto en sistemas de armas nucleares para trabajar con la NNSA (National Nuclear Security Administration).
Sobre la información secuestrada, se ha publicado indicando que hay información relativa a los empleados, su salario, números de la seguridad social, etc., y para coaccionar a que la empresa pague sus demandas, amenazan con compartir información y datos críticos de agencias militares.
Estas noticias ya no están aisladas, y no solo ocurren en USA, ya que en España estamos saciados con ataques diarios, como el SEPE, Ministerio de Trabajo, etc. La seguridad de la información ya no es una tarea de unos empleados que están encerrados con un gorro de papel de aluminio en la cabeza, es otra pata más dentro de cualquier Board of Directors si dicha compañía pretende continuar prestando su servicio, así como focalizar esfuerzos y recursos a todas las capas de la organización, empezando por la concienciación y formación, aplicación de las buenas prácticas y seguir los estándares o marcos de trabajo internacionales.
Juan Tárrega
Departamento GRC