La multinacional de consultoría e ingeniería Ayesa, que hace más de un mes sufrió un ciberataque y el viernes vio cómo Black Basta hacía públicos todos los datos que había sustraído de unos servidores internos de la compañía, se encuentra en estos momentos “analizando la publicación de 4,5 terabytes de información robada” por los ciberdelincuentes, y cuando finalice, “procederá a iniciar las comunicaciones pertinentes, tanto a los afectados como a las autoridades competentes”.

Así se lo ha trasladado la empresa a sus trabajadores a través de un texto por mensajería interna, que fue enviado el pasado viernes, un día después de que el grupo de ciberdelincuentes Black Basta subiera a sus servidores en la dark web los datos que había sustraído a la compañía tras su jaqueo de finales de abril, mensaje que la gran mayoría de la plantilla ha leído en la mañana de este lunes, según han trasladado a Viva Sevilla fuentes internas.

La empresa reconoce en el texto que fue un “sofisticado ciberataque que puso a prueba nuestras defensas y procedimientos de seguridad” y señala que gracias a “nuestro sistema de alerta pudimos detectar rápidamente la intrusión y bloquear su avance, estableciendo un perímetro de seguridad y medidas de refuerzo para evitar su repetición”.

“La principal afectación fue en unos servidores de datos, que suponen alrededor del 1% de la información almacenada”, prosigue la empresa, reconociendo que en la investigación se identificaron inicialmente “ficheros encriptados, pero poco después se descubrieron exfiltraciones de datos por parte de los ciberdelincuentes en los servidores del área de ingeniería y algunas carpetas del ámbito corporativo”.

“Afortunadamente, y como consecuencia de la buena labor de los equipos de Sistemas y nuestros mayores expertos en almacenamiento, se logró minimizar el daño”, asegura el correo enviado por los Servicios Corporativos de Ayesa.

“Paralelamente a las medidas de contención y reparación, la compañía activó el protocolo de notificación a las autoridades competentes, entre ellas la Agencia Española de Protección de Datos y la Policía Nacional, con las que llevamos colaborando estrechamente desde entonces para garantizar el cumplimiento de todas las obligaciones legales aplicables en estos casos”, aseguran.

Asegura que también informaron “oportunamente” a las representaciones legales de los trabajadores, para que “todos los agentes relevantes” de la organización tuvieran conocimiento del ciberataque y de la información con la que contaban.

Tras la exfiltración de datos, análisis y comunicación

“Para Ayesa ha sido una prioridad desde primera hora intentar preservar la integridad de la información, cumpliendo rotundamente con el procedimiento legal que aplica en estas situaciones, pero fruto de la actividad delictiva, ayer la dark web publicó la información exfiltrada”, continúa el correo corporativo.

Lo que procede en estos casos es informar a los profesionales afectados, reconoce, lo que ha hecho cuando los ciberdelincuentes “difundieron los primeros datos hace unas semanas, ofreciéndoles las pautas de actuación a seguir conforme a las indicaciones de las autoridades”.

Así, informan de que la compañía sigue “analizando la publicación de 4,5 terabytes de información robada por los mismos ciberdelincuentes, y tras ello procederá a iniciar las comunicaciones pertinentes, tanto a los afectados como a las autoridades competentes”.

“Somos conscientes de la sensibilidad de este asunto. El contexto de cómo han robado la información, sumado al entorno ilegal donde lo han publicado, no hace sencilla la labor de identificación, pero estamos trabajando para poder responder a nuestras obligaciones como compañía. Si bien, por los motivos citados, el proceso puede alargarse en el tiempo”, aunque sí que reiteran que “ahora mismo la operativa del negocio y el servicio a nuestros clientes está asegurada y certificada por auditores externos”.

“Nuestro compromiso con la protección de nuestros sistemas y la continuidad de nuestras operaciones continúa siendo firme. En paralelo a la investigación, en las últimas semanas la firma ha estado inmersa en el mayor refuerzo de nuestros sistemas de ciberseguridad”, por lo que piden a la plantilla “colaboración” en la aplicación de las nuevas medidas seguridad para contar con “contraseñas más seguras o ampliar el sistema de autentificación” y anuncian que, dentro de sus posibilidades, al ser un “hecho delictivo bajo investigación policial, seguiremos manteniendo una política informativa con todos los profesionales”.