Un ciberataque a la nube pone en jaque a múltiples despachos profesionales de consecuencias incalculables

Es posible que alguien dijera que su empresa estaba más que segura que nunca, porque sus servidores estaban en “la nube” y por lo tanto no temía sufrir ciberataques, puesto que su tamaño no podía ser blanco de ciberdelincuentes.

Pues bien, la noche del pasado miércoles día 17, según el artículo de A. Guerrero del diario digital Segre.com, la plataforma de Enuve, sufrió un ciberataque y les fue encriptado servidores y copias de seguridad, afectando a decenas de despachos profesionales leridanos y a más de un centenar entre las provincias de Tarragona y Gerona, quedándose sin acceso a los datos, expedientes, informes y todo tipo de documentación de sus clientes.

Sus clientes son asesores fiscales, economistas, graduados sociales, bufetes de abogados, que habían contratado estos servicios a Esofitec, una firma de Lleida distribuidora de los servidores cloud de Enuve, propiedad de Outenuve, y que pertenece al grupo Abast. Esofitec tenía allí contratados los servicios de alojamiento de escritorio remoto de sus clientes, asesorías y empresas que se han visto afectadas.

El ciberataque ejecutado por un Ransomware (denominado Ryuk v4 Zero Day) a media noche del 17 de febrero, encriptó servidores, escritorios y copias de seguridad por los que los ciberdelincuentes han pedido una elevada cifra de dinero a cambio, como rescate.

Después de una semana, todas las empresas siguen paralizadas, lo cual previsiblemente vaya a suponer no poder ejercer los encargos de presentación de las declaraciones tributarias a la Agencia Tributaria ni las liquidaciones laborales a la Tesorería de la Seguridad Social, ni las nóminas a trabajadores, ni emitir facturas, ni efectuar cualquiera de las gestiones normales de este período, como es contabilizar las transacciones económicas, de aquellos clientes que lo tienen externalizado, ni emitir las cuentas anuales, una vez cerrado el ejercicio, para que los administradores de las sociedades mercantiles puedan revisarlas antes de firmar para su aprobación en las Juntas de socios y accionistas.  

Ante tamaño problema, acercándose los plazos de presentación de declaraciones, el Col·legi d’Economistes de Catalunya se ha ofrecido a dar todo su apoyo a los despachos profesionales y colegiados afectados, en la mediación con la Agencia Tributaria y la Tesoreria de la Seguridad Social, para buscar una solución al respecto. A lo que estos organismos ya han contestado que jurídicamente los plazos no pueden ser modificados. Todas las declaraciones que sean presentadas fuera de plazo deberán ir acompañadas de un escrito alegando los motivos por causa ajena, en el momento en que se restablezca la normalidad, lo que no deja de ser un trabajo adicional enorme por afectar posiblemente a la totalidad de sus clientes.

El ciberataque ha paralizado a la empresa Cloud que a su vez ha paralizado a sus clientes (profesionales) que no pueden trabajar y a los que les deben haber robado datos personales y otros (de sus clientes) ante los que deberán responder.

No se sabe el número de afectados, pero todos los despachos profesionales han debido comunicar el robo de dichos datos a l’Agencia de Protección de Datos Personales, y deberán responder a sus requerimientos, así como responder ante sus clientes por los daños y perjuicios que les puedan causar.

Este caso múltiple que afecta de forma escalonada a empresas de servicios profesionales que realizan encargos de otras empresas que a su vez tienen sus obligaciones fiscales y laborales intactas, será complejo de solucionar y de un coste elevadísimo que puede llevar al cierre de muchos despachos, a menos que las empresas involucradas tuvieran contratada una póliza de    ciberriesgos con los capitales y coberturas adecuados.

Se trata de dar garantía a la respuesta del incidente. Intervención de técnicos especialistas forenses en ciberseguridad, juristas que analicen y aconsejen qué debe hacerse, comunicar a la APDP, a los afectados, y las defensas e indemnizaciones a las demandas que podrán sufrir por los daños y perjuicios a sus propios clientes afectados.

Discrepo en la comunicación que ha dado el Col·legi d'Economistes de Catalunya sobre la respuesta de la póliza de responsabilidad civil profesional, dando a entrever que dichas pólizas se van a hacer cargo de las demandas a sus colegiados porque la respuesta de responsabilidad civil profesional generalmente no cubre los casos de ciberataques. Y porque además de las demandas por incumplimiento del contrato profesional que firmaron se pueden añadir el mal uso de la identidad de los asegurados. Para eso están las pólizas de ciberriesgos.

Un ciberataque de este calibre puede significar la ruina de muchas familias si no tienen los ciberriesgos convenientemente asegurados.  

El problema cuando a tu proveedor de servicios le falla su sistema es que debe responder, ante ti y ante todos sus clientes como tú, de sus errores, pero ¿quién responde ante tus clientes, proveedores, personas afectadas por tener sus datos personales y a los cuales les pueden ocurrir toda clase de problemática, por usurpación de la identidad?

¿Qué valor tiene la pérdida de reputación ganada a pulso después de años de esfuerzo y estudio?

Nunca reaccionamos en la prevención hasta que no vemos el peligro más cerca que nunca.

Los ciberdelincuentes son cada vez más sofisticados y todo puede ocurrir. Un ciberriesgo llega donde la ciberseguridad no evita.

Consejo: Cuando veas las barbas de tu vecino cortar, pon las tuyas a remojar.