Resumen

  • Registro público confirmado:Un ataque de ransomware iniciado alrededor del 31 de diciembre de 2019 obligó a Travelex a desconectar sus sistemas e interrumpió los servicios de divisas en enero de 2020. La información pública identificó las reclamaciones de Sodinokibi/REvil, una demanda de rescate y un presunto robo de datos, mientras que se informó que Travelex afirmaba no tener pruebas de que los datos de los clientes se hubieran visto comprometidos. El posterior anuncio de reestructuración de Travelex y los documentos administrativos de PwC muestran que la empresa entró en un importante proceso de reestructuración de deuda y administración en 2020 tras una fuerte presión comercial. (Informe de The Guardian de enero de 2020,Informe de The Guardian sobre facturas en papel,Anuncio de reestructuración de Travelex,Página del administrador de PwC)
  • Problema de dependencia:Travelex no era solo una oficina de cambio minorista. Prestaba servicios de dinero para viajes a bancos asociados y marcas minoristas, por lo que su interrupción también afectó a clientes que creían estar interactuando con su banco o supermercado. La comunicación con los socios, la gestión de reembolsos, las soluciones alternativas en las sucursales y la economía del contacto con el cliente se convirtieron en parte del incidente. (Informe de la BBC de enero de 2020,Informe de The Guardian sobre la reanudación de los servicios)
  • Límite de la aplicación de parches:Los informes públicos y los comentarios de seguridad posteriores vincularon el ataque con la explotación de una vulnerabilidad sin parchear en Pulse Secure VPN, CVE-2019-11510. La CISA había advertido en enero de 2020 que se estaban explotando servidores Pulse Secure VPN sin parchear y que los informes de los medios describían a delincuentes utilizando el ransomware REvil/Sodinokibi contra dichos sistemas. Esto plantea una cuestión de responsabilidad en la gestión de vulnerabilidades, pero el registro público aún carece de un informe forense publicado por Travelex que demuestre cada paso del acceso inicial. (Aviso de la CISA sobre Pulse Secure,Registro CVE-2019-11510)
  • Evaluación:Los actores criminales controlaron la extorsión. Travelex controló la gestión de la exposición, la restauración, las soluciones alternativas para los socios y la comunicación directa. Los bancos y los socios minoristas controlaron las promesas a los clientes y los reembolsos. Los acreedores y los administradores controlaron la posterior vía de reestructuración. Los viajeros, el personal de las sucursales y las contrapartes más pequeñas absorbieron gran parte de la incertidumbre antes de que la reestructuración financiera hiciera visible el fallo de continuidad de forma corporativa.

El servicio de divisas parece pequeño hasta que se detiene

El servicio de cambio de divisas puede parecer una capa de conveniencia: un sitio web de dinero para viajes, un quiosco, un mostrador de aeropuerto, una tarjeta prepago, una página de pedido con la marca de un banco, un punto de recogida en un supermercado. Esa imagen subestima la dependencia. Travelex estaba detrás de muchas interfaces visibles para el cliente. Cuando sus sistemas se desconectaron, los clientes no experimentaron la interrupción como un problema exclusivo de Travelex.

Algunos lo vivieron como un problema bancario, un problema del supermercado, un problema de reembolso, un problema en la sucursal, un problema de viaje o un problema de efectivo al comienzo de un viaje.

Por eso, el incidente de ransomware de 2020 pertenece a una serie sobre riesgos y responsabilidad. La cuestión no es solo si Travelex tenía malware en su red. La cuestión es cuántas organizaciones habían construido promesas de dinero para viajes sobre la suposición de que los sistemas de un proveedor especializado estarían disponibles, parcheados, restaurables y comunicativos durante una crisis.

El incidente comenzó al borde de un calendario. En la víspera de Año Nuevo de 2019, Travelex desconectó sus sistemas tras un ciberataque. A principios de enero, los sitios web y los servicios en línea de la empresa seguían sin funcionar, y la información pública describía interrupciones en sucursales y socios. The Guardian informó de que los atacantes que decían ser el grupo de ransomware Sodinokibi exigieron un pago y amenazaron con publicar datos que, según ellos, habían obtenido. Se informó de que Travelex declaró que no había pruebas de que los datos personales o de los clientes se hubieran visto comprometidos en ese momento. (Informe de The Guardian del 7 de enero)

