Tras la sangría de 200 M de WannaCry, esta es la factura que nos dejará Petya

Ha sido uno de los mayores ciberataques del mundo y, sin duda, el más importante de nuestra historia reciente. El 'ransomware' WannaCry no solo consiguió paralizar a miles de empresas en todo el mundo, también demostró lo frágiles que podemos llegar a ser y constató un hecho: estamos inmersos en una época en que las mayores guerras se libran tras la pantalla de un ordenador.

WannaCry no iba a ser el único ejemplo. Se sospechaba que habría nuevos ciberataques y así ha sido: hace poco descubríamos Petya, un nuevo 'ransomware' que ha puesto contra las cuerdas a varias grandes corporaciones en todo el mundo. Las cifras de WannaCry ya asustan: según el estudio '¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?', elaborado por Deloitte, hasta 15 millones de equipos podrían haber sido infectados y reinfectados, basándose en los datos de tráfico y en el hecho de que un elevado número de máquinas infectadas comparte una dirección IP pública.

200 millones en pérdidas

Las cifras son demoledoras: según varios estudios y estimaciones, WannaCry habría ocasionado una pérdida directa cercana a los 200 millones de euros en todo el mundo. Sin embargo, este ni siquiera sería el impacto total, ya que aún es pronto para poder monetizar las pérdidas no inmediatas que se harán evidentes en el medio y largo plazo. En cualquier caso, ¿cómo se llega a los cálculos totales? Dependen de tres factores:

1) Impacto directo, por los costes atribuibles de modo inmediato y fácil: la pérdida del propio dispositivo afectado, los costes de remediación y recuperación de equipos de las empresas afectadas, la pérdida de las horas de trabajo asociadas a dichos dispositivos, etc.

2) Impacto indirecto, que viene dado tanto por el sobreesfuerzo y horas extra derivados de la revisión y chequeos de seguridad y la inversión en la implantación de medidas adicionales de seguridad, así como por los costes reputacionales, legales y financieros derivados de haber sido víctima de este ataque.

3) Impacto diferido, quizás el menos evidente, pero probablemente el más relevante a medio plazo. Incluiría los costes generados por la alteración del comportamiento del consumidor, de la inversión y de la productividad generada por la inactividad de los negocios.

El impacto del rescate

Contrariamente a lo que cabría pensar, lo cierto es que el daño económico derivado del propio rescate —el valor del pago efectuado por las víctimas— es el menor de todos los costes que generan este tipo de ataques informáticos.

Y es que, en la lógica de maximizar los beneficios del crimen, la cantidad solicitada por los atacantes no suele ser exagerada, con el propósito de que compense asumir el riesgo del pago del rescate, que nunca garantiza la recuperación de los equipos. Por otro lado, apenas entre un 5% y un 10% de los afectados están dispuestos a pagar dicho rescate.

En cualquier caso, multiplicado por cientos o miles de ataques, el rédito de la extorsión digital es enorme. En el caso de WannaCry se identificaron tres diferentes carteras de 'bitcoins' a las que hizo seguimiento, comprobando los pagos que se iban realizando a las mismas e identificando más de 300 transacciones y más de 100.000 dólares acumulados en total.

El impacto de la recuperación

Este cálculo no es sencillo, pero teniendo en cuenta varios factores, podemos mostrar algún tipo de cifras en lo que se refiere a la recuperación de los equipos afectados por WannaCry.

En general, se estima que los costes de recuperación de los dispositivos afectados por un 'ransomware' podrían situarse en torno a los 300-500 euros. Considerando el caso de WannaCry, podemos comprobar cómo el coste del ataque empieza a ganar en relevancia si dicha estimación la aplicamos sobre los aproximadamente 360.000 dispositivos que se vieron afectados por el 'malware'.

Así pues, suponiendo una estimación conservadora de 300 euros por dispositivo afectado, estaríamos hablando de más de 100 millones de euros de pérdida global por el ataque del 12 de mayo.

