Muchas personas me han preguntado en redes sociales y por email mi opinión del ataque que hoy, hace justo una semana, sufrió Telefónica, y otras muchas empresas con un Ransonware.
Creo que no es bueno analizar en frío, ni hacer leña del árbol caído. Por eso he querido esperar una semana para dar mi punto de vista de lo sucedido, así como de la situación actual (que no es exactamente la que nos están contando)
Por supuesto no ha sido únicamente Telefónica, pero el business case de la gestión de crisis es especialmente interesante analizando esta compañía, ya que fue la primera en infectarse y donde se pudo seguir minuto a minuto, mientras otras, infectadas hasta las trancas, se ponían de perfil.
El problema:
Es conocido por todos. Un ataque penetra en la red interna de Telefónica, expandiéndose y codificando archivos. Piden un rescate. Se envía a todos los empleados un email pidiendo que apaguen sus ordenadores.
Se avisa por megafonía. La gente flipa, no puede trabajar. Finalmente, se les manda a casa. El resto es historia.
Se ha aprovechado una vulnerabilidad conocida de Windows para atacar la red. Existía un parche para evitarlo desde el 14 de marzo. Los administradores de sistemas de Telefónica (¡cracks!) no lo habían actualizado por inutilidad o por dejadez. Por mucho que los responsables de IT expliquen que se reciben multitud de parches, todos sabíamos que este era crítico y que Wikileaks había liberado información de cómo utilizarlo. Una red de 40.000 ordenadores es un coñazo y no es fácil de instalar. Pero una empresa como Telefónica debe llevar la seguridad al día y tener un amplio servicio 24×7 para ello. No puede ser que no se instale un parche critico dos meses después. Ni dos días.
No sólo han creado un problema interno, sino que algunos llegan a afirmar que han sido responsables de la propagación del virus en otras redes de proveedores con las que están interconectados. La empresa lo niega y ve maldad en este tipo de afirmaciones. Pero incluso una empresa del Ibex35, de esas que en público no reconoce el incidente en sus sistemas y que se dedica a cobrarnos el recibo de la luz, llegó a decir en su sede central por megafonía que “había problemas informáticos en sus equipos por un fallo de seguridad de Telefónica”, y había que apagar “urgente todos sus equipos”.
Hoy:
Tras un puente muy intenso, la situación es más tranquila y está, en parte, controlada. Pero, pese a los mensajes dejando ver que está todo solucionado, hoy miles de empleados de Telefónica no se conectan a la Wifi de Distrito C y trabajan únicamente conectados por cable. Se han perdido miles de correos electrónicos –pueden ser recuperables- y decenas de miles de archivos están codificados en varios departamentos donde no había copias de seguridad de los mismos. Se ha perdido multitud de trabajo y archivos compartidos, en algunas ocasiones información interna importante.
Una cosa es detener la infección, que está resuelto, y parchear los equipos, y otra que no haya habido daños. Han mezclado ambos conceptos confundiendo al resto de los mortales.
Si alguien puede salir reforzado de esta crisis, más propia de Mortadelo y Filemón que de la primera empresa de telecomunicaciones del país, es su departamento de comunicación.
En Estados Unidos un ataque informático a una empresa cotizada debe comunicarse inmediatamente como hecho relevante. La transparencia por el bien del cliente debe ser absoluta. En Europa aun eso no ocurre casi todos los ataques en el Ibex35 son silenciados. En esta ocasión, cuando pides a 40.000 personas que apaguen su ordenador, el silencio no era una opción.
Tal vez por ello Telefónica fue la única empresa que aceptó el problema, lo explicó y comunicó, montó un gabinete de crisis y estuvo en contacto continuo con otras empresas afectadas, instituciones y medios de comunicación. Eso no puede negarse y es meritorio. Ha minimizado problemas en terceros y alertado a otras empresas que empezaban a sufrirlo. Es meritorio.
Por ese motivo, igual que en su día critiqué la imprudencia del departamento de comunicación, que dirige José Luis Gomez Navarro, exponiendo sin sentido al Presidente Alvarez-Pallete en una delirante presentación de la «Cuarta Plataforma» (ver Aura, el nuevo bluff de Telefónica), hoy debo decir que ha sido la única empresa afectada que, en términos de comunicación, ha estado a la altura.
Han informado cuando han tenido que hacerlo, han intentado socializar las culpas a otros con más o menos razón (Microsoft), se han esforzado en hacer ver que era un problema global, cuando aún no se veía así, se han coordinado y ayudado a otras empresas, han informado y desinformado cuando la situación lo requería y era lo oportuno. La gestión de crisis ha funcionado. Han hecho su curro y ese trabajo ha evitado males mayores.
¿Pueden decir lo mismo en Iberdrola? ¿En Caixa? Igual no.
