Le sucedió a una pyme dedicada a servicios que aún factura unos 2,5 millones de euros y tiene los datos de 3.000 clientes, datos de salud incluidos.

En las oficinas las personas estaban de pié frente a sus escritorios y el murmullo pasó a vocerío rápidamente. En sus pantallas, tras intentar abrir un archivo aparecieron unas instrucciones claras:

– «si quiere recuperar sus datos encriptados debe pagar 1 bitcoin como rescate»

– (unos 6.700 € averiguó el Responsable de Administración)

Nadie sabe como ha sucedido, pero alguno recordaba que no debió haber abierto «aquel» enlace.

Rápidamente el Responsable de Administración llama a la empresa que gestiona los servicios IT, les informa y les pide soluciones alternativas.

La empresa de IT les dice que la copia de seguridad más actualizada es de hace un mes:

– «lamento recordarles que aconsejamos no reducir las copias a una vez al mes, aunque supusiese una reducción de coste del 25%».

Había que tomar una decisión si no querían perder los datos de un mes de trabajo: o los reconstruían invirtiendo 300 horas de trabajo, es decir, unos 9.000€ como mínimo, ¡o pagaban el rescate!

El problema no terminaría ahí, la empresa de servicios IT es también quien les ha gestionado la LOPD con un departamento especializado en la materia. Este departamento se pone en contacto con el Responsable de Administración y le informan:

– «hay que notificar la brecha de seguridad a la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, y en 72 horas desde que se conocieron los hechos».

– «y asimismo, es obligatorio notificar a los clientes afectados por la brecha de seguridad», continuó explicando el especialista en LOPD.

Las notificaciones a los 3.000 clientes (900 de ellos personas físicas de una asociación) suponían 3,5 euros por cliente, es decir 10.500€.

Llegados a este punto tenemos un coste de 17.200€, asumiendo que se paga el rescate como mal menor. Pero esto no ha hecho más que empezar.

Una semana después de comunicar a la AEPD, llega un escrito de ésta, donde la AGENCIA notifica que se abre expediente sobre la brecha de seguridad y la vulneración de los datos de los clientes, personas físicas en su mayoría. La sanción propuesta es de 25.000€.

A las dos semanas de la notificación llega un burofax de un despacho de abogados especializado en Demandas Colectivas, informando que 900 clientes de la asociación afectados por la violación de seguridad y de privacidad de sus datos interponen demanda. Reclaman 200€ por cada afectado, es decir, 180.000€.

Aquel link se había convertido en una bola de nieve que alcanzó los 220.000 € y un impacto en la confianza que se convertiría en una losa con la que cargarían tiempo después.

Resumen y conclusiones:

1. Con un protocolo de seguridad en la gestión del correo electrónico se habría evitado la encriptación.

2. Las copias de seguridad se deben hacer a diario.

3. Si hubieran tenido contratado ESCUDO CIBER por 695€ al año, la pyme habría obtenido una cobertura de 600.000€ frente a secuestros como este. El coste total para solucionar el problema habría ascendido a 1.659€ (659€ de la prima y 1.000€ de la franquicia) en vez de 222.200€.