Héroes del ciberataque

No hubo un solo día en el que no recibiésemos ofrecimientos desinteresados de ayuda

Cuando comenzó el ataque, los servicios del Si24 se vieron afectados y se declaró Incidencia de Alto Impacto. A partir de ese momento ya estábamos informados de que algo ocurría a través de las comunicaciones oficiales de incidencias y de WhatsApp. En menos de 10 minutos ya teníamos montado el comité de crisis de incidencias y una vez detectada la severidad del incidente, este se extendió al resto de Grupos de la ACTP, ACS y TI de España.

Nuestra dedicación fue total, independientemente de las vacaciones, todas las personas del equipo disponibles se incorporaron al grupo de trabajo a lo largo de ese fin de semana con el objetivo de recuperar el servicio a nuestros clientes lo antes posible.

Esta crisis nos ha hecho más fuertes, porque ahora somos más conscientes de puntos fuertes y debilidades. Debemos convertir estas últimas en oportunidades para seguir aumentando nuestra resiliencia.

MAPFRE tenía ya una estrategia definida de evolución del puesto de trabajo y movilidad definida por Personas y Organización y las áreas de TI durante este 2020. A causa de la pandemia por la covid19 y el ciberataque, se ha demostrado que era acertada, por ello destaco el plan desarrollado con anterioridad y por supuesto el trabajo de todos los compañeros de área de puestos de trabajo, sin los cuales y sin su esfuerzo, este hito no habría sido posible.

Se nos planteó de la noche a la mañana un nuevo reto y fuimos capaces de resolverlo

Escuchar “ciberataque” fue como cuando un médico te da un mal diagnóstico, no tienes ni idea de qué hacer pero tienes claro que debes confiar en él. Y así hicimos, nos pusimos en manos de nuestros compañeros de tecnología. Seguimos todas sus indicaciones, probábamos qué funcionaba y qué no, solo disponíamos de teléfono. Y vienen a nuestras cabezas los servicios críticos, ¿qué pasa con urgencias médicas? ¿y decesos? ¿y asistencia en carretera? ¿y urgencias en el hogar? La única solución era buscar los datos de los proveedores en Google a través de nuestros teléfonos móviles. Y así pasamos esa primera noche. El trabajo en equipo, la implicación y el compromiso fueron las claves.

Este ciberataque ha provocado que durante un periodo no hayamos prestado el servicio que deseamos y esto es esencial, pues el servicio al cliente entre las compañías se diferencia por pequeños matices y sin duda la consistencia y la fiabilidad es uno de ellos.

La verdad es que, visto ahora, fueron momentos emocionantes, se nos planteó de la noche a la mañana un nuevo reto y fuimos capaces de resolverlo. Quiero destacar en esta parte el apoyo que nos prestaron los equipos del Centro de Competencias de Operaciones y del SAU, sin ellos no hubiéramos podido conseguirlo.

El músculo se entrena

A partir de ese viernes por la noche, éramos pocos los que estábamos trabajando en agosto, por lo que tuvimos que avisar a la “caballería”. La respuesta de los compañeros fue espectacular, faltó tiempo para que se pusieran en marcha para empezar a trabajar en todas las líneas que teníamos abiertas.

2020 ha sido un año muy complicado en el que por desgracia ha habido que poner en práctica todo lo que hasta ahora solo se había ensayado en formato de pruebas, nunca en situaciones reales, y que ni en el planteamiento más pesimista podíamos suponer que iba a ocurrir con ese nivel de impacto. Aun así, hay una lectura muy positiva: la base de procedimientos que existe (planes de contingencia a todos los niveles, que se ensayan de forma periódica), de conocimiento (del complejo entorno tecnológico y del servicio que presta a negocio), sumados a la capacidad de reacción de toda la compañía nos ha hecho superar ambas situaciones. No creo que esto haya sido una casualidad ni cuestión de suerte, ya que el músculo se entrena y en ambos casos nos ha pillado “en forma”, más en el caso de agosto con la situación previa vivida con la covid-19.

