La pasada semana la AEPD publicó un informe sobre un ataque malware que comprometió la disponibilidad de los datos de Renault Retail Group, los servicios de acceso a las webs y el envío de datos. El ataque comenzó con un correo electrónico que contenía el malware que un empleado atendió (phishing).

Se estima que el número de registros afectados superó el millón.

Reanult, en cumplimiento del deber de informar a los interesados de la brecha de seguridad, procedió a informar del incidente a todos los potenciales afectados mediante una comunicación pública en su web . Se optó por esta vía al estimar que la comunicación individual a cada uno de los interesados hubiese supuesto un esfuerzo desproporcionado por los costes elevados y el por el hecho de que el servidor que contiene la base de datos no llegó a verse comprometido.

El incidente fue detectado por el encargado de tratamiento de Renault que gestiona el servicio de CRM, marketing relacional y gestión de las comunicaciones con los clientes. El incidente se detectó porque un equipo PC mostró un fallo al arrancar y dio paso a una pantalla en la que se solicitaba contraseña debido a que el disco duro estaba encriptado, y también mostraba una dirección de contacto para realizar el pago. Inmediatamente se sospechó de un posible ataque y se procedió a desconectar el equipo de la red de datos. A continuación, se procedió a la revisión de los servidores y se detectó que varios equipos tenían los discos duros encriptados.

Las acciones de contención que se tomaron fueron las siguientes:

  • Apagado de servidor de backup y unidades de almacenamiento conectadas al servidor de backup.
  • Desconexión de puertos de red y desconexión física de los PCs a la red.
  • Apagado de servidores comprometidos por el ataque.

Por otra parte, las acciones correctoras que se pusieron en marcha fueron, entre otras:

  • Verificación de credenciales de acceso a los recursos donde se alojan los backups.
  • Verificación del alojamiento de las copias de seguridad y el acceso desde la herramienta de backup. 
  • Planificación de la restauración de los servidores afectados.
  • Selección de backups con fecha anterior al día en que se detecta el ataque.
  • Restauración de todos los servidores afectados. La restauración es global de todo el servidor, no sólo de las unidades afectadas por el malware con objeto de asegurar de que no quede ningún proceso latente que pueda reproducir la infección de equipos.
  • Verificación del correcto funcionamiento de los servicios restaurados.
  • En los PCs-cliente afectados, se reinstalan a valores de fábrica.

También se detalla en el informe las medidas existentes con anterioridad a la brecha, entre las que destacan:

  • Medidas técnicas: el uso de herramientas como firewall, antivirus y vpn, la implantación de niveles de acceso según el perfil de usuarios, políticas de directorio activo (caducidad y complejidad de contraseñas, bloqueo de puertos USB, etc)
  • Medidas Organizativas: certificación ISO del Encargado de Tratamiento, existencia de un programa de formación de empleados y de un comité de Seguridad que trata este tipo de cuestiones.

Con toda la documentación aportada y el relato de los hechos realizado por el Responsable de Tratamiento, Renault Retail MAdrid S.A., la AEPD dictaminó que su actuación había sido conforme a la normativa sobre protección de datos, que disponía de medidas técnicas y organizativas razonables para evitar este tipo de incidencia, no obstante, y una vez detectada ésta, se produce una diligente reacción al objeto de notificar a la AEPD, e implementar medias para eliminarla.

Este caso nos muestra un ejemplo práctico de una buena gestión de un ataque malware tanto en su fase de prevención como en la de reacción y comunicación. El resultado es una resolución exitosa del problema que ha evitado la que podría haber sido una cuantiosa sanción unida a un grave daño a su reputación.