Aunque parezca que no esctamos acostumbrando a ver sucesos como este constantemente, el golpe recibido por Jaguar Land Rover va todavía un poco más allá de lo normal y obliga a replantearse algunas situaciones que hasta ahora dábamos por establecidas.
Lo que ha pasado es muy sencillo de explicar pero muy difícil de justificar: el treinta y uno de agosto pasado un grupo de ciberdelincuentes consiguió de un ejecutivo tecnológico de Jaguar Land Rover las claves de acceso a los sistemas críticos de la compañía e instaló el clásico programa de ransomware. La empresa se vio obligada inmediatamente a detener la producción en sus tres principales fábricas y a cerrar todos los sistemas informáticos de producción, administrativos y comerciales.
Que un fabricante automovilístico del tamaño de Jaguar Land Rover tenga que apagarlo todo para protegerse nos demuestra que su arquitectura era mucho más frágil de lo que se suponía y por supuesto infinitamente más débil de lo que su propio marketing contaba sobre sus capacidades tecnológicas. Se supone que Jaguar Land Rover tenía un sistema de fabricación inteligente donde todo estaba conectado pero resulta que ese exceso de conexión no se implementó con la necesaria segmentación y eso impidió aislar las plantas de producción de los sistemas comerciales o de los de administración y acabó provocando que hubiese que apagarlo todo para proteger al sistema.
El resultado ha sido brutal y las tres principales fábricas de Jaguar Land Roberts en el Reino Unido en Solihull, Wolverhampton y Halewood han tenido que estar paradas durante cinco semanas, lo que ha supuesto una caída del 27% en la producción de coches en el Reino Unido en septiembre, volviendo a niveles propios ¡de 1952! El perjuicio no es solo para la fábrica sino que cada uno de estos centros de producción tiene a su alrededor una pléyade de proveedores que se han visto sorprendidos, sin ser ellos víctimas del ciberataque pero que han visto sus operaciones súbitamente suspendidas y a muchos les ha puesto al borde de la quiebra.
Aquí no se trata de juzgar a los ciberatacantes, porque ya sabemos que son simples delincuentes que han provocado un daño brutal, sino de estudiar cómo es posible que una empresa de ese tamaño pueda lanzarse a una digitalización absoluta sin las necesarias garantías de seguridad. Haber cumplido, como hacía Jaguar Land Rover la norma ISO 27.001 y completar sus correspondientes programas de formación y concienciación para los empleados queda muy bien para la publicidad y las notas de prensa corporativas pero la realidad ha demostrado que los propios empleados de la compañía han ignorado sistemáticamente todos los protocolos de seguridad y han permitido la entrada de los ciberatacantes. Por lo tanto, y esto lo importante, los protocolos estaban mal diseñados porque permitían que se incumpliesen por quienes debían aplicarlos.
En cuanto a la respuesta de la empresa las críticas, por supuesto, no se han hecho esperar y aunque desde Jaguar Land Rover afirman que se actuó de forma inmediata y se apagaron los sistemas en cuanto saltaron las alertas, la realidad es que si tuvieran que apagarlos es porque ni ellos mismos confiaban en sus mecanismos de defensa ni los mecanismos de separación de segmentación o los backups inmutables estaban correctamente implementados. La reanudación de las actividades se ha ido haciendo por fases, lo que nos hace pensar que tampoco existía un plan de continuidad industrial sino que se esta probando poco a poco hasta saber qué partes del entorno estaban comprometidas. Si un ataque es capaz de parar una planta durante cinco semanas, ya no se le puede echar la culpa al hacker, la culpa es de la empresa.
Y como siempre pasa en Europa, al final van a ser los contribuyentes los que acaben pagando los platos rotos porque el gobierno británico ha prestado un aval de mil quinientos millones de libras, unos mil ochocientos millones de euros, para que Jaguar Land Rover pueda pagar a los proveedores y mantener viva su cadena de suministro. El dinero lo ponen los bancos pero está avalado por la administración a través de UK Export Finance lo que significa que es el contribuyente británico el que asume al final el riesgo de la operación.
Este gasto de dinero público es más que discutible porque la empresa, a fin de cuentas una filial de la multinacional india Tata, sí tenía acceso a los mercados y podía haber solicitado el préstamo sin necesidad de avales públicos. Ese aval público lo que provoca es que otras empresas no se sientan obligadas a reforzar su ciberseguridad porque saben que papá Estado volverá a avalar y no habrá un verdadero incentivo para invertir en arquitecturas de seguridad haciendo las correspondientes divisiones estancas, haciendo backups más sólidos o contratando seguros. También hay que notar que el Gobierno británico ha llegado corriendo para ayudar al gran fabricante y se olvidó de los pequeños proveedores que ahora tendrán que esperar a que sea Jaguar Land Rover la que les vaya pagando con el dinero que va a recibir gracias a los avales públicos.
Este ataque a Jaguar Land Rover vuelve a sacar otra vez a la palestra la necesidad de que las grandes empresas tomen absolutamente todas las medidas necesarias para asegurarse de que el peor de los ataques no va a afectar al 100% de sus actividades, de forma que asumiendo que los ataques son inevitables, puedan aislar una parte del sistema mientras que el resto el resto de la compañía sigue funcionando. Lo que ha pasado ahora con Jaguar Land Rover es el equivalente a que unos atracadores entrasen a punta de pistola en la sucursal central de un banco e inmediatamente hubiera que paralizar todas las sucursales abiertas en otras ciudades o en otros países. Suena a disparate ¿verdad? Pues eso.
