Los ciberataques que afectan a la continuidad de negocio son una amenaza crítica para las empresas

Compañías de múltiples sectores han sufrido ciberataques que afectan a la continuidad de negocio y generan graves daños económicos y reputacionales

Los ciberdelincuentes pueden ser más rápidos que los automóviles más potentes del mundo. Y, si no, que se lo pregunten a Jaguar Land Rover (JLR). Este fabricante de automóviles del Reino Unido ha sufrido un incidente de seguridad que ha menoscabado su continuidad de negocio y le ha obligado a detener el proceso de fabricación de sus automóviles durante un mes.

Este incidente no es anecdótico. Los ciberataques que afectan a la continuidad de negocio son una amenaza real.

De hecho, continuamente se hacen públicos ciberataques que afectan a la continuidad de negocio al lograr paralizar la actividad de las empresas o interrumpir algunos de sus servicios esenciales. Por ejemplo, la gestión de ventas o la logística.

A continuación, vamos a abordar algunas de las claves de los ciberataques que afectan a la continuidad de negocio de las compañías y a desgranar los servicios de ciberseguridad que son esenciales a la hora de prevenirlos, detectarlos y mitigar su impacto.

1. Qué buscan los delincuentes en los ciberataques que afectan a la continuidad de negocio

Lo habitual es que los actores maliciosos logren acceder ilegítimamente a los sistemas de las empresas, habitualmente, mediante técnicas de ingeniería social dirigidas a directivos, trabajadores o proveedores.

Una vez dentro, su objetivo es obtener información de valor: propiedad intelectual e industrial, documentos estratégicos confidenciales, información financiera, datos personales de clientes, contratos con proveedores, etc. Por ejemplo, en el caso del incidente que ha afectado a Jaguar Land Rover, la compañía ha reconocido que los atacantes robaron algunos datos.

En muchos de los ciberataques que afectan a la continuidad de negocio, los actores maliciosos despliegan malware en los sistemas corporativos, generalmente, ransomware, como le ocurrió en agosto a la farmacéutica estadounidense Inotiv. ¿Con qué fin? Extorsionar a las empresas solicitándoles que paguen un rescate si quieren recuperar su información y evitar que se exfiltre públicamente o se comercialice en la Dark Web.

Al provocar la parálisis de una empresa o interrumpir algunos de sus servicios y operaciones básicos, los ciberdelincuentes incrementan la presión sobre la compañía, que puede decidir pagar el rescate tras el ciberataque, aunque los expertos y las autoridades públicas desaconsejen fervientemente esta opción.

Por otro lado, no podemos obviar el hecho de que los grupos delictivos esponsorizados por estados (Rusia, Corea del Norte, Irán…) pueden lanzar ciberataques que afectan a la continuidad de negocio con el objetivo de paralizar el funcionamiento de compañías e infraestructuras críticas en sectores esenciales como el energético o el de la gestión de agua potable.

2. La contención del ataque requiere desconectar sistemas corporativos

Es importante señalar que en muchos de los ciberataques que afectan a la continuidad de negocio, las empresas desconectan sus sistemas como medida básica para aislar la actividad maliciosa, contener los incidentes de seguridad y proceder a expulsar a los actores hostiles.

Sin embargo, reconectar los sistemas no es una tarea sencilla y que se pueda hacer a la ligera. Es un trabajo arduo, en el que entran en juego expertos en respuesta a incidentes y que puede llevar días o, incluso, semanas.

Este verano, United Natural Foods, una compañía estadounidense que provee a la división alimentaria de Amazon y suministra productos a miles de supermercados en Norteamérica, sufrió un incidente de seguridad que afectó a sus sistemas de gestión de pedidos electrónicos, facturación y pagos y la obligó a gestionarlos manualmente.

La organización tardó 10 días en restaurar sus principales sistemas y aún más tiempo en recuperar otros sistemas de menos relevancia y volver por completo a la normalidad.

Un tiempo similar le costó a Bridgestone Americas, una compañía líder en el sector de los neumáticos, regresar a la normalidad operativa en varias de sus fábricas tras un incidente que causó la disrupción de sus operaciones.

Como resulta evidente, cuanto más tiempo se tarde en gestionar el incidente y recobrar la operatividad plena, más graves serán las consecuencias, sobre todo, desde el plano económico.

3. El sector industrial es especialmente vulnerable a los ciberataques que afectan a la continuidad de negocio

Los ciberataques que afectan a la continuidad de negocio pueden impactar en todos los sectores económicos.