El efecto operativo fue contundente. Se informó de que en algunas ubicaciones el personal utilizaba facturas en papel mientras los sitios web seguían sin funcionar. Los clientes de bancos y socios minoristas se encontraron con servicios de dinero para viajes no disponibles. Las marcas asociadas tuvieron que explicar una interrupción que no habían causado directamente pero que habían expuesto a sus propios clientes. (Informe de The Guardian sobre facturas en papel,Informe de la BBC)

Para un viajero, una interrupción del pedido de divisas no es existencial en abstracto. Sin embargo, puede ser costosa y estresante en el momento. Un cliente puede necesitar efectivo para un destino donde la aceptación de tarjetas es desigual, una tarjeta prepago para un hijo, un reembolso antes de salir o la prueba de un pedido realizado a través de un banco. Para los empleados, la interrupción significó herramientas degradadas, procesos manuales, clientes preocupados e instrucciones poco claras. Para los bancos y minoristas asociados, significó carga en los centros de llamadas, exposición reputacional y soluciones alternativas.

Para los acreedores de Travelex, se convirtió en una presión más sobre un negocio que ya arrastraba deudas y que luego fue golpeado por el colapso de los viajes causado por la COVID-19.

La cronología mezcló la respuesta a incidentes con la presión pública

La cronología pública es confusa porque muchas de las actualizaciones oficiales de Travelex sobre el incidente de enero de 2020 ya no son fáciles de tratar como un archivo autorizado único. El registro duradero más sólido combina los informes de prensa contemporáneos de buena reputación, la advertencia pública de vulnerabilidad de la CISA, el anuncio de reestructuración de Travelex de agosto y los materiales del administrador de PwC.

El 7 de enero de 2020, The Guardian informó de que Travelex había sido víctima de un ransomware, que sus sitios web habían estado caídos, que los atacantes afirmaban haber copiado datos y que la empresa decía no tener pruebas de que los datos personales o de los clientes estuvieran comprometidos. La BBC informó sobre la demanda de rescate y la interrupción del servicio el mismo día, identificando el incidente como un problema que afectaba a Travelex y a sus socios. (Informe de The Guardian del 7 de enero,Informe de la BBC)

El 8 de enero, The Guardian describió al personal utilizando facturas en papel mientras los sitios web permanecían desconectados e identificó los canales bancarios y minoristas afectados. Ese informe es importante porque muestra una solución alternativa degradada en la práctica. Una solución manual puede mantener algunas transacciones en marcha, pero también cambia las tasas de error, el trabajo de conciliación, los controles de fraude, los tiempos de espera de los clientes y la carga de trabajo de los empleados. (Informe de The Guardian sobre facturas en papel)

El 13 de enero, The Guardian informó de que algunos servicios de Travelex habían comenzado a reanudarse tras el ataque de ransomware, incluidas partes del servicio en tienda, aunque no todos los sistemas habían vuelto a la normalidad. Esa fecha es importante porque muestra que la recuperación no fue un simple encendido de un interruptor. Los servicios podían reanudarse de forma desigual: un canal restaurado, otro pendiente, un socio reconectado, otro gestionando sus propios avisos a los clientes. (Informe de The Guardian sobre la reanudación de los servicios)

El 10 de enero, la CISA emitió un aviso sobre la explotación continuada de la vulnerabilidad de Pulse Secure VPN CVE-2019-11510. El aviso advertía de que las organizaciones debían parchear inmediatamente los sistemas afectados y señalaba los informes de los medios de comunicación sobre ciberdelincuentes que atacaban servidores Pulse Secure VPN sin parchear para instalar el ransomware REvil/Sodinokibi. (Aviso de la CISA sobre Pulse Secure) Ese aviso no es un informe forense de Travelex. Sin embargo, es fundamental porque sitúa la vulnerabilidad discutida públicamente en el mismo marco temporal y ecosistema de ransomware.

