El ciberataque que sufrió la multinacional sevillana Ayesa ha desembocado en la publicación masiva de datos en la Dark Web, una porción de internet oculta a los motores de búsqueda convencionales y accesible sólo con un navegador web especial.

El jueves pasado el grupo de ciberdelincuencia Black Basta, uno de los principales actores mundiales del 'ransomware' (robo de datos con fines de chantaje), colgó en su sitio de la Dark Web 4,5 terabytes (4.500 gigas) de información robada a Ayesa, que incluye desde datos confidenciales de empleados (en ningún caso cuentas bancarias) a documentos internos de la empresa.

Presumiblemente, esta acción tiene lugar después de que Ayesa se haya negado a pagar a Black Basta, aunque este extremo no ha sido confirmado oficialmente por la empresa. Pero el 'modus operandi' de estos grupos es, después del ataque, publicar una avance o muestra de lo que han obtenido (algo que hizo poco después de la acción), pedir un "rescate" a cambio de su devolución, y si no se obtiene, vender los datos si tienen valor, y si no, difundirlos en su web.

Esto es lo que hicieron el jueves.

Ante ello, la empresa envió el pasado viernes una comunicación a los trabajadores en la que afirma que está "analizando" la publicación de esos datos para iniciar a continuación las "comunicaciones pertinentes, tanto a los afectados como a las autoridades pertinentes".

La compañía asegura que el entorno "ilegal" donde se ha publicado la información "no hace sencilla la labor de identificación", por lo que el proceso "puede alargarse en el tiempo".

Ayesa, que afirma ser consciente de la "sensibilidad" del asunto, defiende su rápida actuación cuando se produjo el ciberataque.

Solo el 1% de la información almacenada afectada

En cuanto observó movimientos extraños desconectó máquinas y servidores e informó a sus clientes, que inmediatamente bloquearon las VPN que enlazaban sus sistemas con los de Ayesa. Además, añade, activó el protocolo de notificación a las autoridades, entre ellas la Agencia de Protección de Datos y la Policía.

Finalmente, el ataque solo afectó al 1% de la información almacenada por la compañía. La empresa argumenta que los sistemas de alerta y la labor de los profesionales de almacenamiento permitieron "detectar rápidamente la intrusión y bloquear su avance, estableciendo un perímetro de seguridad y medidas de refuerzo para evitar su repetición"

Ya están limpias, de hecho, las máquinas y los servidores afectados con la certificación de un auditor externo, y restablecida la comunicación a través de VPN con los clientes.

En algunos casos, se afirma desde la empresa, bastaron 24 horas para volver a la normalidad.

Desde la parte de los trabajadores, Miguel Marín, presidente del comité de empresa, se reconoce la rápida actuación de la empresa, pero se lamenta que la compañía ha sido "lenta" y "conservadora" a la hora de detectar e informar a los trabajadores expuestos. Asegura que a partir del avance publicado con algunos datos poco después del ciberataque se podía saber qué empleados habían sido afectados.

La empresa defiende establecer las comunicaciones pertinentes "en base a evidencias", y añade que ya informó cuando se difundieron los primeros datos.

Refuerzo de los protocolos de seguridad

Ayesa ha reforzado sus protocolos de seguridad tras el ciberataque. Ha aplicado "nuevas medidas" para hacer las contraseñas más seguras y ha ampliado el sistema de autentificación. Recuerda a los trabajadores en la carta "la importancia de estar siempre alerta, pues esta nueva forma de delincuencia está cada vez más presente e irrumpe en cualquier tipo de organización". "Seguir los procedimientos y las buenas prácticas se ha vuelto más importante que nunca -continúa-; nadie está inmune a esta nueva amenaza y es la mejor manera de minimizar los riesgos".

La empresa también se compromete a mantener informados a los trabajadores, dentro de las limitaciones que impone cualquier investigación policial.