El impacto en el negocio

A partir de una estimación del salario de un empleado medio y de al menos dos días de inoperatividad, podríamos cifrar el coste por inactividad a nivel mundial por encima de los 100 millones de dólares.

De forma adicional al coste de esta inactividad, es importante considerar el coste en el que incurren las empresas afectadas por un 'ransomware' por el hecho de que sus negocios se vean paralizados.

En este caso, pues, podríamos decir que se trata del coste por venta perdida. Un cálculo que, sin embargo, se antoja muy difícil de calcular, ya que depende de los distintos volúmenes de negocio de cada una de las compañías afectadas.

Otros costes menos evidentes

Es importante no centrarse únicamente en los costes directos y más o menos inmediatos que ha supuesto el ciberataque, tales como el coste de remediación de sistemas y de restablecimiento de los servicios o los costes por la discontinuidad en la operación de las empresas (impacto en la producción, impacto comercial), entre otros.

WannaCry deja otros costes menos evidentes y difíciles de cuantificar, pero nada desdeñables, cuyos efectos aún no son percibidos y que no se verán sino a medio o incluso largo plazo. En primer lugar, conviene fijarse en los enormes gastos incurridos, tanto por aquellas empresas afectadas como por las que no, derivado de la realización de revisiones técnicas y reparación de brechas, así como del refuerzo de su personal y las medidas de seguridad de cara a futuros ciberataques.

Por otro lado, no hay que olvidar el impacto reputacional (daño a la imagen), el impacto comercial (ventas no realizadas), el impacto financiero ('rating' de riesgo, pérdida de la confianza de los inversores), e incluso el impacto legal y contractual (sanciones, penalizaciones de contratos, litigios e indemnizaciones) que acarrea un incidente de esta magnitud.

Igualmente, suspender la actividad productiva de una fábrica o suspender las ventas de una empresa del sector minorista, por ejemplo, tiene un impacto negativo en la productividad nacional que podría llegar a medirse en términos de crecimiento económico. Si bien en este caso ha tenido un impacto limitado en España, es indudable que el PIB puede verse afectado por sucesos similares a este, donde existe un riesgo real de parálisis de la actividad económica del país.

Cómo han respondido los mercados

Si bien el efecto sobre la cotización de las empresas que públicamente reconocieron haberse visto afectadas no sufrió variaciones relevantes, no obstante, el impacto real se verá de forma diferida, en los próximos meses o incluso semestres.

De todos modos, el impacto para los accionistas de una empresa afectada no es el mismo en el caso de un 'ransomware' —que bloquea el ordenador durante horas hasta que se procede a su restauración— que en el caso de otros ciberataques, cuyo propósito es robar información sensible de la empresa para publicarla o venderla a terceros con el enorme daño en la reputación de la marca y en la confianza del mercado (además de su impacto competitivo, regulatorio, contractual, etc.), que tal filtración puede acarrear.

El 'bitcoin' ha batido su récord de valor impulsado por la campaña de WannaCry

En cualquier caso, en los mercados sí hemos visto cómo el incidente ha tenido su reflejo: al analizar la cotización del 'bitcoin', vemos cómo la criptodivisa más conocida y mejor valorada en los mercados ha batido su récord de valor impulsada por la campaña de WannaCry.

En este mes de mayo, coincidiendo con el ciberincidente de WannaCry, las cotizaciones se han disparado hasta alcanzar por momentos los 2.700 dólares, más del doble del precio de la onza de oro.

¿Cuánto nos costará Petya?

La pregunta ahora es evidente: ¿cuánto nos va a costar el ciberataque del 'ransomware' Petya? Si WannaCry ha ocasionado unas pérdidas directas cercanas a los 200 millones de euros, ¿a cuánto ascenderá la factura de la nueva infección?