Sin embargo, son especialmente críticos para industrias como la de la automoción, la alimentación o la siderurgia.

¿Por qué? Todo el tejido productivo ha experimentado enormes cambios tecnológicos en las últimas décadas, pero la robotización de los procesos de fabricación y el uso de dispositivos IIoT (Industrial Internet of Things) ha supuesto una revolución en el sector industrial.

Además, en los ciberataques contra industrias está en peligro propiedad industrial e intelectual puntera y valorada en millones de euros.

Los delincuentes son conscientes de la amplia infraestructura tecnológica de las industrias y lo que pueden obtener atacándolas. Por eso, no debe sorprendernos que pongan el foco en la tecnología operativa (OT, por sus siglas en inglés) y los sistemas de control industrial (ICS). ¿Por qué? Estos sistemas son los encargados de automatizar, gestionar y controlar los procesos industriales. De tal forma que, si se logra interrumpir su funcionamiento, se paralizan las líneas de producción de las compañías.

Al inicio de este artículo hicimos mención al incidente sufrido por JLR, pero no tenemos que irnos tan lejos, ni pensar solo en grandes multinacionales que emplean a miles y miles de trabajadores.

Este mismo mes de septiembre, en España, la siderúrgica Aceros Olarra sufrió un incidente de seguridad que la obligó a detener por completo la producción de acero durante días. Una semana después de que se produjese el ataque, la factoría comenzaba a volver a operar y a reincorporar paulatinamente a sus trabajadores.

4. Consecuencias de los ciberataques que afectan a la continuidad de negocio

El impacto de los ciberataques que afectan a la continuidad de negocio es mayúsculo. Por ejemplo, la compañía de productos de limpieza Clorox estimó en 380 millones de $ los daños causados por un incidente que menoscabó su continuidad de negocio en 2023. ¿Cuáles son las consecuencias que tienen que asumir las empresas que sufren incidentes que afectan a su continuidad de negocio?

• Invertir en contratar a un equipo de expertos en ciberseguridad para que orqueste una respuesta al incidente, recuperar la normalidad e investigar lo ocurrido,
• Crisis reputacional ante los consumidores. Cuando se hacen públicos los ciberataques que afectan a la continuidad de negocio es inevitable que los medios se hagan eco de estos incidentes. Por eso, dentro de los planes de continuidad de negocio es importante tener en cuenta la comunicación de crisis.
• Imposibilidad de cumplir los acuerdos con proveedores y clientes. Si los sistemas de producción, logística o comercialización están paralizados o sufren interrupciones, las empresas no pueden abastecer a sus clientes y las relaciones con sus proveedores también se pueden ver menoscabadas.
• Costes y tensiones laborales. Los ciberataques que afectan a la continuidad de negocio hasta el punto de interrumpir la producción tienen un impacto directo en los trabajadores. Por ejemplo, Jaguar Land Rover tuvo que mandar a sus trabajadores a casa al no poder producir sus automóviles. Mientras que Aceros Olarra tuvo que pactar con los trabajadores el adelanto de días de flexibilidad para compensar los días en que no se pudo producir acero.
• Desabastecimiento de productos o interrupción de los servicios prestados. Los ciberataques que afectan a la continuidad de negocio durante varias semanas pueden provocar desabastecimiento de los productos fabricados por las empresas o que estas no puedan prestar sus servicios.
• Disminución de las ventas. United Natural Foods ha estimado que perdió 400 millones de $ en ventas como consecuencia del ciberataque que la obligó a desconectar sus sistemas.
• Pérdida de valor del negocio. Por ejemplo, la compañía tecnológica Smiths Group cayó un 2% en Bolsa tras dar a conocer un incidente que provocó la desconexión de algunos de sus sitemas.
• Cumplimiento de obligaciones legales. En muchos casos, las empresas están obligadas a informar a las autoridades públicas sobre los ciberataques que afectan a la continuidad de negocio o pueden haber provocado el acceso a datos personales de clientes o trabajadores. Además, algunas de las principales multas de protección de datos tienen su origen en esta clase de incidentes graves.

5. DORA y la futura Ley de Ciberseguridad ponen el foco en los planes de continuidad de negocio

Precisamente, nuestro marco normativo le está prestando una relevancia creciente a la continuidad de negocio de las empresas que sufren incidentes de seguridad.