En agosto de 2020, el incidente ya se había convertido en parte de un registro más amplio de reestructuración financiera. Travelex Financing Plc anunció la finalización de una reestructuración de deuda, señalando que la deuda se reduciría de más de 385 millones de libras a 160 millones de libras y que el nuevo grupo recibiría 84 millones de libras de nueva liquidez. El anuncio enfatizaba el colapso de los viajes por la COVID-19, pero se produjo después de un año en el que el ciberataque ya había debilitado la disponibilidad del servicio y la confianza. (Anuncio de reestructuración de Travelex)

La página del administrador de PwC registra que Travelex Banknotes Limited entró en administración el 21 de julio de 2020 y que otras varias entidades de Travelex entraron en administración el 6 de agosto de 2020 como parte de la reestructuración. También registra la gestión posterior de esas entidades para los acreedores y el proceso posterior a la administración. (Página del administrador de PwC,PDF del anuncio del primer día de PwC)

La cronología, por tanto, tiene dos capas. La primera es la respuesta al incidente: sistemas desconectados, soluciones manuales, interrupción de los socios, presuntos rescates y restauración por etapas. La segunda es la continuidad financiera: una empresa de dinero para viajes muy afectada que entra en un proceso de reestructuración y administración en el mismo año. Sería descuidado decir que el ransomware fue la única causa de la reestructuración; el colapso de los viajes por la COVID-19 fue un shock independiente masivo. Sería igualmente descuidado borrar el incidente de ransomware del registro de continuidad del negocio.

La externalización hizo que las marcas asociadas formaran parte de la interrupción

La interrupción de Travelex fue una lección sobre la dependencia de la marca blanca. Un cliente puede pedir dinero para viajes a través del sitio web de un banco o supermercado y percibir esa marca como el proveedor de servicios responsable. Entre bastidores, un proveedor especializado en servicios de divisas puede suministrar los precios, el procesamiento de pedidos, el cumplimiento, el inventario, la liquidación y los flujos de trabajo de sucursales o entregas. Cuando el especialista falla, la marca visible sigue siendo la dueña de la confianza del cliente.

Los relatos de The Guardian y la BBC identificaron interrupciones para los clientes de varios canales asociados. Los detalles variaban según el socio, pero el patrón era consistente: los clientes que no tenían una relación de seguridad directa con Travelex se vieron afectados por la desconexión de los sistemas de Travelex. (Informe de la BBC,Informe de The Guardian sobre facturas en papel)

Esto convirtió la interrupción en una prueba práctica de la resiliencia operativa externalizada. Los bancos y las empresas financieras pueden externalizar una función, pero no externalizan la responsabilidad ante el cliente. La regulación financiera moderna del Reino Unido hizo explícito este punto más tarde a través de las expectativas de resiliencia operativa, que exigen a las empresas identificar los servicios empresariales importantes, establecer tolerancias de impacto y gestionar las dependencias de terceros. El material de resiliencia operativa de la FCA no es una conclusión retroactiva sobre Travelex o sus socios, pero refleja la lección: la empresa de cara al cliente debe saber si un servicio externalizado puede fallar dentro de límites tolerables. (Resiliencia operativa de la FCA,FCA PS21/3)

El incidente de Travelex también expuso la debilidad de las páginas de estado de los socios y los guiones de atención al cliente cuando el problema real reside en un proveedor. Un banco puede decir a los clientes que los pedidos de dinero para viajes no están disponibles, pero puede no saber si los sistemas del proveedor volverán en horas, días o semanas. Un representante de atención al cliente puede ofrecer reembolsos o alternativas, pero puede no tener acceso a los detalles de la transacción si la plataforma del proveedor está caída. El socio puede ser transparente sobre los síntomas sin poder demostrar la causa o la recuperación.

Esa dependencia debería haberse modelado antes del incidente. Los contratos con los socios podrían exigir pruebas de la gestión de vulnerabilidades, una respuesta a incidentes probada, periodos máximos de interrupción, procedimientos manuales de cumplimiento, avisos de protección de datos, plazos de comunicación de violaciones y autoridad de reembolso. Es posible que algunos contratos lo hicieran, pero el registro público no muestra un cuadro de mando de continuidad socio por socio. El resultado visible fue una red de marcas que explicaban la interrupción causada por un proveedor.

La cuestión de los parches está respaldada por pruebas, pero sigue estando acotada

La afirmación técnica más repetida sobre el incidente de Travelex es que los atacantes explotaron una vulnerabilidad sin parchear de Pulse Secure VPN, CVE-2019-11510. El registro CVE describe un fallo grave de Pulse Connect Secure. El aviso de la CISA de enero de 2020 advertía de que se estaban explotando servidores Pulse Secure VPN sin parchear y que los informes de los medios describían el despliegue de REvil/Sodinokibi contra dichos sistemas. (Registro CVE-2019-11510,Aviso de la CISA sobre Pulse Secure)

Esa prueba pública respalda una cuestión de responsabilidad en la gestión de vulnerabilidades. Por sí sola, no sustituye a un análisis post mortem publicado por Travelex. Un relato responsable debe decir que los informes públicos y los comentarios de seguridad vincularon el ataque a una vulnerabilidad de VPN sin parchear, y que la CISA advirtió sobre la misma clase de explotación en el mismo periodo. No debe pretender conocer todas las credenciales, equipos, rutas de movimiento lateral o decisiones de restauración a menos que un registro forense primario así lo indique.

