Meliá, un año del peor ciberataque de su historia: «Estamos siendo atacados, cortamos comunicaciones»

A las tres de la madrugada del lunes 4 de octubre de 2021 se inició el mayor ciberataque sufrido por el grupo Meliá en su historia. «Estamos siendo atacados. Cortamos comunicaciones», alertaron los jefes de ciberseguridad del grupo hotelero español y de Telefónica a sus equipos esa misma madrugada.

Los teléfonos de más de medio centenar de empleados de Telefónica Tech y de TI de Meliá comenzaron a sonar antes de las seis de la mañana de aquel 4 de octubre. «Cariño, ¿a estas horas?». «Uff… Estamos teniendo un ataque informático… ¿Puedes llevar tú a los niños al colegio esta mañana? Yo no me voy a poder mover del ordenador…».

Un año después, el recuerdo de aquel ciberataque todavía hace torcer el gesto a parte de los empleados de Meliá y Telefónica que trabajaron en la crisis, en total más de 60 personas, de acuerdo a fuentes consultadas por este diario.

La respuesta de las compañías españolas fue de las que se cuentan ahora en conferencias para expertos del sector. A las dos semanas, los principales problemas ocasionados ya estaban solucionados. En diciembre, dos meses después de iniciarse el ataque, el nivel de efectividad era del 100%. Pero ello conllevó jornadas de trabajo de infarto, día y noche.

«Efectivamente en la madrugada del 4 de Octubre de 2021 detectamos un ataque de ransomware propagándose en nuestra red», indican desde Meliá. «Inmediatamente lanzamos nuestro plan de respuesta a incidentes consiguiendo limitar así el alcance del impacto evitando que siguiera propagándose y cortando el acceso de los atacantes a nuestros sistemas», añaden.

La compañía hotelera asegura que, gracias a la estrategia que va implantando desde 2017 de movimiento de datos al Cloud, los servicios básicos fueron recuperados «en gran parte de los hoteles en cuestión de horas, y el 100% en pocos días». Y precisa que los hoteles que todavía no habían formado parte de esa migración informática, «sufrieron un mayor impacto que duró hasta tres semanas en algún caso».

Un grupo terrorista informático había preparado presuntamente durante el fin de semana anterior al lunes 4 de octubre del pasado año un tipo de ataque sobre Meliá conocido como ransomware.

Los delincuentes fueron supuestamente accediendo durante el fin de semana, en remoto, a sistemas del grupo hotelero español, de ahí a usuarios con privilegios, alcanzando los servidores, donde programaron presuntamente la propagación del virus informático para las tres de la madrugada del lunes 4 de octubre.

Los 330 hoteles del mayor grupo hotelero español, situados en 36 países, sufrieron el ataque en mayor o menor medida, de acuerdo a las fuentes a las que ha tenido acceso este diario.

Los clientes se encontraron en ese momento con que, por ejemplo, no podían acceder a sus habitaciones con las tarjetas de apertura, con lo que era necesario que trabajadores de los hoteles usaran llaves maestras para abrir las puertas. O con que no funcionaba la web del hotel. Que en las recepciones, los empleados tenían que trabajar con papel y bolígrafo.

«Un ataque ransomware como el que sufrió Meliá se puede llevar a una compañía que no esté preparada por delante», opina Hugo Álvarez, director territorial para Iberia, Italia y Latinoamérica de la empresa israelí de ciberseguridad Perception Point.

Álvarez explica que el ransomware que afectó al grupo hotelero español pertenece a la categoría de los ciberataques más peligrosos, los que cifran los sistemas afectados y requieren un pago bajo extorsión -que suele hacerse en criptomonedas- para facilitar una clave que desbloquee los ordenadores.

Y todo ello ocurría poco antes de los puentes festivos del último trimestre del año, tras año y medio de Covid, una época crucial para el negocio de Meliá tras haber registrado 426 millones de pérdidas en 2020. Con los efectos de la pandemia remitiendo tras la distribución de las vacunas unos meses antes -en septiembre de 2021 más del 70% de la población española tenía la pauta completa-, pero todavía con medidas de confinamiento en vigor y la variante Ómicrom amenazando las celebraciones navideñas.

Pero si alguien pensaba que el grupo hotelero de la familia Escarrer iba a negociar con terroristas, que iba a acceder a realizar un pago para desbloquear los sistemas atacados, se equivocaba. Tras más de tres décadas oponiéndose al bloqueo estadounidense sobre Cuba -32 hoteles en la isla-, el grupo Meliá no iba a sucumbir.

La operadora presidida por José María Álvarez-Pallete puso al frente del equipo de Telefónica Tech que trabajó para Meliá a un conocido hacker en el Madrid de finales de los años noventa, cuando la ciberdelincuencia estaba en pañales.

Alejandro Ramos, hoy director de Operaciones de Seguridad de Telefónica, es uno de los españoles con más voz en el ámbito de la ciberseguridad. Recién cumplidos los 18 años fue interceptado por la Guardia Civil por liderar un grupo de hackers que se introducía en los sistemas informáticos de universidades de varios países. A mediados de 2016 se incorporó a Telefónica y vivió en primera línea el ransomware WannaCry, que en mayo de 2017 afectó a más de 200.000 ordenadores en medio mundo, convirtiéndose la multinacional española en uno de los objetivos.

Sobre su gestión en el ciberataque a Meliá cuentan que ha sido «ágil», relativizando los problemas pero teniendo todo bajo control, «sin perder un momento la calma», dando «órdenes concisas, rápidas».

A Meliá, el ciberataque sufrido hace ahora un año le ha servido para modernizar y fortalecer aun más sus sistemas de defensa informáticos. El grupo ha tomado mayor conciencia de la importancia de la ciberseguridad.

En el Análisis de Materialidad elaborado por la multinacional hotelera el pasado año, incluido en su informe financiero anual de 2021, publicado en la CNMV, la compañía introduce por vez primera un análisis de los asuntos más importantes que maneja de acuerdo a la percepción que tienen sobre ello los grupos de interés con los que trabaja. Y la ciberseguridad aparece como el primer asunto material de importancia crítica, el más relevante de todos, por encima de la formación y desarrollo, el compromiso con los empleados, la gestión responsable del agua, y la acción climática.

«Aprendimos muchas lecciones sobre los puntos fuertes y débiles de nuestros sistemas que nos han permitido seguir trabajando en robustecerlos», comentan en el grupo Meliá a este periódico. «La seguridad perfecta no existe, y el riesgo de sufrir un ciberataque con impacto está siempre presente», indican.

Según datos proporcionados por Prosegur Cipher, el área de ciberseguridad de Prosegur, en lo que va de año 30 empresas e instituciones en España han sido extorsionadas en ciberataques. La mayoría de las infracciones «son causadas por errores humanos y se envían por correo electrónico», advierte el grupo de seguridad español. Apaga y enciende.