Por ahora es difícil calcular el impacto real y económico. Sin embargo, hay algunos factores y estudios que nos permiten establecer algún tipo de cifra aproximada.

Para empezar, conviene analizar el impacto geográfico del ciberataque. Por suerte para todos, Petya no ha sido tan devastador como WannaCry, aunque ha alcanzado a nada menos que 60 países. El más afectado de todos ellos ha sido Ucrania, donde hasta el propio Banco Nacional ha sufrido los efectos del 'ransomware'. Fuera de ese país, la aerolínea holandesa Maersk, el bufete internacional DLA Piper o la multinacional alimenticia Mondelez también se han visto afectados.

Las empresas afectadas por Petya reaccionaron más rápidamente que las afectadas por WannaCry

Sin embargo, hay tres factores que nos llevan a pensar que el impacto económico no ha alcanzado el de WannaCry: en primer lugar, el número de grandes corporaciones afectadas no ha sido tan elevado; en segundo, las grandes empresas supieron reaccionar con (algo más de) rapidez ante el ataque y estuvieron menos tiempo paralizadas.

Por último, cabe pensar que todas las afectadas, tras el susto de WannaCry, contaban con más copias de seguridad y mejores sistemas de prevención. Con todo, los pocos informes que se han venido filtrando aseguran que el impacto económico de Petya estaría en torno al 50% del provocado por WannaCry. En cualquier caso, habrá que esperar a conocer cifras más certeras y oficiosas.

¿Cómo evitamos nuevos ataques?

Y, una vez hechos los cálculos, llega la hora de remangarse y ponerse a pensar: ¿cómo podemos evitar nuevos ciberataques? Si los dos contabilizados hasta la fecha han creado un brutal impacto económico, ¿de qué manera pueden prever las compañías nuevos ataques o protegerse de ellos?

Para empezar, lo obvio: las empresas deben instalar los parches de seguridad publicados por Windows para que este 'malware' no aproveche su vulnerabilidad. Actualmente, Microsoft ha ampliado la lista de sistemas para los que tiene actualización, con lo que conviene hacer los deberes cuanto antes.

Además, las compañías deben aplicar medidas que mitiguen el riesgo de infección. Entre ellas, aislar los equipos infectados y la propia red a la que se encuentren conectados, desactivar el servicio SMBv1, bloquear los puertos 445/TCP, 139/TCP, 137/UDP y 138/UDP, bloquear el acceso a la red Tor, habilitar el acceso a las webs que proporciona el 'kill switch' de la mayoría de las variantes de WannaCry y realizar una auditoría interna para averiguar dónde ha comenzado el ataque, con el objetivo de asegurar esta vía de entrada y otras similares, para obtener así una red segura.

Conviene hacer copias de seguridad, establecer protocolos de prevención o contratar seguros de ciberriesgos

Del mismo modo, la mejora en las capacidades de detección, alerta temprana y compartición de información, permitirá a las organizaciones una mayor resistencia y recuperación frente a estos ataques.

Además, "conviene hacer copias de seguridad, establecer protocolos de prevención o incluso contratar los llamados seguros de ciberriesgos, que cubren parte del impacto económico que pudieran causar al asegurado los múltiples efectos de un ataque informático", explica Rubén Frieiro, socio de Riesgos Tecnológicos de Deloitte.

La formación de los empleados, clave para evitar nuevos ciberataques

Pero la cosa no acaba ahí. Según el socio de Riesgos Tecnológicos de Deloitte, "las compañías deben cuidar muy de cerca el elemento más vulnerable de todo su activo: los propios empleados. Así pues, conviene establecer planes de formación y concienciación a nivel corporativo que marquen unas líneas de actuación de todos los empleados de la empresa en materia de seguridad informática y permitan un comportamiento seguro".

Todo ello con un claro objetivo: evitar nuevos ciberataques o, en caso de que sean inevitables, reducir al mínimo los posibles daños de las nuevas formas de batalla del siglo XXI.