Así reaccionó Mapfre, minuto a minuto, al ciberataque que recibió en verano: la AEPD reconoce la "diligencia" con la que la empresa respondió

Un hacker en la Def Con de Las Vegas, en 2017.
Un hacker en la Def Con de Las Vegas, en 2017.
REUTERS/Steve Marcus
  • La AEPD ha elogiado a Mapfre por cómo reaccionó al ciberataque que sufrió el pasado mes de agosto.
  • En una resolución, la Agencia hace una minuciosa cronología que revela cómo la aseguradora fue capaz de defender sus sistemas informáticos.
  • Especialistas en seguridad tuvieron que desplazarse a la sede corporativa y se detectó qué ransomware era el que atacaba a altas horas de la madrugada.
  • Descubre más historias en Business Insider España.

En los últimos años varias empresas y organismos públicos en España han sido víctimas de serios ciberataques. Incursiones ilícitas en sus sistemas informáticos que en el peor de los casos han llegado a paralizar el negocio o a robar información corporativa sensible o datos de sus clientes.

Pero es difícil hacer una crónica de un incidente de estas características. Organismos públicos y privados son cautos y, por lo tanto, celosos con la información que se expone sobre las características del ataque. Un paso en falso puede complicar las tareas de mitigación, dar pistas para que los ciberdelincuentes eliminen su rastro, o complicar la vuelta a la normalidad.

En agosto del año pasado la aseguradora Mapfre reconoció, en un inédito ejemplo de transparencia, que su organización estaba sufriendo un ataque informático. Inédito porque en la mayor parte de las ocasiones, empresas y administraciones aducen a "problemas técnicos" para justificar que sus páginas o servicios estén inoperativos.

Mapfre no lo hizo así. Al contrario, abordó el incidente con toda la transparencia posible para tratar de mantener la confianza de sus clientes. Ahora, siete meses después del ciberataque, la Agencia Española de Protección de Datos (AEPD) ha resuelto su investigación sobre el pirateo, aportando nuevos detalles sobre cómo la aseguradora se enfrentó a uno de sus momentos más difíciles de 2020.

Las empresas, cuando sufren un incidente informático, tienen la obligación de comunicarlo a las autoridades pertinentes. Además del Centro Criptológico Nacional (dependiente del CNI), la AEPD es una de esas autoridades. En la resolución que publica su directora, Mar España, se hace una minuciosa cronología sobre cómo fue el ataque que sufrió Mapfre.

Al detectarse el ataque hubo personal que trabajó toda la noche

Como es difícil hacer una crónica inmediata de un ciberataque, la imaginación puede hacer de las suyas. Cuando se detecta un ataque de estas características y el Equipo de Respuesta a Emergencias Tecnológicas del CCN presta su apoyo (el conocido como CCN-CERT), uno se imagina a especialistas llegando a horas intempestivas a la oficina.

Pues no es un disparate. El CCN-CERT ya ha tenido que prestar sus servicios en el reciente ataque al Servicio de Empleo y que ya lo hizo hace dos años con el caso del Ayuntamiento de Jerez. Son dos ejemplos que han transcendido. Aunque en el caso de Mapfre no tuvieron la necesidad de acudir.

El SEPE regresa a la normalidad y la ministra de Trabajo pide "altura de miras" para dejar de politizar el ciberataque que provocó un apagón informático durante días

Eso no quita que los profesionales encargados de la ciberseguridad en la aseguradora tuviesen que pasar unos momentos difíciles hasta altas horas de la madrugada. Así lo revela la cronología que la directora de la AEPD hace en la resolución que se acaba de dar a conocer. Una cronología que se remonta a finales de julio de 2020, cuando el ciberataque todavía no se había conocido.

"En algún momento el atacante obtiene las credenciales de una colaboradora externa que accede a su puesto virtual en remoto", destaca la AEPD. La pandemia ha provocado que aumente la superficie vulnerable a ciberataques. Y el uso de escritorios en remoto o redes privadas virtuales mal protegidas han sido elementales ante el auge de los ataques ransomware que se vivió en el primer semestre de 2020.

La AEPD apunta que este robo de credenciales puede deberse a que su ordenador "particular" fuese infectado con código malicioso, "seguramente tras una campaña de phishing". "Código malicioso que posteriormente capturó su contraseña cuando accedió a Mapfre". Es "la hipótesis más probable".

El 1 de agosto se produce "el primer acceso ilegítimo mediante las credenciales de una usuaria al puesto virtual de Mapfre". Durante los siguientes días "se producen diversos accesos desde distintos países e intentos de conexión a otros servidores y equipos para hacerse con credenciales de usuarios privilegiados". Algo que se consigue el 6 de agosto.

Ya el 7 el atacante "mediante el uso de herramientas sofisticadas" obtiene las credenciales de un administrador del dominio. Durante otros días, hasta el 11 de agosto, el atacante emplea diversas técnicas "para analizar la red, los servidores de ficheros y los recursos compartidos" y realiza "varios intentos de exfiltrar información", "bloqueados por la seguridad de la red corporativa".