La cuestión de los parches sigue siendo crucial. Una vulnerabilidad en un dispositivo perimetral no es un fallo menor de mantenimiento cuando el dispositivo gestiona el acceso remoto a los sistemas empresariales. Si un parche o una mitigación está disponible y se ha advertido ampliamente sobre él, una empresa debe controlar el inventario de activos, el escaneo de exposición, la aprobación de cambios de emergencia, los controles compensatorios, el restablecimiento de credenciales y la revisión forense. También debe saber qué sistemas de terceros y servicios gestionados dependen del producto vulnerable.

La lección pública es menos "parchear más rápido" que "demostrar la exposición más rápido". En un proveedor de servicios de divisas, un dispositivo de acceso remoto vulnerable no es solo un activo de TI. Puede convertirse en la bisagra entre la exposición a Internet y los sistemas de transacciones, los servicios de los socios, los archivos compartidos, los almacenes de identidad, los datos de los clientes y los retrasos en la recuperación.

El control responsable es todo el ciclo de gestión de vulnerabilidades: saber que el activo existe, saber que está expuesto, aplicar la solución, validar la solución, revisar los registros en busca de compromisos, rotar las credenciales y comunicar el riesgo a los socios.

Las guías sobre ransomware del NCSC y la CISA hacen la misma observación en términos más amplios. Una buena preparación contra el ransomware incluye la aplicación de parches, los controles de acceso, las copias de seguridad, la restauración probada, la planificación de la respuesta a incidentes, la segmentación de la red, el registro y la comunicación. (Guía del NCSC sobre ransomware,Guía StopRansomware de la CISA,Guía del FBI sobre ransomware) Esas medidas no son ornamentales. Deciden si una explotación se convierte en un evento contenido, una interrupción del negocio o un fallo de servicio en cascada.

La solución manual funcionó, pero solo en parte

La imagen que perduró del incidente de Travelex no fue una nota de rescate. Fue el papel. Los informes sobre el personal redactando facturas en papel demostraron que la empresa conservaba cierta capacidad para operar en modo degradado. Eso es mejor que una parada total. También es una prueba de que los sistemas digitales eran lo suficientemente centrales como para que el modo degradado se hiciera visible para los clientes. (Informe de The Guardian sobre facturas en papel)

La solución manual a menudo se malinterpreta. Un formulario en papel puede preservar una transacción, pero no puede reproducir completamente una plataforma de divisas moderna. Puede no conectarse a los tipos de cambio en tiempo real, la detección de sanciones, el inventario, la liquidación, el estado de los pedidos, las comprobaciones de identidad del cliente, el procesamiento de tarjetas, los reembolsos, la conciliación de sucursales, la supervisión del fraude, los informes de los socios o los sistemas financieros. También puede crear un trabajo atrasado que debe reintroducirse más tarde, creando riesgo de errores y fatiga en los empleados.

Para Travelex, la solución alternativa también dependía del canal. Un mostrador de aeropuerto podría vender divisas manualmente. Una página de pedidos en línea con la marca de un banco no podría. Un centro de llamadas de un socio podría emitir un reembolso pero no cumplir con un pedido. Una tarjeta prepago o un flujo de trabajo de transferencia de dinero podría necesitar servicios digitales específicos. Una sucursal de cambio podría continuar solo con productos limitados. Por lo tanto, la recuperación se produjo en canales, no en un estado corporativo único.

La pregunta correcta sobre la responsabilidad es si la solución alternativa se diseñó para la cadena de dependencia real. ¿Tenían los bancos asociados un plan de acción probado? ¿Sabía el personal de Travelex cuándo usar formularios en papel y cómo conciliarlos? ¿Se adaptaron los controles de fraude? ¿Se informó a los clientes de qué productos estaban disponibles y cuáles no? ¿Se delegaron los reembolsos en el socio visible o los retuvo Travelex? ¿Recibieron los agentes de viajes más pequeños, los mostradores de aeropuerto y los socios locales la misma claridad que los grandes bancos?

