La vuelta de las vacaciones no ha sido tan relajada como esperábamos en la empresa. Fue llegar el primer día y al encender los sistemas ya nos dimos cuenta de que algo andaba mal. Todos los archivos estaban cifrados y a lo único que podíamos acceder eran las instrucciones para pagar el rescate de los mismos. Habíamos sufrido un ataque de ransomware.
No se puede decir que nos pillara de improviso. Habíamos pensado desde hace tiempo en ello y llegaba el momento de poner en marcha el plan de contingencia trazado para recuperar los sistemas y datos esenciales para el negocio.
Lo primero, recuperar la normalidad lo antes posible
Habíamos hecho bien los deberes y teníamos una copia completa a salvo. Pero incluso así, siempre te queda la duda de si algo había podido fallar. En nuestro caso teníamos una copia virtualizada tanto del sistema como de los datos. Levantamos la máquina virtual en el equipo que teníamos preparada para ello y tras realizar unos pequeños ajustes, en menos de media hora estábamos trabajando de nuevo.
Ahora tocaba trabajar con el sistema principal. En nuestro caso optamos por formatear, y reinstalar desde cero el servidor. Esta parte fue más larga, nos llevo un día de trabajo tener todo a punto para poder empezar a recuperar los datos.
Como ya teníamos una máquina virtual que suplantaba a nuestro servidor, lo que hicimos fue directamente hacer que por la noche se realizara una copia completa de los datos desde la máquina virtual hasta el servidor reinstalado. Funcionó bien y a la mañana siguiente programamos el apagado de la máquina virtual y ajustamos algunos datos del servidor reinstalado. Ya se podía decir que habíamos recuperado la normalidad.
La protección de datos y la investigación del agujero de seguridad
Ahora la prioridad era que no se volviera a repetir el incidente. Tal y como teníamos diseñado en el plan de contingencia investigamos cómo había podido acceder un atacante a nuestros sistemas. Lo cierto es que tuvimos que pedir ayuda a especialistas en seguridad, que encontraron posibles agujeros en su auditoría de los que no eramos plenamente conscientes.
Notificamos a la AEPD el incidente, y tras el informe de la auditoría de seguridad, reportamos las medidas que habíamos tomado para que no se volviera a repetir.
En nuestro caso nos tocó avisar a los clientes de que sus datos personales habían estado expuestos, aunque con una muy baja probabilidad de que hubieran accedido a ellos. Esto fue duro en cuestión de reputación, algún cliente nos ha contactado y pedido explicaciones, aunque tras hablar con nosotros han quedado bastante tranquilos.
Muchas horas invertidas en copias de seguridad que han dado sus frutos
Tras el estrés de la vuelta de las vacaciones, pero teniendo en cuenta que hemos recuperado los datos de forma muy rápida, es el momento en el que damos por bueno el tiempo gastado en copias de seguridad y toda la inversión realizada ha funcionado a la perfección.
Tras todo ello, lo que hemos decidido a medio plazo es trabajar directamente con un servidor virtualizado, para que todo el proceso de copia y restauración sea igual de ágil, pero no tengamos la segunda parte del proceso de reinstalar y recuperar datos.
Y con la auditoría de seguridad nos ha obligado a ser mucho más disciplinado en el control de equipos y las aplicaciones que se podían instalar trabajadores, pero también con la política de actualizaciones de los equipos críticos.