Codere responde a la amenaza del virus WannaCry

La Compañía reacciona a tiempo ante la alarma por un ciberataque masivo

malware1

MADRID, 23 mayo 2017. – El viernes 12 de mayo el mundo entero entró en estado de alarma por un ciberataque masivo. Se trataba del virus WannaCry, un malware que infecta al ordenador y secuestra sus datos. Los encripta de tal forma que impide el acceso a ellos y, para liberarlos, pide un rescate en bitcoins, una criptomoneda virtual que no está regulada por ninguna institución y cuyas transacciones son anónimas. Todo esto, aprovechando una brecha de seguridad detectada en el programa Windows, reconocida por Microsoft el pasado mes de marzo.

La alerta por este virus saltó en España, pero que se extendió rápidamente a Rusia, Estados Unidos, Canadá e Italia, hasta infectar más de 300.000 ordenadores de unos 150 países.

La forma de contagio es sencilla. Basta con que un empleado abra un correo infectado, pinche un enlace contaminado, o navegue por páginas de mala reputación que inoculen el virus en su ordenador.

El mundo comienza a reponerse de las primeras oleadas de ataques, de las que aún no se ha descubierto a los culpables, pero todo hace presagiar que podrían darse más agresiones, por lo que es necesario extremar las medidas de seguridad en los entornos de trabajo.

Aunque las formas de estos ciberatentados pueden variar y los virus pueden mutar, este tipo de situaciones serán ciertamente habituales a partir de ahora. Atrás quedó el hacker joven que hacía ataques solamente para demostrar su capacidad. Ahora, los orígenes de estas agresiones son organizaciones criminales, con un objetivo estratégico y/o económico claro.

“En Seguridad hablamos de dos tipos de empresas; las que han sido atacadas y las  que van a ser atacadas, en cuyo caso la pregunta es ¿cuándo?”, nos explica José Luis González, director de Seguridad de Codere. En su opinión, “las reglas están cambiando y las ventajas están del lado del atacante, que es anónimo, sigiloso y elige el momento, haciendo un esfuerzo muy inferior al que supone protegerse”.

Por eso, nos explica, no es suficiente adoptar una actitud reactiva, sino que es necesario un modelo proactivo en el análisis de la situación. “Las políticas de prevención deben de jugar un papel protagonista y el usuario es la mejor defensa. En el caso de Codere la gestión de la crisis fue muy adecuada, pero hay un peligro constante”, reconoce.

Codere, un protocolo conjunto ante una amenaza global

En nuestra Compañía, nada más conocerse la amenaza, los equipos de Seguridad y Operaciones trabajaron de la mano en la minimización del riesgo de contagio.

sumariocyber1

“Estábamos en reunión con PwC, precisamente viendo temas de ciberseguridad, cuando ellos, que tienen de cliente a Telefónica -la primera empresa afectada por el virus WannaCry-, nos informaron sobre el ataque. Las primeras medidas de precaución las tomamos esa mañana, durante la reunión. Lo primero que hicimos fue bloquear el dominio de Telefónica y de algunas empresas que estaban siendo atacadas, de manera que ya no podríamos recibir correos infectados de su parte. Después, montamos un equipo de crisis por medio de Whatsapp, para tener comunicación constante y directa. En él estábamos el director de Seguridad de Codere, Jose Luis González, el responsable de Infraestructuras y Sistemas, Miguel Ángel de la Calle, Óscar Priego como responsable de Comunicaciones, Juan José Fortes, responsable del Servicio de Soporte, y yo”, nos explica José Antonio Pérez Quintero, director de Operaciones de TI.

sau
Uno de los comunicados enviados desde el Servicio de Atención al Usuario (SAU) el pasado 12 de mayo.

Este equipo, junto al director corporativo de Sistemas de la Información, Felipe Ludeña, se reunía con los responsables de IT de cada unidad de negocio cada doce horas, por medio de conference call. Así, desde el viernes hasta el lunes, mantuvieron dos llamadas diarias -a las 17:00 pm y 00:00 am españolas-, para seguir un mismo protocolo en el Grupo, asumiendo un rol centralizador del problema. Destacar en este punto la labor de los equipos de TI de los países del Grupo, que adoptaron con gran agilidad y entrega las estrictas medidas de seguridad marcadas desde Corporativo.