La información pública no proporciona respuestas completas. Muestra que se realizó trabajo manual y que los servicios se reanudaron por etapas. No muestra un plan de continuidad del negocio probado, datos de colas de clientes, volúmenes de reembolso, reclamaciones de los socios, errores de conciliación u horas extras de los empleados. Esa ausencia es un patrón recurrente en las interrupciones de servicios externalizados: el público ve la interrupción y el reinicio, pero no el coste de trabajar en el intervalo.

Los diferentes productos crearon diferentes daños

La expresión "dinero para viajes" esconde varios productos con diferentes modos de fallo. El efectivo pedido para recoger en la sucursal no es lo mismo que el efectivo pedido para entrega a domicilio. Una tarjeta de dinero para viajes prepago no es lo mismo que un cambio en el mostrador de una oficina. Un pedido mayorista de billetes para empresas no es lo mismo que un reembolso al consumidor. Un pedido en línea con la marca de un socio no es lo mismo que una transacción directa en una sucursal de Travelex.

Un proveedor resiliente debe saber cuáles de esos productos pueden funcionar manualmente, cuáles pueden pausarse de forma segura, cuáles requieren liquidación en tiempo real y cuáles crean el mayor daño al cliente si fallan cerca de una fecha de viaje.

El efectivo crea un daño de tiempo. Un viajero puede usar una tarjeta en su lugar, pero no siempre. Algunos clientes quieren efectivo porque van a destinos donde la aceptación de tarjetas es incierta, porque necesitan pequeñas denominaciones inmediatamente a la llegada, porque viajan con dependientes o porque desconfían de las comisiones de los cajeros automáticos extranjeros. Si una recogida de efectivo previamente encargada falla el día antes de la salida, un reembolso por sí solo no restablece la promesa del servicio.

El cliente puede tener que buscar otro proveedor, pagar un tipo de cambio peor, viajar a otra sucursal o salir sin el colchón preferido.

Las tarjetas y los pedidos en línea crean un daño diferente. Una tarjeta de viaje prepago puede implicar el acceso a la cuenta, la carga, los saldos, los PIN, las aplicaciones móviles, la sustitución de la tarjeta y la autenticación del cliente. Una interrupción del sitio web puede impedir que un cliente compruebe el estado o complete un pedido incluso cuando el efectivo físico existe. Un banco asociado puede tener que responder a preguntas sobre un pedido que no puede ver. Si los sistemas del proveedor están desconectados, el socio visible puede convertirse en un enrutador de quejas sin suficientes datos para resolver el problema.

Los clientes mayoristas y empresariales crean otra capa. Los bancos, las empresas de viajes, los aeropuertos y los socios minoristas pueden depender de los archivos de liquidación, las previsiones de inventario, las asignaciones de sucursales y los informes de conciliación. Si estos se retrasan, el incidente se convierte en un problema financiero y operativo, no solo en una molestia minorista. Los socios más pequeños pueden tener menos influencia para exigir actualizaciones personalizadas inmediatas, pero aun así se enfrentan a los clientes al otro lado del mostrador.

Estas diferencias son importantes para la responsabilidad porque "los servicios se reanudaron" es una métrica de recuperación demasiado amplia. Una línea de productos puede volver mientras otra sigue afectada. Un socio puede restaurar los pedidos mientras otro espera la certificación o la limpieza del trabajo atrasado. Un canal puede aceptar nuevas transacciones mientras los reembolsos siguen siendo lentos. Un buen informe de continuidad separaría esos estados y explicaría qué clientes permanecieron expuestos después del primer titular de restauración pública.

La solución alternativa de los socios fue un problema de diseño de gobernanza

La solución alternativa de los socios debería diseñarse antes de una interrupción, porque las decisiones más difíciles se toman con poca información. Un banco que depende de un proveedor de servicios de divisas debe saber de antemano qué ocurre si la plataforma del proveedor está desconectada durante un día, tres días o dos semanas.

El plan debe indicar si el banco suspenderá los nuevos pedidos, utilizará un proveedor alternativo, reembolsará automáticamente, dirigirá a los clientes a las sucursales, honrará los tipos de cambio existentes, comunicará la incertidumbre del riesgo de datos o escalará a los clientes vulnerables que viajan de manera inminente.