Por un lado, el reglamento DORA, que afecta a las compañías que operan en el sector financiero europeo, tiene como objetivo mejorar su ciberresiliencia, lo que pasa indudablemente por salvaguardar su continuidad de negocio en caso de que se produzca un ciberataque exitoso. Así, las organizaciones deben:

• Aprobar y revisar de forma periódica su plan de continuidad de negocio y de disaster recovery.
• Implementar un marco de gestión de riesgos TIC que les permita garantizar la continuidad de negocio.
• Poner a prueba una vez al año su plan de continuidad de negocio y de disaster recovery.

Por otro lado, el proyecto de Ley de Ciberseguridad que se aprobará en los próximos meses para transponer en España la directiva NIS2, también pone el foco en la continuidad de negocio.

Esta norma obligará a las empresas de sectores críticos (energía, transporte, salud, alimentación…) implementar medidas de seguridad como la gestión de copias de seguridad o un plan de recuperación en caso de catástrofe y de gestión de crisis para garantizar la continuidad de negocio.

6. Cómo prevenir y detectar los ciberataques que afectan a la continuidad de negocio de una empresa

Para evitar que los incidentes de seguridad menoscaban la operatividad de una empresa y afecten a su continuidad de negocio, es fundamental contar con servicios de ciberseguridad que incrementen la postura de seguridad de las organizaciones:

• Test de ingeniería social. Como apuntamos antes, los actores maliciosos recurren a técnicas de ingeniería social cada vez más sofisticadas para conseguir un punto de entrada a los sistemas de las empresas. Por eso, es crucial realizar test de ingeniería social que sirvan para formar a las plantillas y a los directivos y concienciarlos de los riesgos de técnicas como el phishing.
• Auditorías de seguridad continuas combinando herramientas automáticas con el análisis de expertos en ciberseguridad para detectar ataques en fases tempranas.
• Gestión de vulnerabilidades para llevar a cabo un control exhaustivo de las vulnerabilidades presente en la infraestructura tecnológica de la empresa y priorizar su mitigación en función de su nivel de criticidad y su impacto en el negocio.
• Red Team. En sectores especialmente sensibles como el financiero o con sistemas ICS como el industrial es clave realizar ejercicios de Red Team para comprobar la capacidad de resiliencia de la organización ante ataques complejos y a gran escala, detectar posibilidades de mejora y formar a los equipos defensivos enfrentándolos a simulaciones 100% realistas.

7. Respuesta a incidentes proactiva para hacer frente a los ciberataques que afectan a la continuidad de negocio

Si los servicios de ciberseguridad que venimos de listar son importantes, aún resulta más crítico contar con un servicio de respuesta a incidentes proactivo. ¿Por qué? En los ciberataques que afectan a la continuidad de negocio es fundamental el tiempo de reacción y todos los trabajos de preparación realizados para minimizar el impacto de los incidentes.

Frente a los servicios de respuesta a incidentes reactivos, que solo comienzan a trabajar desde que se tiene constancia del ataque, los proactivos llevan a cabo sus labores de forma continua y, antes de que se produzca ningún incidente ya han realizado periódicamente:

• Readiness Assessment para que el despliegue del equipo de respuesta sea inmediato.
• Compromise Assessment para facilitar la identificación de actividad maliciosa.
• Simulacros de incidentes, de cara a optimizar la respuesta ante incidentes reales.
• Análisis de amenazas que permitan conocer a los actores de amenazas y tomar medidas para prevenir los incidentes exitosos.

Además, los equipos de respuesta a incidentes proactivos también son especialistas en la elaboración y optimización de planes de respuesta a incidentes que ayuden a las compañías a anticiparse a los actores hostiles y responder con la máxima eficacia y rapidez para:

• Identificar el alcance del compromiso y expulsar a los actores hostiles presentes en los activos corporativos.
• Minimizar el impacto de los ciberataques en la continuidad de negocio.
• Recuperar la operatividad normal en el menor tiempo posible.
• Investigar el incidente, identificar las debilidades que fueron explotadas por los actores maliciosos, evaluar la efectividad de los mecanismos de seguridad y proponer mejoras para evitar incidentes similares en el futuro.

En definitiva, los ciberataques que afectan a la continuidad de negocio son cada vez más comunes. La mayoría de ejemplos que hemos empleado en este artículo son casos ocurridos en los últimos dos meses. Y, sobre todo, es importante tener en cuenta que son incidentes que generan pérdidas económicas notables que multiplican el coste de invertir en una estrategia de ciberseguridad sólida que permita salvaguardar la continuidad de negocio.