Recomiendo visitar el espacio que hay en la Intranet Global, en la sección “Espacio Personas > Mi día a día > Seguridad de la información”, donde hay información muy útil para ayudarnos a entender qué tipo de amenazas de seguridad existen y cómo podemos ayudar como usuarios a reducir al máximo todo este problema.

Ser rápidos y transparentes fue una de las grandes decisiones que se tomaron

Me acuerdo como si fuese ayer. Estaba con mis hijos dando un paseo un poco antes de las 10 de la noche del 14 de agosto y en ese momento entró el correo de Guillermo Llorente con un asunto bastante descriptivo “URGE – Ataque de Ransomware” y antes siquiera de llegar a abrir el correo ya tenía una llamada para mantener una reunión a las 10. A partir de ahí todo se desencadena de forma muy rápida y vuelvo a Madrid a toda prisa para ayudar en todo lo que estuviese en mi mano.

Hemos aprendido que no estábamos preparados para un atacante de estas características, de hecho nadie lo está en ningún lugar del mundo, por lo que nos ha tocado mejorar con carácter de urgencia nuestras capacidades de seguridad. Y por supuesto, la importancia de tener planes de contingencia robustos y probados. El ataque que sufrimos fue mucho más que un incidente tecnológico y podría haber afectado a nuestra reputación y a la confianza que depositan en MAPFRE nuestros clientes. Ser rápidos y transparentes con lo que nos estaba ocurriendo fue una de las grandes decisiones que se tomaron. Me gustaría pedir a los empleados comprensión y paciencia porque esta situación nos va a hacer incrementar varios de nuestros controles de seguridad. Como se ha podido ver, tenemos adversarios con muy mala idea que están esperando cualquier error o vulnerabilidad para hacer un daño real a MAPFRE. El año 2020 está siendo tremendamente exigente para toda la compañía.

Nadie habría podido prever una pandemia a nivel mundial y un ataque de ransomware el mismo año. Desde el punto de vista del despliegue tecnológico para permitir trabajar en casa, recuerdo esos días muy intensos en los que varios compañeros de la Dirección Corporativa de Seguridad realizaron un trabajo espectacular.

Esta vivencia nos ha unido y reforzado mucho más como equipo

Primer minuto de sorpresa (por el tipo de ataque, ransomware), preocupación y luego, lo de siempre: a remangarse. En mi caso ese día empezaba mis vacaciones con mi familia y lo que hicimos fue cancelar mis planes y acondicionar de urgencia las infraestructuras de la casa en que veraneábamos para el teletrabajo ya que la cobertura es muy mala en esa zona, hasta poder organizarnos para volver a Madrid.

Creo que el mejor aprendizaje es el humano ya que los criminales atacaron MAPFRE y quizás lo que no esperaban era una respuesta institucional, transparente y contundente: MAPFRE no atiende al chantaje. MAPFRE se cierra como una piña, se hace fuerte, rehaciéndose de nuevo con mucho sufrimiento, esfuerzo y dedicación; creo que esto es lo que nos diferencia y lo que quizás no tuvieron en cuenta… no solo han atacado a MAPFRE como ente empresarial, han atacado nuestra CASA a nuestra FAMILIA, eso es lo que nos ha dado la fuerza a todos y con ese sentimiento de pertenencia nos hemos unido para defendernos.

Debemos plantearnos de forma general la necesidad de prepararnos, al nivel que cada uno podamos, para el nuevo escenario tecnológico en el que nos movemos. La mayoría de nosotros, que no somos nativos digitales por la época en la que hemos nacido/crecido, estamos acostumbrados a que la tecnología es algo que no entendemos mucho y que sufrimos en cierta medida. Hay que asumir que la tecnología, para bien y para mal, está en casi todo lo que hacemos y debemos interesarnos por ella para acomodarla adecuadamente dentro de nuestra vida, perdiéndole el miedo y sacándole más provecho.

