Ciberataque al Grupo Schmersal: así fue el 'off' total de una empresa industrial

"Recibimos la llamada el día 20 de mayo, a las 16:45: Fuentes oficiales informaban al Grupo Schmersal, que cibercriminales estaban planificando un ataque dirigido a la red de la empresa. Tras una verificación de la llamada –podía tratarse de un fake– los responsables de informática se reunieron y tomaron inmediatamente una decisión de gran envergadura: desconectar toda la red corporativa. En cuestión de diez minutos se había cortado la conexión a Internet, y tras 90 minutos, el entorno informático en todo el mundo se había apagado. Todo dejó de funcionar, desde la central de teléfono, pasando por toda la infraestructura del sistema ERP y la producción completa, hasta el almacén completamente automatizado, en todas nuestras sedes".

Así detallan desde Schmersal cómo fueron los primeros minutos ante el aviso que se estaba produciendo un ciberataque de envergadura a la infraestructura tecnológica del Grupo. "Pronto nos dimos cuenta de que ésta fue la decisión correcta y de que llegó en el momento preciso. Forenses informáticos fueron capaces de identificar y aislar el agresivo malware. Por lo visto, cuando se desconectaron los sistemas, el atacante aún se encontraba en fase de preparación. Lo siguiente era evitar que culmine ese ataque". Como medida inmediata, los sistemas tuvieron que permanecer desconectados por seguridad, hasta que pudieron ser limpiados completamente. Durante varios días se mantuvo el estado offline: toda la producción se mantuvo parada, mientras que en administración y ventas trabajaban intensivamente para informar a clientes, proveedores y otros socios comerciales.

Philip Schmersal, socio gerente: "En situaciones como ésta, es cuando nos damos cuenta del alcance de la dependencia que tienen las empresas de la tecnología informática. Hablar por teléfono, enviar mails, recibir pedidos: Tuvimos que buscar canales alternativos para cada procedimiento. Nos dedicamos a buscar el contacto con nuestros clientes de todas las maneras imaginables, con tal de mantenerlos al tanto. El objetivo era perjudicar de la menor manera posible las cadenas de suministro de nuestros clientes. Al mismo tiempo tuvimos que hacer mucho trabajo manual". Ya que el malware creado específicamente para dañar a Schmersal inicialmente no fue detectado por ningún escáner estándar, fue necesario aplicar una rutina de limpieza individual a cada equipo informático. Al mismo tiempo, utilizamos servidores de sustitución para mantener las comunicaciones, se imprimieron miles de mails para gestionarlos manualmente, y se volvieron a cargar todos los programas de software.

Tras una semana de trabajo intensivo, el sistema ERP se pudo poner nuevamente en marcha, al igual que el almacén central en Wuppertal. También fue posible reactivar con éxito la red de comunicaciones que conecta a no menos de siete plantas de producción y 64 sociedades internacionales y representaciones comerciales. Fue necesaria una semana más para que se retomara la producción completa en las plantas alemanas.

Hablando sobre las lecciones aprendidas durante el incidente, que llevó a la empresa a estar en estado de excepción durante dos semanas, Philip Schmersal comenta que: "Ante todo, hemos tenido la suerte de haber sido alertados, por lo que pudimos intervenir a tiempo. Lo que más me ha impresionado ha sido el compromiso de toda la plantilla que, independientemente del horario de trabajo o del departamento al que pertenecen, estuvieron manteniendo el funcionamiento de emergencia, incluso durante los fines de semana y sin red corporativa. La situación de crisis nos ha demostrado claramente que nuestro espíritu corporativo se vive, actuamos como empresa. Eso es lo que nuestros empleados han puesto en práctica con gran dedicación, contribuyendo a que hayamos podido volver a la actividad con bastante rapidez, considerando la gravedad del ataque".

Los responsables también han valorado muy positivamente la buena colaboración con empresas vecinas y socios de red de la región. "La gran cantidad de trabajo que fue necesaria realizar en la estructura informática, solo fue posible gracias a la ayuda de las PYMEs vecinas de la zona. También queremos darle las gracias a algunas empresas del sector de la automatización, que ya habían sido víctimas de ataques como éste y que nos apoyaron durante las pasadas dos semanas de manera totalmente desinteresada. Nuestro agradecimiento también va a nuestros clientes, por su comprensión, y sobre todo a nuestros empleados, por su enorme implicación durante esta fase tan complicada.»

El ataque nos ha demostrado que la protección habitual con programas antivirus y firewalls no es efectiva en el caso de ataques dirigidos con malware desconocido hasta ese momento. Schmersal ha puesto a disposición inmediata de los proveedores más importantes de programas antivirus, toda la información sobre el malware. Estos proveedores han ampliado su protección de manera correspondiente, de forma que este virus muy probablemente ya no podrá causar más daños, "Sin embargo hemos aprendido, que es necesario redefinir los entornos informáticos de las PYMEs, y que el tema de la seguridad informática se puede convertir rápidamente en un tema crucial".