Comienza el ataque

Ciberdelincuente, hacker.

REUTERS/Kacper Pempel

A la vista de esos intentos frustrados, el 14 de agosto el atacante se conecta a la red de Mapfre y empieza a distribuir un archivo map.exe que utiliza una cepa de ransomware conocida como Ragnar Locker. Coloca ese archivo en la lista de servidores alrededor de las 19:40 horas.

21:04 horas. El atacante ejecuta el ransomware.

En solo 7 minutos la compañía detecta fallos en varias aplicaciones y se activa el protocolo de Alto Impacto. El Centro de Control General de la aseguradora recibe las primeras llamadas.

A las 21:15 se abre oficialmente el procedimiento de gestión de incidentes tras el monitoreo del Centro de Procesamiento de Datos. Cinco minutos después también se activa el Comité de Crisis y a las 21:30 horas ya están en marcha los planes de continuidad de negocio. Solo cinco minutos después se abre un canal de comunicación persistente entre las áreas de Seguridad y Tecnología.

Es en ese momento cuando se plantea que sea un ataque con ransomware y se realizan las primeras labores de contención. Solo han pasado 26 minutos desde que el atacante ejecuta el ataque y la compañía ya está apagando masivamente sus dispositivos, los servidores no imprescindibles y se saca una copia de seguridad y se aíslan algunos segmentos de red.

Las mafias de 'ransomware' triplicaron sus exigencias de rescate hasta una media de 260.000 euros en 2020 y el problema está agravándose, según una investigación

También se cortan las conexiones de Mapfre con terceras empresas y se reducen las conexiones remotas a un reducido número de usuarios.

Una hora después, a las 22:30 horas, llegan las primeras personas del equipo de Seguridad de Mapfre a Majadahonda, donde está la sede corporativa, y el personal de Tecnología llega al Centro de Procesamiento de Datos en otra localidad. Para las 23:00 los profesionales han conseguido recuperar el control del correo electrónico, pero el trabajo no ha hecho más que empezar.

Pasada la medianoche empiezan a llegar personal interno de refuerzo a los call center de la compañía y a las 00:45 se empiezan a recuperar puestos de teletrabajo.

No sería hasta las 4:18 de la mañana cuando se consiguió identificar el ransomware que se envía para análisis a un tercero. El tercero responde con los datos del código malicioso y el proveedor de antivirus de Mapfre actualiza su base de datos. El programa puede empezar a desinfectar los equipos.

Al día siguiente ya se contacta con el Instituto Nacional de Ciberseguridad, con el CCN-CERT, con la Dirección General de Seguros y Fondos de Pensiones con el objetivo de darles detalles del ciberataque. Mapfre publica un comunicado y remite también la misma información a la AEPD.

17 de agosto. Vuelven a abrir las oficinas de la compañía y se denuncia el incidente ante la Guardia Civil.

Mapfre "estaba preparada"

La primera respuesta ya estaba dada. Un mes después, 21 de septiembre, Mapfre vuelve a ponerse en contacto con la AEPD para dar más detalles sobre el ataque. La recuperación de los puestos físicos ya ha terminado. El 12 de octubre el análisis forense termina y determina que no se han robado datos ni se han accedido a las carpetas confidenciales de la empresa. Para el 13 de noviembre se certifica que los ciberdelincuentes no han dejado ninguna puerta trasera por la que pudieran volver a atacar.

Así entrenan los expertos en ciberseguridad de Telefónica: dos guerrillas de hackers profesionales luchan a diario en secreto para prepararse ante ciberataques reales

Por este motivo Mar España, directora general de la AEPD, archiva la resolución elogiando la "diligente reacción" de la aseguradora.

Algo de lo que la propia compañía se congratula. Fuentes de la compañía detallan a Business Insider España que la resolución pone de manifiesto tres cosas: que la firma estaba "preparada" y sus sistemas y procedimientos "eran los adecuados para afrontar una brecha de seguridad", que la compañía "actuó con diligencia desde el primer momento" y que también lo hicieron "con transparencia".

En un reciente comunicado, la aseguradora también presume de que en su resolución, la AEPD constata que Mapfre "disponía de medidas técnicas y organizativas razonables para evitar este tipo de incidente, lo que ha permitido la rápida identificación, análisis y clasificación de la brecha de seguridad".

Otros artículos interesantes:

Por qué es esencial que el pasaporte de inmunidad europeo sea seguro: la 'dark web' se llena de certificados británicos falsos a la venta por menos de 200 euros

EEUU, Rusia y China protagonizan una ciberguerra que se ha convertido en el juego de espías más sofisticado de la historia: estas son las armas con las que cuenta cada uno

Elon Musk niega que los vehículos de Tesla se puedan utilizar para espiar, después de que el ejército de China prohibiese sus coches en sus instalaciones por motivos de seguridad