Saltar al contenido

Lidiando con la nube9 Ataque de rescate en tiempo real

Mi práctica de contabilidad ha estado usando un servicio de Hosting Comercial con licencia Intuit desde 2008, cuando moví todos los archivos de escritorio de QuickBooks de mi cliente y sus documentos relacionados (estados de cuenta bancarios, informes de nómina, documentos legales, etc.) a Cloud9 Realtime.

El uso de un servicio de hosting hace que mi computadora local sea básicamente una “terminal tonta”, lo que significa que uso mi laptop para conectarme a Internet, con lo cual accedo a Cloud9 y trabajo desde su servidor – lanzo sus versiones instaladas de QuickBooks (QB), Word y Excel. Alquilo mi propio Servidor Virtual Privado en Cloud9, en lugar de estar en una plataforma compartida. Esto me da un mejor rendimiento en términos de velocidad, y tengo control sobre la cantidad de espacio en disco que arriendo cada año, así como cuántas licencias de usuario compro.

Lidiando con la nube9 Ataque de rescate en tiempo real
Lidiando con la nube9 Ataque de rescate en tiempo real

Algunos de mis clientes compran sus propias licencias de Cloud9, para poder entrar y trabajar en sus libros; tienen sus propias licencias de QuickBooks. Para otros clientes, configuro y creo archivos QB usando mis propias licencias Pro Advisor QB, y los clientes no tienen acceso a sus datos o documentos QB. Al final de cada año, envío a cada cliente alojado en Cloud9 una memoria USB con todos sus documentos, y su archivo QB.

Los beneficios de un servicio alojado incluyen el acceso en cualquier momento y en cualquier lugar tanto para mí como para mis clientes que tienen licencias Cloud9, la seguridad de tener todos los datos de mi empresa respaldados en la nube, y me mantiene fuera del negocio de TI ya que no tengo que administrar mi propio servidor. Si mi portátil muere o es robado, no estoy fuera del negocio, ya que todos mis datos están almacenados en Cloud9. Y Cloud9 hace copias de seguridad de 30 días, así que puedo pedir que un archivo de hasta un mes de antigüedad sea restaurado, si por alguna razón necesito ese servicio. De hecho, pago extra para tener copias de seguridad trimestrales de Cloud9, así que puedo mirar hasta un año atrás para recuperar un archivo si es necesario.

A principios de este año, Cloud9 fue adquirida y se convirtió en una subsidiaria de plena propiedad de AbacusNext, un proveedor de software y servicios privados de nubes que también es el fabricante de AbacusLaw y Amicus Attorney.

Ataque de rescate durante el fin de semana del Día del Trabajo

El uso del C9 me ha funcionado bien durante casi 10 años, con los ocasionales baches y fallos, casos de apoyo y frustraciones normales que uno encuentra con cualquier servicio en línea. De hecho, fui miembro de la Junta Consultiva de Clientes de Cloud9 por más de 3 años, y asistí a su conferencia anual de Computación en la Nube en San Diego. 

Todo iba bien hasta el fin de semana del Día del Trabajo, cuando Cloud9AbacusNext fue víctima de un ataque con rescate. Al principio, no sabía que esto era lo que estaba pasando. Sólo sabía que cuando intenté entrar el sábado por la mañana del fin de semana de vacaciones, o bien no podía entrar en mi servidor Cloud9, o si lo hacía estaba corriendo tan lento que no valía la pena intentar hacer nada.

Cuando descargué un documento de Word a mi computadora local, no pude abrir el documento, que tenía este mensaje de error: “Lo sentimos. No podemos abrir [Nombre del documento] porque encontramos un problema con su contenido. Detalles: Este archivo está corrupto o no se puede abrir”. Presenté un ticket de soporte a C9, y cuando no obtuve respuesta después de 4 horas, llamé al Centro de Soporte.

