A fondo
Manchester United 0 – Ransomware 1
El ransomware no distingue entre tipos de organizaciones, lo mismo le da una aseguradora como Mapfre, una gestora pública de infraestructuras como Adif, una compañía cervecera o, como hemos sabido estos días, un club de fútbol como el Manchester United. Y es que, al final, todas las entidades tanto públicas como privadas se apoyan, en mayor o menor medida, en sistemas e infraestructuras tecnológicas, desde un complejo centro de datos hasta sistemas de control de la producción, pasando por ordenadores y servidores en los que se almacena información sensible.
El problema, y es sorprendente pero es que es una historia que se repite desde hace años, es que la seguridad casi nunca está entre las prioridades de los responsables de dichas infraestructuras. Y ojo, no digo que sea necesariamente por falta de voluntad, sino más bien por desconocimiento y por falta de medios humanos. Este es, seguramente, el origen del problema del Manchester United, pues se trata de la causa más habitual. El problema es que, una vez llegado a este punto, a esta situación, ya solo queda escoger entre el menor de los males, con la salvedad de que no hay un mal realmente menor en este caso.
Hasta el momento, el Manchester United ha sido particularmente reservado en lo referido al ataque: no sabemos cómo se ha efectuado, qué activos se han comprometido y, ni siquiera, que grupo cibercriminal se encuentra tras este secuestro. Lo único que sabemos es que, según el club, se trata de un ataque particularmente sofisticado. El problema es que ya hemos escuchado hablar de esa supuesta sofisticación en ocasiones anteriores, y en la mayoría de los casos finalmente no resulta ser tal.
Ahora el Manchester United se enfrenta a una decisión difícil: pagar o no pagar. Y decida lo que decida, tendrá que afrontar unas u otras consecuencias. Veamos cuáles son.
Qué ocurre si el Manchester United paga el rescate
Por norma general, al hablar de pagar el rescate exigido por los ciberdelincuentes ante un ataque de ransomware, solo se suele pensar en el coste económico de dicha acción, es decir, el importe a pagar a los extorsionadores. Sin embargo, hay otras consecuencias que debemos tener en cuenta, y que varían de país a país.
En el caso de Reino Unido, país de origen del Manchester United, aunque las autoridades recomiendan no pagar el rescate, no está prohibido hacerlo, por lo que el club no tendría problema con la justicia local. Su problema es que, pese a ser un club británico, cotiza en el mercado de valores de Estados Unidos, en la bolsa de Nueva York, y a este respecto es más que interesante que leamos la comunicación emitida por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos el pasado 1 de octubre:
«Las empresas que facilitan los pagos de ransomware no solo fomentan futuras demandas de pago de ransomware, sino que también pueden correr el riesgo de violar las regulaciones de la OFAC«. En el mismo, además, alertaba sobre «los riesgos de sanciones asociados con los pagos de ransomware relacionados con actividades maliciosas habilitadas por ciberseguridad«. Una sanción que, en este caso, se especula que podría rondar los 20 millones de dólares.
Qué ocurre si el Manchester United no paga el rescate
Las consecuencias, en este supuesto, vienen marcadas directamente por el volumen y, sobre todo, la importancia de los datos secuestrados por los ciberdelincuentes, así como las posibilidades de recuperarlos, y si se ha producido o no la exfiltración de los mismos.
La situación ideal para el Manchester United sería contar con respaldo de los datos secuestrados, y que los atacantes no hayan hecho copia de los datos. En tal caso tan solo tendría que asegurar la infraestructura, restaurar los datos y recuperar la normalidad lo antes posible. De ser así, la situación podría resolverse en unos pocos días (incluso en horas, si ya se cuenta con el plan para securizar la infraestructura y restablecer los activos comprometidos). El problema es que casi nunca es así.
Si el club no cuenta con copias de seguridad y el atacante no ha exfiltrado los datos la situación se complica. Esto varía según la naturaleza de los datos perdidos, pero en cualquier caso restituirlos será, seguramente, un proceso bastante arduo, que puede llevar semanas o incluso meses, y que no siempre se completará con el 100% de la información recuperada. Un periodo en el que, además, la administración del Manchester United no podrá trabajar con normalidad.
Aunque pueda no parecerlo, las dos posibilidades que hemos visto hasta ahora son las más benignas, pero también las menos probables. Si se trata de un ataque dirigido, es altamente probable que los atacantes no solo hayan cifrado los archivos del Manchester United, sino que previamente los hayan exfiltrado y, por lo tanto, ahora dispongan de una copia de los mismos. En tal caso, el club tendrá que enfrentar otras consecuencias, relacionadas con dichos activos digitales.
Como decía antes, esto depende muy directamente de los datos, pues no es lo mismo si los atacantes se han hecho con un listado de socios del club, que si han accedido a información financiera, documentos sobre posibles futuros fichajes, contratos de todo tipo… Información sensible que puede ser hecha pública o, posiblemente, comercializada por los ciberdelincuentes, que no dudarán en ofrecerla al mejor postor.
Y ya sea por divulgación pública o porque sus rivales puedan tener acceso a la información confidencial del Manchester United, el club tendrá que enfrentarse a una pérdida importante de su competitividad, al ver sus planes expuestos. Es difícil cuantificar esto económicamente, pero sin duda hablamos de un impacto de gran tamaño, y del que el club podría tardar años en recuperarse.
Consecuencias, pague o no pague el rescate
Ser víctima de un ataque de ransomware, aunque cada día es más común, sigue dejando una mancha indeleble asociada a la imagen de las víctimas. Socios, proveedores, clientes, empleados… en este momento todos ellos se estarán preguntando si sus datos se han visto comprometidos como consecuencia de este ataque, y esto es algo que, sin duda, tendrá cierta impronta en las relaciones de todos ellos con el Manchester United en el futuro.
Además, si hay datos protegidos por la normativa legal que se han visto comprometidos (y esto es lo más común), el club podría enfrentarse a las sanciones estipuladas por la norma europea de protección de datos, la GDPR. Recordemos que la norma marca sanciones que pueden alcanzar hasta el 4% de sus ingresos globales anuales o 20 millones de euros. La temporada 2019-2020 se cerró con unos ingresos de entre 730 y 750 millones de dólares. Un 4% de esas cantidades es mucho, muchísimo dinero.
Pase lo que pase, haga lo que haga, está claro que el Manchester United tendrá que afrontar las negativas consecuencias de cualquiera de los escenarios posibles. Y si, como indicó el club, ha sido víctima de un ataque muy sofisticado, todavía tendrá una justificación. Pero si el problema ha sido alguna actualización de seguridad de su software que no se llegó a aplicar en su momento, aquí tendremos un nuevo y formidable recordatorio de la importancia de las actualizaciones y las políticas proactivas de seguridad.
Con información de Dark Reading