Todo el mundo aportó el 200% para resolver los problemas

Los primeros días fueron muy intensos, el ataque tuvo lugar según empezaba las vacaciones y recuerdo una llamada de Daniel Largacha (director del SOC Global) ya por la noche, comentándome que se habían cifrado equipos Windows y que todavía estábamos en el proceso de determinar el impacto operativo. A partir de ese momento nos pusimos manos a la obra y empezamos a tener varias reuniones en paralelo todos los implicados en la gestión del incidente. Aplacé todos los compromisos y estuve disponible día y noche para ayudar a solventar el problema.

Sin duda eligieron agosto porque la gente está de vacaciones y el seguro es crítico en época vacacional, pero aun estando de vacaciones, todo MAPFRE respondió al ataque e hizo lo imposible por dar servicio a nuestros clientes. Hemos aprendido que podemos salir de un incidente de seguridad importante, incluso en contexto de pandemia mundial y trabajando en remoto. Hemos aprendido que con esfuerzo e implicación, teniendo un equipo humano comprometido y dispuesto a ayudar, se sale adelante aunque existan dificultades.

Es crucial que pongamos nuestro granito de arena en proteger esa información confidencial que sabemos que manejamos, en analizar atentamente ese correo que nos llega o esa web que nos piden abrir. Siempre que desconfiemos de algo, debemos notificarlo a la dirección corporativa de seguridad y medio ambiente por medio de los canales establecidos. Lo importante es que todo el mundo aportó el 200% para resolver los problemas, y ya solo por eso sabemos que en el futuro ante situaciones difíciles harán lo mismo. Eso es importante y motivo de orgullo de organización, de compañía.

Me pareció admirable la valentía de MAPFRE haciendo pública la situación

Me impactó muchísimo y será un momento que recordaré siempre. Imagínate, en plenas vacaciones era difícil creer la llamada que estaba recibiendo, pero a pesar de esa sensación de incredulidad y de incertidumbre nos pusimos manos a la obra casi sin pensarlo para minimizar el daño y colaborar con el resto de equipos. Era algo con lo que no contaban los ciberdelincuentes. En MAPFRE ya estábamos preparando un nuevo modelo para abordar nuestro desempeño de forma remota y presencial, y gracias a ello las ideas estaban avanzadas, aunque ese cambio hemos tenido que acelerarlo de forma exponencial.

Es fundamental seguir las indicaciones y recomendaciones en los distintos canales de nuestra Dirección de Seguridad Corporativa, ellos son los verdaderos expertos en esta materia. Y es nuestra responsabilidad como empleados cumplir y fomentar estas normas ya que estoy convencida de su efectividad. Me pareció admirable la valentía de MAPFRE haciendo pública la situación por la que estábamos pasando; me siento muy orgullosa de pertenecer a esta gran familia.

Esta situación nos ha dejado momentos de profesionalidad, dedicación y solidaridad increíbles

La verdad es que las vacaciones ya eran un poco extrañas por la situación actual, pero la primera reacción fue de cierta incredulidad. ¡Después de pasar esos meses tan complicados nos estaba pasando algo así! Para mí lo peor fue la incertidumbre de las primeras horas, la información sobre el alcance real se obtenía de forma más lenta de lo que todos queríamos y nuestra obsesión era recuperar la normalidad cuanto antes y con la garantía de que no volviéramos a ser atacados. Pero no quedaba otra, así que apretamos los dientes y todo el equipo se implicó al 100% aportando lo mejor de sí mismos, ¡un ejemplo de dedicación!

¡Hemos aprendido muchísimo! Parece duro decirlo, porque no deseamos a nadie que pase por ello, pero desde un punto de vista estrictamente profesional esta situación nos ha enriquecido enormemente: nos ha dejado momentos de profesionalidad, dedicación y solidaridad increíbles y hemos ganado un nivel de conocimiento de este tipo de problemas, e incluso de nuestro propio ecosistema interno, que nos prepara aún mejor para afrontar el futuro.