No estaba seguro de si llegaría a una persona viva durante un fin de semana de vacaciones, pero lo hice, y me dijeron que tenían problemas con uno de sus centros de datos, y que los técnicos estaban trabajando durante el fin de semana para resolver los problemas.  En resumen: No pude acceder a mis datos hasta el lunes por la mañana, Día del Trabajo. No recibí ninguna notificación del C9 de que mis datos eran accesibles, sólo intenté entrar y tuve éxito, así que empecé a trabajar. 

El lunes por la noche recibí una notificación por correo electrónico de Cloud9 que decía que el 2 de septiembre de 2017, después de que múltiples clientes informaran de problemas de acceso y latencia, los ingenieros fueron enviados al centro de datos y concluyeron que una parte externa no autorizada había obtenido acceso a la red de Cloud9. El acceso no autorizado fue revocado a las 6 p.m. del 4 de septiembre, momento en el cual se determinó que ciertos archivos de clientes estaban maliciosamente cifrados por el rescate.

Cloud9 desencadenó medidas de restauración de respaldo para su centro de datos de California, que anunciaron que estaba restaurado al 100%. También señalaron que se estaba realizando un “Análisis de Causa Raíz”, y que contrataron a una empresa líder mundial en ciberseguridad para que les ayudara en su investigación.

También informaron de que “no tenemos motivos para creer que el intruso haya abierto, visto o copiado ninguno de los archivos de nuestros clientes” ni “que haya visto, copiado o adquirido de otra manera ningún número de tarjeta de crédito u otra información personal”. Me quedé atónito. Afortunadamente, ofrecieron un número de teléfono gratuito dedicado para llamar a las preguntas relacionadas con el incidente.

¿Hay alguien ahí? Radio Silencio por AbacusNext

Resulta que tenía bastantes preguntas, así que imagina mi decepción cuando llamé al número de teléfono gratuito dedicado, sólo para saber que había llegado al centro de soporte de AbacusNext, y a un técnico de nivel 1 que no podía responder ni una sola de mis preguntas. Era hora de entrar en acción, así que envié un correo electrónico al Gerente de Servicios Técnicos de Cloud9, pero aún no he recibido una respuesta.

AbacusNext no proporciona las direcciones de correo electrónico de su equipo directivo en su sitio web, por lo que no pude enviar un correo electrónico a los responsables de sus servicios técnicos. Así que creé algunos mensajes en el foro de Accountex (antes Sleeter Group) y LinkedIn. Posteriormente, me enteré de que otros usuarios de Cloud9, también frustrados por la falta de comunicación de AbacusNext, habían creado un grupo en Facebook (FB) en un intento de compartir información con otros usuarios de Cloud9 llamado “Cloud9AbacusNext Ramsomeware hack”. 

Gracias a Dios por este grupo FB, de otra manera la mayoría de nosotros no tendríamos ni idea del estado de los acontecimientos. Este grupo de 95 miembros compartió información valiosa, y también me enteré de que AbacusNext envió algunos anuncios adicionales por correo electrónico, ninguno de los cuales recibí. También me enteré de que el Centro de Datos de Cloud9 Texas también podría haber sido comprometido, y un miembro incluso sugirió que AbacusNext pagó el rescate, aunque eso es sólo una especulación. 

Los buitres están dando vueltas

Aunque no he escuchado mucho de AbacusNext, he recibido contactos no solicitados de dos competidores de Cloud9, uno de los cuales incluso se unió al grupo FB para explicar amablemente por qué su servicio es mejor que el de Cloud9AbacusNext. Un gerente de AbacusNext con el que me comuniqué a través de LinkedIn me ofreció ponerme en contacto con el equipo de migración de AbacusNext, sugiriendo esencialmente que abandonara mi contrato con Cloud9 y me inscribiera directamente con AbacusNext en su lugar. No es un buen momento para hacer un discurso de venta.

