“Ayesa, proveedor global de servicios de tecnología e ingeniería, se vio obligado ayer a activar su protocolo de actuación de ciberseguridad con el que logró bloquear un ataque dirigido a sus equipos internos. Gracias a este protocolo y a los avanzados sistemas de detección de vulnerabilidades de la compañía –compuestos de sondas y equipamiento especializado—, Ayesa ha podido tomar las medidas oportunas, limitando la afectación del incidente”.
Este es el comunicado que la multinacional andaluza Ayesa envió a los periodistas que el 25 de abril preguntaron por el ciberataque que había tumbado sus sistemas días antes. Semanas después, los datos personales de su plantilla, incluyendo DNI y otros documentos, están expuestos en la dark web. También un gran número de información confidencial sobre los proyectos de la compañía.
Los trabajadores denuncian que mientras Ayesa vendía la gestión del ataque como un éxito, con declaraciones como “la infraestructura de ciberseguridad de la compañía minimiza la propagación del incidente” o “logra restablecer en poco tiempo un entorno de seguridad para sus profesionales y clientes”, ellos se enteraron del hackeo casi a la vez que la prensa. “Sabíamos más por lo que nos llegaba desde fuera que por dentro”, revela Miguel Marín, presidente del comité de empresa de su oficina de Sevilla.
“La comunicación fue un desastre”, continúa: “Lo primero que hicieron fue negar la mayor. Nos dijeron que sabían que [los ciberdelincuentes] se habías llevado cosas, unos 4,5 teras, pero que no era un 1% de los datos que tiene la empresa en red, con lo cual tranquilidad y a ver qué pasa”.
Lo que pasó es que Black Basta, el grupo de ciberdelincuentes que reivindicó el ataque, publicó 35 DNI y pasaportes de trabajadores de Ayesa para demostrar que iba en serio. “Entonces nos llamaron para reconocer que había 35 trabajadores afectados por el incidente”, narra Marín. “Su estrategia ha sido negar la mayor, escudándose en que no saben lo que les han robado para no informar... hasta que Black Basta ha publicado toda la documentación. Creemos que están los datos de todos los trabajadores con sus DNI”, lamenta. Ayesa tiene unos 13.000 trabajadores en 23 países.
elDiario.es ha vuelto a contactar a Ayesa tras la publicación de los datos personales de su plantilla. “Estamos ante un hecho delictivo bajo investigación policial. El contexto de cómo han robado la información, sumado al entorno ilegal donde lo han publicado, no hace sencilla la labor de identificación, pero estamos trabajando para poder responder a nuestras obligaciones como compañía. Si bien, por los motivos citados, el proceso puede alargarse en el tiempo”, ha respondido la multinacional.
“Para Ayesa ha sido una prioridad desde primera hora intentar preservar la integridad de la información y cumplir rotundamente con el procedimiento legal que aplica en estas situaciones, activando el protocolo de notificación a las autoridades competentes, entre ellas la Agencia Española de Protección de Datos y la Policía Nacional, así como a los profesionales afectados. En paralelo, la firma ha desplegado nuevas medidas de ciberseguridad”, ha añadido.
El presidente del centro de trabajo de Sevilla de Ayesa adelanta que los trabajadores de la compañía están recopilando información para presentar su propia denuncia ante Protección de Datos. Se trata de una contramedida para cubrirse las espaldas ante las posibles suplantaciones de identidad o estafas lanzadas por los ciberdelincuentes con su información.
“El caso menos grave sería algo como que alguien utilice el nombre y el DNI de un trabajador para darse de alta en un casino online y que después, con las ganancias que pueda generar en esa actividad, en dos años llegue Hacienda y le pregunte al trabajador por qué no ha declarado esos ingresos. De ahí para arriba”, asevera Marín.
La comunicación del ciberataque de Ayesa se ha convertido en un ejemplo de cómo no informar de un hackeo para la comunidad de ciberseguridad. “A día de hoy aún dicen que no pasa nada, que no hay nada filtrado de interés, cuando todo el mundo puede acceder a los detalles de proyectos de ingeniería en los que han trabajado, como aeropuertos”, afirma Rafael López, experto en ciberseguridad de la firma Perception Point.
“Han intentado que se diluya, que pase el tiempo y que salgan otros ataques como el de Santander o Telefónica para que la gente de olvide de Ayesa. Correr un tupido velo, hasta que los datos de los trabajadores han aparecido en la dark web”, añade.
Black Basta, la banda cibercriminal a la que Ayesa acusa de atacarla, es una de las más activas en los últimos meses. Emplea el phishing para infiltrarse en los sistemas de sus víctimas y se especializa en la táctica de la “doble extorsión”. Esta consiste en robar información de la víctima y luego cifrar todos sus archivos, exigiendo posteriormente un pago tanto por la clave necesaria para recuperarlos como para evitar que filtren los datos confidenciales sustraídos, explica el Instituto Nacional Nacional de Ciberseguridad (Incibe).
En un momento convulso para las noticias de economía, es más importante que nunca estar bien informado. Las repercusiones de cada movimiento de empresas, de la política económica de los gobiernos y su impacto en los ciudadanos, explicadas desde un punto de vista riguroso y diferente.