La interna de GTD en el mes más complejo para los Casanueva

El 23 de octubre, antes de almuerzo, una alerta llegó al celular de los principales ejecutivos de GTD. Se anunciaba la activación del comité de crisis y el llamado urgente a reunión. Varios pensaban que era un simulacro. Ya habían tenido algunos dentro del protocolo que tiene la compañía... pero no, esto era real.
Ese día, el centro de extensión de ciberseguridad que tienen, puntualmente, el CyberSOC que monitorea las redes 24 horas, alertó de un comportamiento extraño en los sistemas. Se trataba del área de IaaS (Infrastructure as a Service), que permite a clientes almacenar y procesar servicios en la nube. El manual de acción se activó: se desenchufaron todas las plataformas al instante; se le avisó al equipo de respuesta ante incidentes de seguridad informática (Csirt) del Ministerio del Interior, y se alertó a los clientes que sus máquinas habían sido apagadas. Y empezó el mes más intenso para la firma en su historia, revelan contactados.
Habían sido hackeados, en uno de los casos más importantes desde el ataque al Banco de Chile en 2018. Y se informó al directorio. Hoy, la mesa es presidida por Juan Manuel Casanueva, quien fundó la compañía en 1979 como una pequeña firma para que las mesas de dinero de los bancos y financieras se pudieran comunicar por teléfono de forma privada. Si bien partió siendo puramente familiar, conocedores de la compañía precisan que se ha ido profesionalizando. En la mesa, además de Casanueva, está su hijo Manuel José Casanueva como vicepresidente; el ex gerente general de CMPC Hernán Rodríguez; el artista visual Fernando Soro; el economista Cristián Eyzaguirre; el ingeniero comercial Máximo Israel, y el ingeniero civil industrial Alberto Bezanilla. Quienes conocen a Casanueva precisan que su lema es "el cliente siempre tiene la razón, y si no la tiene, la tiene"; por lo que este mes ha sido complejo; uno de sus máximas se ha visto sobrepasada, por, además, algo que no es fácil de comprender a simple vista. Todo el equipo -puntualmente, la plana gerencial- ha tenido capacitaciones para entender qué los atacó.
Al poco andar, determinaron que el virus se trataba de un ransomware inédito, una mutación de uno descubierto recién en abril, para el cual no tenían ni existía código que pudiese haber sido detectado por sus sistemas, que cada día frenan unos 4.000 ataques. De hecho, podría haber pasado perfectamente por los antivirus. "El ransomware borra los registros de eventos, detiene varios servicios, elimina las copias de seguridad del sistema y desactiva los cortafuegos de Windows", señala un informe del Csirt. Ni los respaldos funcionaban, porque no se sabía si estaban también afectados. "Este fue causado por una nueva variante de un malware tipo ransomware conocido como 'Rorschach' (o 'BabLock'), con un nivel de sofisticación y rapidez de cifrado muy superior a otros ransomware conocidos a la fecha en Chile y el mundo", dicen en la firma.
El virus tenía la capacidad de encriptar información en cinco minutos -cuando otros códigos conocidos encriptan en siete-, por lo que apagar los sistemas fue la única forma de contener una expansión mayor que ya afectada a su operación en Chile, pero también en Perú. El holding también opera en Colombia y España. Solo se encriptó información, pero esta no fue robada.
Ningún grupo se adjudicó ni se ha adjudicado el ataque. Eso sí, les enviaron un mensaje pidiéndole a la empresa contactarlos para negociar. Les decían que para recuperar sus archivos necesitarían una herramienta de desencriptación. "Para obtenerla deben contactarnos dentro de 24 horas por mail", se lee en el mensaje. La compañía no los ha contactado, y no lo hará. Ya ha pasado prácticamente un mes de eso.
Microsoft, Google y Dell
El comité de crisis es liderado por el gerente general, Fernando Gana, y lo componen todos los altos ejecutivos de la firma. Comenzó reuniéndose cada tres o cuatro horas, hoy se mantiene y seguirá hasta que la crisis esté totalmente resuelta, pero de manera más aislada. Se determinó que todos los clientes debían ser llamados uno a uno.... y algunos de los afectados fueron Fonasa, Segpres con Firma Nacional, el Servicio Civil con la Alta Dirección Pública, la Subsecretaría de Desarrollo Regional, que vieron afectado un RP que daba servicio a 77 municipios, la Subsecretaría de Prevención del Delito, la Defensoría de la Niñez, algunos gobiernos regionales, el Serviu de Ñuble, la Subsecretaría de Educación Superior y Sercotec, según dijo el Csirt ante los diputados a fines de octubre. Y si bien trascendió que se habían visto impactados unos 3.500 usuarios, cercanos a la firma dicen que es un grupo bastante menor.
