Los continuos incidentes (Telefónica, Macron, la campaña presidencial americana…) ponen de manifiesto que no hay organización inviolable. No cabe duda de que el ataque sufrido ayer tiene todos los ingredientes para convertirse en noticia, pero en la medida en la que las tecnologías de la información estén más presentes, incidentes de este tipo van a ser más habituales, puesto que la ciberseguridad al 100% no existe, al igual que no existe en el mundo físico y nadie está exento de ser víctima de un atraco o de sufrir un accidente con su vehículo. Lo que sí debe atraer nuestra atención son las capacidades en ciberseguridad de las organizaciones que usan sistemas de información. Está bien que las empresas implementen sistemas de gestión, pero lo importante es conocer cómo de robustas son las medidas implementadas, es decir, su nivel de calificación.

Estos ataques de «ransomware» pueden afectar, bien por la imprudencia de algún usuario o por alguna vulnerabilidad no parcheada de los equipos (que parece ser el caso), motivo por el cual la concienciación y la actualización de los equipos son aspectos fundamentales. Ahora bien, una vez que hemos sido «infectados» solo caben dos opciones: desactivar el «ransomware» y recuperar el control del equipo o restaurar la última copia de respaldo que tuviéramos (nunca pagar; si pagas una vez, pagarás más de una). Pero dado que la seguridad absoluta no existe, la única opción de las organizaciones es estar preparadas para resistir en caso de ataque, diseñando los sistemas con mecanismos de contención como la segmentación de la red y de recuperación, lo que incluye copias de respaldo. Y, por otro lado, implantando una filosofía ágil para la gestión de la seguridad, con tres componentes: detección temprana (parece ser lo que ha sucedido en Telefónica), respuesta rápida (avisando a todos los usuarios para parar la difusión del ataque) y apalancamiento en el incidente. Tanto si somos responsables de una organización como si damos servicio a terceros, la pregunta que debemos hacernos es: ¿estamos preparados para resistir un ciberataque? ¿hasta qué punto? Y para medirlo, debemos acudir a modelos de evaluación de capacidades que califican el nivel de ciberseguridad… en estos casos, si no hay previsión, solo quedará lamentarnos.

Antonio Ramos es experto de la firma de seguridad leet security