Marcos Díaz Molk, socio gerente del Grupo Dimolk, cuenta en el Foro Empresa Resiliente de Quincemil su experiencia
La empresa gallega que sobrevivió a un ciberataque: “Tuvimos que pagar el rescate”
Grupo Dimolk sufrió en 2014 un ataque ransomware que dejó bloqueada toda su información: “No podíamos acceder a nada”
Cobertura completa: Foro Empresa Resiliente de Quincemil
Un lunes de noviembre de 2014, a las nueve de la noche, Marcos Díaz Molk recibió un mensaje de su hermano que parecía un problema informático más dentro del concesionario familiar. Pero en cuestión de minutos entendió que aquello era mucho más grave.
“No puedo acceder a común”, le escribió. La carpeta compartida de la empresa había desaparecido. Todos los archivos aparecían encriptados y un mensaje exigía el pago de un rescate para recuperarlos.
“Ahí te das cuenta de la gravedad de la situación. No podíamos acceder a nada”, recordó este viernes el socio gerente de Grupo Dimolk durante su intervención en el Foro Empresa Resiliente organizado por Quincemil.
La empresa gallega, dedicada al sector de la automoción y concesionaria de Peugeot, Nissan e Isuzu, acababa de sufrir un ataque ransomware cuando este tipo de delitos todavía eran poco conocidos fuera de los entornos tecnológicos.
“Toda la información del concesionario estaba encriptada”
Díaz Molk, ingeniero informático y segunda generación de la empresa fundada por su padre en 1984, explicó cómo descubrieron que el ataque había paralizado por completo la actividad.
“Todo estaba encriptado: archivos compartidos, documentos, el programa de gestión… solo podías ver el nombre de los archivos”, explicó.
El problema fue todavía mayor cuando comprobaron que la copia de seguridad también estaba afectada.
“La copia estaba en el mismo servidor y también estaba mal”, relató.
Sin acceso al sistema de gestión del concesionario, la empresa quedó prácticamente bloqueada. No podían consultar información contable, matricular vehículos ni acceder a documentación básica para trabajar.
Foro Empresa Resiliente: Cómo evitar que un ciberataque te tumbe: la empresa gallega que sobrevivió
La decisión más difícil: pagar el rescate
Ante la falta de alternativas, Grupo Dimolk tomó una decisión extrema: pagar.
“Está mal decirlo, pero la solución fue pagar el rescate”, reconoció durante el foro.
En aquel momento el bitcoin era todavía un gran desconocido. Según explicó, tuvieron que comprar tres bitcoins para completar el pago exigido por los atacantes.
“Comprar bitcoins en 2014 era como pasar al lado oscuro”, recordó entre risas. “Pensabas que te iban a robar también la cuenta bancaria”.
La sorpresa llegó después del pago. Tras recibir un archivo ejecutable y ponerlo en marcha, todos los documentos comenzaron a desencriptarse automáticamente.
“Fue como Matrix. Veías cómo todos los archivos volvían a aparecer normales otra vez”, explicó.
El alivio, asegura, fue enorme. “Si no recuperábamos aquello, yo iba a ser el cuñado más inútil de la historia”.
Cuatro días trabajando “como hace 25 años”
El ataque obligó a la empresa a regresar temporalmente al papel y al trabajo manual.
Durante varios días, el concesionario funcionó sin sistemas informáticos.
“Las órdenes de reparación del taller se abrían a mano, no podíamos acceder a información fiscal ni contable y matricular coches era imposible”, recordó.
El rescate de la información no llegó hasta el jueves. Desde el lunes por la noche hasta entonces, la actividad estuvo seriamente afectada.
“Fue volver a trabajar como cuando mi padre fundó la empresa”, resumió.
El origen del ataque: un archivo abierto desde el correo
La investigación posterior permitió descubrir cómo había comenzado todo.
Un empleado había ejecutado un archivo recibido por correo electrónico. A partir de ahí, el virus empezó a extenderse por toda la red interna de la empresa.
“Teníamos una configuración muy caótica, con carpetas compartidas accesibles para mucha gente”, explicó.
Por eso insistió en la importancia de la formación interna y de la prevención.
“El fraude del CEO nos pasa todos los días. Hay que educar muchísimo a las empresas y a los trabajadores”, advirtió.
“El rescate medio ahora puede llegar a 150.000 euros”
Durante el coloquio, Díaz Molk alertó además del incremento de este tipo de ataques en España, especialmente en sectores muy digitalizados como el de la automoción.
Según explicó, en recientes reuniones del sector se habló de rescates medios de hasta 150.000 euros en concesionarios españoles.
“Hace dos meses nos contaban el caso de un gran grupo al que le pedían medio millón de euros”, afirmó.
Por ello, defendió que las empresas deben asumir que el riesgo existe y prepararse antes de sufrir un ataque.
Entre las medidas básicas citó las copias de seguridad automáticas y externas, los sistemas actualizados y la externalización de la seguridad informática.
“Hay muchísimo que educar”
El empresario cerró su intervención con una anécdota que, para él, resume la situación de muchas pequeñas y medianas empresas.
En una visita reciente a otra compañía vio un servidor físico colocado en una zona común y utilizado prácticamente como soporte de un microondas.
“Encima del servidor tenían el microondas para calentar la comida”, relató.
“Hay muchísimo que educar todavía”, concluyó.
El Foro Empresa Resiliente de Quincemil tuvo lugar en Santiago de Compostela el pasado 29 de abril, con el apoyo de SABSEG, E.Nova Enerxía, AEGA (Asociación Empresarial Gallega de Ascensores) y Grupo Dimolk.