Chema Alonso:
La figura de Chema Alonso ha sido muy criticada en los medios. En mi opinión no puede achacársele el problema, sería injusto. Lo que pasa es que mucha gente, y muchos de ellos dentro de la propia empresa, le tenían ganas por lo que consideran un exceso de protagonismo y de exposición en un puesto, que por definición debería ser discreto y de perfil más bajo.
Haciendo el símil fácil, no se puede hacer responsable a Fernando Alonso de un fallo en el motor de su vehículo. Ya, Chema Alonso no es Fernando, uno lleva gorro y otro casco, pero lo tenía a huevo y no sólo porque compartan apellido.
Lo que pasa es que tampoco Fernando Alonso, cuando hay problemas, puede salir diciendo “a mí que me registren”, que no era su problema sino de sus mecánicos (y lo hace habitualmente). Eso ha ocurrido y ha sido poco afortunado por parte del ex hacker.
Su primera reacción en Twitter, en la que escurre el bulto poniéndose de perfil, es poco acertada y revela inexperiencia en el terreno corporativo. Cuando uno acepta un cargo directivo, al margen de que haya responsabilidad directa o no, se debe a la compañía y al cargo y debe saber ejercer en los momentos de crisis. Eso implica no escurrir bultos pese a no ser responsable directo del marrón. Es más, la servidumbre es justo la contraria, hacerte responsable de problemas que no te corresponden en primer término, echándotelos a tus espaldas, eso genera respeto y respaldo de tus propios equipos.
Se llama liderazgo.
Eleven Path:
Lo que resulta llamativo es que Sergio de los Santos, uno de los responsables de Eleven Path, la filial de seguridad de Telefónica, haga declaraciones días después de tragarse el ataque hasta la médula, criticando la actitud de empresas en su relación con la protección de sistemas. Después de que en tu casa se ha liado parda, es divertido salir en prensa dando lecciones y diciendo que «no aprendemos» y «algunas empresas tomarán medidas proactivas en ciberseguridad, pero en cuanto se deje de hablar de este ataque nos olvidaremos como siempre». Nada como mirar a los demás, olvidando lo que ha pasado dentro de tu propia nevera. No es discutible: os la habéis tragado hasta el fondo. Igual no es el momento de salir en prensa para la filial de Telefónica que promete vender ciberseguridad a otras empresas, cuando lo evidente es que, en este caso, ni siquiera han podido proteger a la suya.
La solución:
Aunque Telefónica en público declara que no se han perdido muchos archivos y hay numerosos backups, la realidad es diferente. No sé en cuanto valora Telefónica sus archivos perdidos, pero hay decenas de miles codificados y eso crea un problema de gestión interna de determinados departamentos. Ni el Incibe, ni el personal de Telefónica (los mismos que no mantuvieron al día sus sistemas y permitieron ser infectados por el virus), van a poder recuperarlos jamás.
Pagad: No es nuevo, es lo que se ha hecho toda la vida de Dios, y es realmente practico. Se fusila a los responsables de la metedura de pata, ya que, te lo justifiquen como quieran, han sido negligentes creando un problema reputacional y operativo, y se paga.
Si los archivos tienen valor, las posibilidades técnicas de recuperarlos son de 1 entre 100 millones. Paga selectivamente por los que te interesen y acto seguido explicas a tus empleados que tu brillante departamento técnico se ha resarcido de sus pecados recuperandoles la información crítica. Todos felices. Das una nota de prensa explicando que Telefónica jamás pagará un rescate y bla bla bla. Así de simple, sin escandalizarse; se ha hecho toda la vida de Dios.
Y sí, si pagas lo normal –aunque hay un riesgo- es que te den la clave. Empresas infectadas han pagado y la han recibido. Si no te la dan al menos lo has intentado; no será por dinero…
La foto de la crisis que recibe Alvarez Pallete:
A estas alturas José María Alvarez Pallete, está intentando dejar un equipo a su medida para pasar a la época post Alierta. A ver si le dejan los disgustos al hombre. El actual presidente ha aprendido con esta crisis, que está rodeado de personas que le minimizan los problemas y el alcance de los mismos. Que hay quien justifica sus meteduras de pata, con alto coste económico, reputacional y operativo, con estúpidas frases hechas como “los daños son mínimos”, “le ha pasado a todo el mundo” o “le podía pasar a cualquiera”. Esto no debería servirle.
Alvarez Pallete necesita rodearse de un equipo más crítico y con capacidad de solucionar los problemas, no de minimizarlos en su presencia.
A estas alturas ya ha descubierto que hay demasiada gente a su alrededor centrada en salvar su culo y no necesariamente trasmitir la cruda realidad.
Y puede comprobarlo muy fácilmente: sólo tiene que elegir un edificio de Distrito C al azar, sentarse 5 minutos con 3 o 4 empleados desconocidos (se acojonarán un poco, pero luego se les pasa), y que le cuenten como han vivido esta crisis, y que pérdidas y secuelas ha dejado en sus equipos informáticos. Que luego reflexione si es tal cual se lo han contado.
José María, pruébalo, la sorpresa va a ser de aúpa.