Más allá de ello, Casanueva ha estado encima, disponible para contestar los llamados de clientes directamente; una práctica que quienes lo conocen sostienen que hace de manera habitual. "Te pasa su tarjeta y dice que lo llames por cualquier problema, y no se desconecta de eso hasta que está resuelto". Ha estado comunicado de manera permanente con la administración, pero de manera remota; se retiró del día a día de la compañía hace una década. Quien ha ido puntualmente a la empresa a reunirse casi a diario con el gerente general -en el inicio de la crisis sobre todo- ha sido su hijo Manuel José. Además, se han realizado a lo menos dos directorios extraordinarios para ir monitoreando la situación. "Ambos han estado muy involucrados en la empresa, y ahora más", señala un cercano.
Es que si bien el ataque no afectó a los servicios residenciales, sino que se centró en un porcentaje menor de usuarios tipo empresas, el daño reputacional no ha sido menor. Mal que mal, dicen en el entorno de la firma, es una compañía masiva, con una marca reconocida, y cientos de clientes vieron sus plataformas caídas por semanas, interrupción que para algunas firmas se mantiene.
Además, el área empresas era justamente la que estaba creciendo. En los balances del grupo al primer semestre se lee que los ingresos subieron 6%, impulsados por clientes empresas, e ingresos de ciberseguridad y servicios TI. Los clientes residenciales, en tanto, habían bajado. Tienen un 7% de participación en internet fijo, un 10,2% en fibra óptica, cerca de un 5% en TV pago y un 14% en telefonía fija. A junio, GTD Grupo Teleductos S.A. reportaba pérdidas por $1.602 millones.
Un día después del hecho se aislaron todas las máquinas afectadas en un ambiente securitizado. La tarea sería y es ardua: descomprimir toda la información, revisarla, pasarla a otra sala, volver a revisar, pedirle al cliente que vise sus datos, tras lo cual recién se traslada a su lugar habitual para subirla a la red y recomponer el servicio.
En todo ese proceso han involucrado ayuda externa. Al segundo día se sumó un equipo de Dell. Luego, se agregó un grupo táctico de Microsoft Dart, y después personal de la firma de ciberseguridad de Google, Mandiant, aseguran desde la compañía.
Estos expertos han estado trabajando en los data center de GTD durante 24 horas en turnos de doce. "Se ha avanzado directamente con cada cliente en disponibilizar sus servicios en un ambiente securitizado y con el mayor resguardo", dicen en la firma.
Algunos clientes pidieron llevarse sus máquinas para revisarlas ellos mismos, lo que no se les ha permitido. "No podemos correr ese riesgo", precisan fuentes al tanto. Una de ellas fue la empresa Odis, que esta semana presentaría un recurso de protección por la privación del servicio. Esta acción fue rechazada por la Corte de Apelaciones y hoy está en la Suprema. Acusan estar sufriendo perjuicios claros por este tema: uno de sus clientes ya los denunció al Sernac por no haber recibido el producto comprado. GTD suspendió el cobro a todos los usuarios afectados hasta que se solucione la situación.
El Csirt también pidió retirar máquinas. Se les ofreció poder estar presentes en el trabajo interno de los expertos. Y justamente han ido y monitoreado. El 27 de octubre, fueron a uno de sus data center para observar, sin contacto físico, uno de los servidores. "A pesar de que la empresa colaboró con el Csirt, nuestros analistas no obtuvieron acceso físico a los servidores de la empresa", precisaron desde el organismo en un reporte del 31 de octubre.
A la fecha, no ha habido ninguna baja contractual, celebran cercanos a la compañía. Y si bien inicialmente los trámites de captación de clientes estaban más lentos, dado que el equipo completo estaba abocado en resolver la crisis, hoy se ha normalizado. Entienden que hay usuarios molestos, pero al interior sostienen que no pueden liberar los servicios hasta que se haya seguido el procedimiento previo.
El miércoles, la compañía se reunió con la Subtel para informar los avances en el servicio.
El hallazgo ya derivó en que se crearan indicadores de compromiso -códigos de los virus que se introducen en los sistemas de protección para evitar que entren al sistema- que fueron distribuidos por las compañías y agencias internacionales de ciberseguridad. De hecho, conocedores precisan que han reportado ataques de esta misma procedencia en varios países del mundo. E incluso han intentado penetrar en clientes de GTD, lo que ha sido detenido gracias a la incorporación de este indicador de detección en los sistemas.
Hoy, el tema sigue; aún falta un porcentaje por reponer. En GTD prefieren no dar fechas. En el intertanto, Juan Manuel Casanueva sigue arriba de la crisis de su compañía.
El presidente Juan Manuel Casanueva se ha comunicado directamente con clientes. Su hijo, Manuel José, ha ido regularmente a la empresa.