El ataque de ransomware de enero de 2023 contra Royal Mail ha expuesto aún más el lamentable estado de la infraestructura de la empresa, mientras lucha por sobrevivir en un mercado ultracompetitivo.
Desde la pérdida de su monopolio de 350 años en 2006, el otrora imperioso servicio de mensajería se ha visto acosado por conflictos, con pérdidas reportadas de £ 1 millón por día y una fuerza laboral inquieta organizando huelgas en un amargo enfrentamiento de larga duración con la gerencia.
El ataque no podría haber llegado en peor momento para Royal Mail, pero la empresa es la artífice de su propia desgracia; después de medidas drásticas de reducción de costos que pueden haber visto reducido su presupuesto de seguridad cibernética, es posible que la empresa se haya dejado completamente expuesta a que ocurra tal calamidad.
Los piratas informáticos del notorio grupo LockBit, vinculado a Rusia, lograron eludir la seguridad de Royal Mail y desactivar los sistemas internos hasta tal punto que la empresa no pudo realizar entregas internacionales de paquetes y cartas.
Al mismo tiempo, LockBit robó tramos de datos de los servidores de Royal Mail que amenazó con divulgar públicamente a menos que la empresa pagara un rescate de 66 millones de libras esterlinas.
Fue una pesadilla hecha realidad para la gerencia, así como para el personal y los clientes de la empresa, pero es posible que se hubiera evitado si la empresa hubiera tomado medidas preventivas y de precaución serias para frustrar tal escenario.
En el momento de la privatización de Royal Mail en 2013, los críticos advirtieron sobre los peligros de que el Estado renunciara a un activo de tan vital importancia nacional y lo dejara a merced de administradores e inversores sedientos de ganancias.
Dado el papel fundamental de Royal Mail en la vida diaria de millones de ciudadanos y miles de empresas por igual. En el nuevo y valiente mundo de la era de Internet, había mucho más en juego que un vagón lleno de dinero en efectivo en la era pasada del Gran Robo del Tren.
En la década siguiente, la amenaza que representaban para las empresas los equipos de delincuentes cibernéticos creció exponencialmente junto con el nivel de sofisticación y las herramientas de piratería que podían implementar los infames actores.
La devastación causada a la infraestructura crítica en ataques previos de alto perfil a otras empresas debería haber estimulado a la gerencia de Royal Mail a gastar aún más dinero para reforzar la seguridad. En cambio, se supone que ocurrió lo contrario, ya que la empresa buscó formas a corto plazo de ahorrar dinero.
Ahora, tras el ataque de LockBit, será muy evidente para los que están al mando de la empresa que un enfoque tan ahorrativo fue una economía falsa, ya que se enfrentan a las consecuencias del hackeo en su balance.
En un plazo inmediato, se enfrentan a la perspectiva de pagar una suma sustancial para finalmente deshacerse de la presencia no deseada de LockBit y dejar el asunto. Al mismo tiempo, el impacto devastador del hackeo en el negocio de entregas diarias de Royal Mail durante un período de seis semanas también afectará duramente a la empresa.
Para colmo de males, la empresa también enfrenta la posibilidad de multas masivas de la Oficina del Comisionado de Información (ICO) gracias a las violaciones de datos causadas por la liberación de LockBit del material robado.
El ICO puede imponer multas monetarias a las empresas de hasta el 4% de la facturación anual como castigo por dichas infracciones que, si se aplicaran en el caso de Royal Mail, serían otro golpe de martillo a su ya peligrosa posición financiera.
Royal Mail denunció la demanda de rescate inicial como “absurda”, y sus negociadores adoptaron una postura igualmente desdeñosa en las comunicaciones con sus homólogos de LockBit.
El único pedido urgente que Royal Mail hizo a los piratas informáticos fue descifrar los archivos relacionados con el equipo médico que se le había encomendado transportar, para que el ataque no terminara costando vidas si la mercancía no podía ser entregada.
La participación de Royal Mail en áreas tan críticas como la medicina y la salud subraya su importancia nacional, pero al mismo tiempo sirve como un recordatorio de que la empresa tiene el gran deber de proteger adecuadamente su infraestructura, dado su papel crucial en los envíos de vida o muerte.
Habiéndose negado a acceder a las demandas de LockBit, Royal Mail logró reanudar las operaciones internacionales sin la ayuda de los piratas informáticos, pero su intransigencia hizo que LockBit cumpliera su promesa de liberar los datos robados durante el ataque.
El 23 de febrero, se publicaron 44 GB de datos, incluidos registros confidenciales e información sobre los empleados de Royal Mail, lo que dejó a la empresa expuesta a posibles reclamaciones de compensación además de posibles multas de ICO.
LockBit sigue exigiendo un enorme rescate de 33 millones de libras esterlinas a pesar de la publicación de los datos, lo que implica que tiene más datos confidenciales en su poder o que sus herramientas de descifrado siguen siendo vitales para que Royal Mail vuelva a funcionar como de costumbre.
La situación de Royal Mail debería servir como advertencia para todas las demás empresas que están considerando reducir su gasto en seguridad cibernética. La seguridad de los datos siempre debe anteponerse a las ganancias, principalmente para garantizar la seguridad de los empleados y clientes, pero también para evitar los costos agobiantes asociados con un ataque como el de LockBit.
La seguridad cibernética es un área donde simplemente no se pueden tomar atajos; a medida que los piratas informáticos continúan ampliando sus habilidades y alcance, las empresas deben mejorar su propio juego de seguridad de datos en respuesta.
Siempre es mejor prevenir que curar, como ha descubierto Royal Mail por las malas.
Simon Ridding es asociado sénior de Keller Postman UK y se centra principalmente en la privacidad y la competencia. Trabajó en múltiples acciones colectivas relacionadas con violaciones de datos de alto perfil.