Por desgracia, la protección total no existe, por ello, la labor divulgativa que realizan nuestros compañeros de la Dirección Corporativa de Seguridad es magnífica para entender las mejores prácticas y actitudes que todos debemos adoptar en nuestro ámbito tanto profesional como personal y familiar.

Tenemos que proteger a la empresa de las ciberamenazas center

En mi caso estaba con un permiso de paternidad y ya desde los primeros momentos me podía imaginar la gravedad de la situación así que, sin esperar mucho a tener una foto completa, hice las maletas, me despedí de mi familia, activé a mi equipo y puse rumbo a Majadahonda.

Lo cierto es que lidiar en este tipo de situaciones es parte de mi trabajo. Todos los que trabajamos en ámbitos en los que se gestionan crisis, de cualquier tipo, sabemos que, aunque remota, existe la posibilidad de que te tengas que activar en cualquier momento. Afortunadamente para mí, MAPFRE decidió hace un tiempo disponer de personas preparadas para enfrentarse a ese tipo de escenarios. Este tipo de situaciones te pone enfrente de un espejo y te hace ver tus debilidades, pero también tus fortalezas. MAPFRE ha demostrado que tiene un equipo humano y unos medios que le otorgan una enorme capacidad de recuperación. Esto nos ha permitido sobreponernos en un tiempo más que razonable.

De la misma forma que protegemos a nuestra empresa de otros riesgos (clientes no rentables, la competencia del sector, malos proveedores, etc.) tenemos que proteger a la empresa de las ciberamenazas. El confinamiento fue un gran reto para MAPFRE y otro ejemplo de su capacidad para adaptarse rápidamente a un entorno cambiante.

Este escenario también nos tocó vivirlo en primera línea y, al igual que en el ciberataque, me impresionó la capacidad, profesionalidad y disposición del equipo humano. Diferentes áreas se alinearon y se coordinaron para conseguir un objetivo muy ambicioso y retador: conseguir en apenas dos semanas que toda una empresa pudiera teletrabajar a nivel global. No me canso de afirmar que me siento muy orgulloso de trabajar en una empresa con este grandísimo equipo.

No era el momento de preocuparse sino de ocuparse de la situación

Ese momento es difícil de describir, de los que quedarán grabados en mi memoria. Aunque todos los que trabajamos en seguridad somos conscientes de que situaciones de este tipo pueden ocurrir, no esperas que lleguen a materializarse y menos aún que te pille en medio de las vacaciones. En mi caso, me encontraba con mi familia en Oviedo y ese viernes, cuando recibí la llamada, me invadieron pensamientos y sentimientos muy diferentes. Lo primero en que pensé fue en el efecto sobre los sistemas operativos y la disponibilidad de la información y, a la vez, otro aspecto prioritario: la protección de los datos de nuestros clientes y cómo este hecho podía afectar a dichos datos y a la reputación de la compañía.

Teníamos claro que no era el momento de preocuparse sino de ocuparse de la situación. La rapidez en la respuesta es el factor clave y primordial en la gestión de estas crisis.

Es fundamental el trabajo en equipo y contar con unos compañeros como los que tenemos, con una profesionalidad increíble, pero sobre todo con un nivel de compromiso y calidad humana difícilmente superable. Gracias a todo esto, hoy podemos estar hablando de esta situación en pasado.

Una de las enseñanzas ha sido que lo improbable puede ocurrir y que hay que estar preparado para lo impensable. La capacidad de reacción y adaptación debe ser cada vez mayor y los tiempos de respuesta cada vez más cortos. De ahí la importancia de tener unos buenos planes de contingencia y continuidad de negocio. Planes que, con y sin coronavirus, siempre han estado y tienen que estar sujetos a un proceso de actualización y mejora continua. Los ciberdelincuentes están siendo extremadamente creativos al idear nuevas formas de aprovecharse de los usuarios y hacen un mayor uso de tecnologías cada vez más novedosas.