Endesa sufrió ayer un ciberataque que ya ha sido resuelto satisfactoriamente, según ha publicado zonamovilidad. El ransomware infectó los servidores de la compañía, que reaccionó con celeridad ayer lunes día 19 gracias a los protocolos de seguridad establecidos.
El ciberataque, cuyas consecuencias se prolongaron desde la madrugada hasta avanzada la tarde, afectó solo al trabajo de los empleados.
La compañía avisó para que no se conectasen vía VPN a sus teletrabajadores. El ataque no ha tenido consecuencias graves. Los datos de los empleados y de los clientes no se han visto comprometidos. Una empresa como Endesa es una infraestructura crítica.
Aún se están recopilando datos para realizar un análisis exhaustivo sobre las consecuencias del ataque. Aunque los equipos están funcionando con normalidad prefieren curarse en salud. No es la primera vez que la compañía de energía se enfrenta a un caso de ciberdelincuencia. En el 2016 el ransomware Locky que utilizó un dominio similar al de la compañía para engañar a los clientes se instalaba en sus ordenadores tras mandar facturas falsas a las que estos accedían. Un sistema, el de la factura, que aún sigue funcionando con otras compañía. Muchos de estos receptores de correos, incluso los que no tienen nada que ver con el remitente, sigue picando.
Luis Corrons, Security Evangelist de Avast, ha manifestado en un comunicado enviado a Escudo Digital que "el hecho de que Endesa haya podido controlar la brecha y volver a poner sus sistemas en marcha indica que está bien preparada para este tipo de ataques y que tiene buenas prácticas de seguridad. Pero, como siguiente paso inmediato, necesitará invertir tiempo y recursos en un análisis forense para rastrear el ataque hasta su fuente original".
"Normalmente -continúa este experto-, un ataque de ransomware es el paso final en una cadena de acontecimientos de una red informática amenazada. Esto significa que los atacantes podrían haber estado en el sistema durante un tiempo. El equipo de seguridad de Endesa necesitará entender por cuánto tiempo estuvieron dentro de la red, lo que hicieron durante este período y por qué no había indicadores para detectar su presencia antes. Esto llevará tiempo pero es un proceso crítico, de lo contrario la puerta permanecerá abierta para que vuelva a suceder lo mismo en el futuro"