“Enseguida empezamos también a bloquear las conexiones con todas las empresas externas, fabricantes, proveedores y VPNs, que son conexiones a través de las cuales acceden los proveedores a nuestra red. Nos aislamos completamente, cerrando el perímetro de Codere.

sumariocyber2

Enviamos el primer Info S.A.U. antes de las 13:00 pm españolas. En él se decía que había varias empresas que estaban siendo atacadas, que Codere no estaba infectado, y hacíamos un par de  recomendaciones: no abrir ficheros y no pulsar links dudosos. Fue el primer comunicado de los varios que hemos estado enviando estos días para buscar la colaboración de los empleados”, añade José Antonio Pérez Quintero.

perezquintero
José Antonio Pérez Quintero, director de Operaciones de IT, en la sede corporativa de Codere en Alcobendas (Madrid).

Una vez aislado el perímetro, de manera que podía controlarse en cierta medida lo que venía del exterior de la Compañía, se comenzó a instalar el parche que envió Microsoft para evitar el problema, implementándolo en todos los servidores y PCs de usuario.

“La decisión fue hacer una batida en todos los headquarters, instalando presencialmente el parche, en lugar de esperar a que lo actualizase el usuario al encender el ordenador a la vuelta del fin de semana, para asumir así el menor riesgo posible. Desplegamos equipos por todas las oficinas de Codere, que presencialmente encendían el ordenador y le aplicaban el parche. Cuando se verificaba que el ordenador estaba limpio, se le ponía la pegatina correspondiente. Además, se pusieron carteles por las oficinas indicando que quienes se hubiesen llevado su PC portátil a casa, debían pasar por IT para validarlo. En algunos países, se realizaron controles en las entradas para asegurar que a todo el mundo que portaba un ordenador al entrar, se le aplicaba el parche. De esta manera, nadie tuvo acceso  a la red hasta estar verificado. Por otra parte, dentro del proceso de filtrado, en algunos casos hemos tomado la decisión de aislar las salas, no la parte operativa o de juego, pero sí la administrativa, lo que les ha limitado un poco el trabajo, aun así tenemos que agradecer a Operaciones la paciencia que han demostrado al tener que continuar operando con ciertas limitaciones, entendiendo en todo momento la excepcionalidad de la situación y colaborando con las áreas de TI, proporcionando personal de salas para apoyar en el parcheado”,  explica José Antonio Pérez Quintero.

En este sentido, José Luis González destaca «el grado de compromiso, agilidad e ilusión de los equipos a la hora de lanzar de manera coordinada en ocho países todo este proceso”. En su opinión, “es algo que tiene que enorgullecer a la Compañía, pues refleja el fuerte espíritu de colaboración que está inherente. Todo el mundo ha respondido de una manera brillante”.

Una amenaza constante ante la que el usuario es la mejor defensa

Las amenazas cibernéticas son cada vez más frecuentes, por lo que es fundamental que cada uno de nosotros limite al máximo el riesgo. La responsabilidad de nuestra seguridad no está sólo en manos de TI, sino en el uso personal de los dispositivos de trabajo, que son la primera barrera frente a posibles ataques.

jlgonzalez
José Luis González, director de Seguridad de Codere, en la sede corporativa de Codere.

Nada es inocuo. Ni abrir cualquier fichero que nos llegue, ni pulsar links de mala reputación, ni conectar cualquier dispositivo a nuestro ordenador.

“Cualquiera de estas acciones pueden comprometer la seguridad de la Compañía y poner en tela de juicio su propia viabilidad, pues hay empresas que se han visto realmente perjudicadas. Todas las medidas de protección son pocas”, explica José Luis González.

En el Grupo, hay distintos niveles de restricción en la navegación por internet. Algunos perfiles tienen un acceso muy libre a la oferta de la red, con lo que es necesario un mayor grado de concienciación y compromiso por su parte. “En breve  comenzaremos un proceso de formación y concienciación con Recursos Humanos, donde cada perfil va a recibir toda una batería de módulos encaminados a mejorar la seguridad en el Grupo”, añade José Luis González.

Por su parte, José Antonio Pérez Quintero recuerda que “el ordenador es un instrumento de trabajo y no debemos utilizarlo de forma irresponsable. Es fundamental no descargar ni pulsar ningún link de dudosa procedencia, pues pueden presentar un peligro. Cualquier cosa que genere duda, puede tener un impacto y suponer un problema muy serio para la Compañía”, concluye.