En Nochevieja, el proveedor de divisas Travelex sufrió un devastador ataque de ransomware, que semanas después está lejos de resolverse. No hay duda, sin embargo, de que las repercusiones se prolongarán durante muchos meses, y pueden suponer elevados costes para la empresa, además de daños a su reputación y posibles acciones reguladoras.
Travelex se vio afectada por Sodinokibi, un virus informático que ataca a los sistemas Windows y cifra los archivos. Los informes dicen que se pidió un rescate de unos 4,6 millones de libras, pero Travelex no ha declarado si de hecho lo ha pagado. Los delincuentes han dicho que liberarán 5 GB de datos de clientes, que incluyen números de la seguridad social, fechas de nacimiento e información sobre pagos con tarjeta. Al parecer, el pago del rescate conduciría a la eliminación de la base de datos vulnerable y al restablecimiento de la red de la empresa.
¿Qué ha fallado?
Aún no se conocen todos los detalles, pero se cree que los servidores de la red privada virtual de la empresa, que proporcionaban al personal acceso remoto a los ordenadores centrales, carecían de parches, lo que los hacía más vulnerables. Algunos expertos en seguridad han afirmado que la empresa debería haber tomado medidas hace meses para evitar un ataque de este tipo. Las secuelas
La empresa tiene presencia en unos 70 países, más de 1.200 sucursales y unos 1.000 cajeros automáticos en todo el mundo, y el ataque obligó a Travelex a cerrar su sitio web mundial. Aunque pudo seguir operando hasta cierto punto, el personal tuvo que recurrir al bolígrafo y al papel para las transacciones de las sucursales mientras la empresa estuvo desconectada. Se entiende que se informó a la policía el 2 de enero y que la Policía Metropolitana dirige la investigación. Sin embargo, la Oficina del Comisario de Información (ICO) no ha sido informada hasta la fecha de ninguna posible infracción. Travelex ha declarado que no cree que se haya vulnerado ninguno de sus datos, y puede que éste sea el motivo por el que no lo notificó a la OIC. Aun así, según el Reglamento General de Protección de Datos (RGPD), existe la obligación de notificar cualquier violación de datos en un plazo de 72 horas. Las consecuencias de no hacerlo podrían llevar a la empresa a enfrentarse a una cuantiosa multa, con una sanción máxima equivalente a 20 millones de euros o al 4% de la facturación anual global (la cantidad que sea mayor). Parece que, entre bastidores, la ICO va a examinar de cerca lo ocurrido, y la Autoridad de Conducta Financiera también ha dicho que está en contacto con la empresa para garantizar un trato justo a los clientes. Efectos en cadena
Aun así, Travelex ha tomado claramente medidas para rectificar la situación, explicando que ha contratado a equipos de expertos en ciberseguridad para solucionar los problemas informáticos. El caso también muestra lo perjudicial que puede ser un ataque de este tipo para las relaciones comerciales con terceros, así como para la buena voluntad de los consumidores. Travelex prestaba servicios a grandes bancos como Lloyds, Barclays y Royal Bank of Scotland, Tesco Bank, Sainsbury’s Bank, Virgin Money y First Direct, y estas empresas también se vieron afectadas por la suspensión temporal de los servicios de cambio de divisas en línea. Mientras tanto, el director ejecutivo Tony D’Souza ha pedido disculpas a los clientes, y la empresa ha ofrecido a los afectados asesoramiento sobre cómo obtener reembolsos, así como otra información a través de los servicios de asistencia global y las redes sociales. A pesar de ello, ha habido quejas de que no se está haciendo lo suficiente, y en los medios de comunicación han aparecido historias de clientes que no han recibido la moneda que habían pedido por Internet. También se han hecho comentarios en los que se afirma que Travelex no se ha apresurado a explicar lo sucedido, con mensajes poco transparentes en su sitio web, en los que se afirma que estaba fuera de servicio por «mantenimiento planificado» en lugar de admitir el ciberataque. Se dice que la empresa ha contratado a la empresa global de asuntos públicos Brunswick para que le ayude a gestionar la crisis de comunicación en curso. Cualquier fallo informático puede ser costoso para una empresa, y éste es sin duda uno a gran escala. Por ello, aunque se ha informado de que Travelex tenía contratado un seguro de ciberseguridad, es poco probable que éste cubra todos los gastos ocasionados. Y aunque la empresa matriz de Travelex, Finablr, con sede en Abu Dhabi, ha restado importancia a cualquier impacto financiero, se ha producido una caída del precio de las acciones y una venta por parte de algunos inversores.
El primer gran ciberataque de 2020 muestra claramente cómo empresas como Travelex pueden aparecer en los titulares por razones equivocadas.