Lecciones que aprendí

Al elegir un proveedor de servicios en la nube, me doy cuenta de que ahora necesito encontrar respuestas a estas preguntas: 

1.    ¿Cuáles son sus procedimientos de emergencia en caso de un ataque de intrusos?
2.    ¿Cuál es su plan de recuperación de desastres?
3.    ¿Cuánto tiempo se tarda en restaurar los servicios después de una crisis?
4.    ¿Cómo se comunica con sus clientes durante una crisis? ¿Hay un punto de contacto designado?
5.    ¿Cuál es su Acuerdo de Nivel de Servicio (SLA) para el tiempo de funcionamiento?
6.    ¿Cuál es su SLA para el acceso?
7.    ¿Cuáles son mis opciones para descargar archivos por mi cuenta?
8.    ¿Qué opciones y tarifas se ofrecen para que su equipo descargue datos mensual, trimestral o anualmente a un disco duro físico y me los envíe?

Además, asegúrese de leer y entender los Términos y Condiciones y el SLA que está firmando. Y considere agregar una cobertura de seguridad cibernética a cualquier seguro de responsabilidad comercial que tenga.

Al grupo FB “Cloud9AbacusNext Ransomeware hack”: Por favor agregue sus lecciones aprendidas en los comentarios de abajo.

Lecciones que AbacusNext necesita aprender

No he visto ningún mensaje del CEO de AbacusNext, ni disculpas, ni mea culpa. Creo firmemente que si AbacusNext se hubiera adelantado a este asunto desde el principio creando una verdadera línea telefónica dedicada, enviando actualizaciones diarias y creando una página web de estado del servidor con actualizaciones regulares, entonces sus clientes serían más indulgentes.

En este tipo de situaciones, las personas quieren garantías de que están siendo escuchadas, no quieren sentirse ignoradas. Sugerí en mis mensajes que AbacusNext celebrara una reunión virtual en el ayuntamiento, pero no se materializó.

Tengo el liderazgo de AbacusNext, particularmente el CEO, totalmente responsable de esta falta de comunicación y la ira resultante en la comunidad de Cloud9. Entiendo que ha sido una situación de “todos a bordo” durante toda la semana pasada, pero ¿estaban también los de marketing y comunicaciones en el centro de datos? Más comunicaciones de ellos habrían evitado el éxodo masivo que la Nube9 puede esperar ahora.

Quedarse o no quedarse

Entonces, ¿debo quedarme en Cloud9AbacusNext, o debo mover mis datos? Algunas personas del grupo FB planean volver a los servidores locales internos, con copias de seguridad en la nube. Algunos planean mudarse a un competidor de Cloud9.

No quiero convertirme en mi propio departamento de TI, así que me quedaré con un servicio de alojamiento en la nube, pero no será en la Nube9. AbacusNext ha perdido a un cliente y defensor de 10 años de edad, debido a su propia y deplorable falta de transparencia y comunicación.

Comentarios finales

Tomemos todos las lecciones de esto para nuestras propias prácticas. La comunicación es clave – debemos comunicarnos con nuestros clientes tanto en los buenos tiempos como en los malos, reconocer nuestros errores, decir “lo siento” cuando esté justificado, y prometer hacerlo mejor en el futuro. Tuve suerte, esta vez.  El acceso a mis datos fue impedido por sólo 48 horas, y eso fue durante un fin de semana de vacaciones.

Me enteré de que muchas personas no pudieron acceder a sus datos durante toda la semana. Algunos no cumplieron con los plazos de pago de la nómina y los impuestos. Otros pasaron tanto tiempo tratando de calmar a sus propios clientes como de obtener información de Cloud9AbacusNext. Y acabo de leer en el grupo del FBI que AbacusNext ahora dice que los clientes pueden solicitar una copia del reporte del incidente, pero no lo ofrecen libremente de otra manera.

Jody Linick es una contable certificada por la AIPB y una asesora profesional certificada por QuickBooks®.  Su compañía, FitBooksPro (antes llamada Linick Consulting), se especializa en servicios de contabilidad a distancia usando QuickBooks alojados y QuickBooks Online. Puede encontrar su serie de publicaciones en el blog aquí.