El incidente de Travelex demostró por qué esto no se puede dejar a un lenguaje general de crisis. Un banco asociado puede no controlar la respuesta al ransomware del proveedor, pero controla su propio sitio web, los avisos de la aplicación, los guiones de las sucursales, las orientaciones del centro de llamadas y la autoridad de reembolso. También controla cuánto revela sobre la dependencia del proveedor. Si el cliente entró a través de un servicio con la marca del banco, el cliente puede esperar razonablemente que el banco se encargue de la resolución, incluso cuando el fallo técnico resida en Travelex.

Para Travelex, la solución alternativa de los socios requería una disciplina diferente. La empresa necesitaba una forma de proporcionar a los principales socios actualizaciones de estado coherentes, un lenguaje sobre el riesgo de los datos, estimaciones de restauración específicas por canal, disponibilidad de productos y reglas de procesamiento manual. También necesitaba evitar hacer promesas a un socio que no pudieran cumplirse en otra parte. En una red de marca blanca, la información desigual se convierte en su propio riesgo porque los clientes comparan los avisos e infieren ocultación o confusión.

Aquí es donde las contrapartes más pequeñas pueden verse perjudicadas. Los grandes bancos y minoristas pueden tener líneas directas de escalada, equipos legales y condiciones de servicio negociadas. Los puntos de venta más pequeños, los agentes de viajes o los socios regionales pueden depender de actualizaciones genéricas o contactos locales. Si la atención del proveedor se concentra en las contrapartes más grandes, las empresas más pequeñas pueden soportar una parte desproporcionada de la incertidumbre, la ira de los clientes y el trabajo de conciliación.

Los marcos de resiliencia operativa formalizaron más tarde gran parte de este pensamiento, pero la lección práctica ya era visible en enero de 2020. La externalización de un servicio de cara al cliente requiere un guion de interrupción compartido, reglas de reembolso compartidas, umbrales de notificación de datos compartidos, desencadenantes de escalada compartidos y procedimientos manuales probados. De lo contrario, los primeros días de un incidente de ransomware se convierten en un experimento en vivo sobre quién es el dueño del cliente.

La calidad de las pruebas depende de nombrar la incertidumbre

El registro de Travelex es útil precisamente porque es imperfecto. Combina relatos de prensa, advertencias de vulnerabilidad, documentos de insolvencia posteriores y anuncios de reestructuración en lugar de un único informe forense público. Eso significa que el artículo debe tratar las pruebas en capas. La interrupción del servicio y la solución manual están firmemente respaldadas por los informes contemporáneos. La administración y la reestructuración están respaldadas por los registros de Travelex y PwC.

La teoría de la vulnerabilidad está respaldada por los informes públicos y el aviso general de la CISA sobre la explotación de servidores Pulse Secure VPN, pero no por una publicación de la cadena de ataque escrita por Travelex.

Ese estándar de pruebas en capas protege a los clientes y lectores de dos errores opuestos. Un error es aceptar las afirmaciones de los atacantes como hechos porque fueron dramáticas y específicas. Otro es ignorar por completo las afirmaciones de los atacantes porque proceden de delincuentes. El punto medio responsable es decir que los delincuentes afirmaron haber robado datos y exigieron dinero, que se informó que Travelex dijo no tener pruebas de que los datos de los clientes estuvieran comprometidos y que el público no recibió suficientes pruebas forenses para convertir ninguna de las dos afirmaciones en un relato final completo.

El mismo estándar se aplica a la recuperación. Los informes de que los servicios comenzaron a reanudarse no demuestran una recuperación operativa completa. Una sucursal puede estar abierta mientras los pedidos en línea siguen afectados. Un socio puede aceptar nuevos pedidos mientras los reembolsos siguen siendo lentos. Un sistema puede ser restaurado mientras las facturas manuales aún necesitan conciliación. Para los servicios externalizados, el público debería pedir pruebas de recuperación por producto, canal y socio, no simplemente una declaración de que la empresa ha vuelto a estar en línea.

Los atacantes explotaron la atención además de los sistemas

La economía del contacto abusivo en el incidente de Travelex fue inusualmente visible. Los atacantes no se limitaron a cifrar los sistemas. Utilizaron la presión pública. Según los informes, se pusieron en contacto con periodistas, afirmaron haber robado datos, nombraron una demanda de rescate y amenazaron con la divulgación. Esto desplazó el incidente de un problema de recuperación privado a un entorno de negociación pública. (Informe de The Guardian del 7 de enero,Informe de CyberScoop)

Esa táctica cambia la economía del contacto con el cliente. Cada afirmación pública de los atacantes puede aumentar las llamadas a los bancos, los correos electrónicos a Travelex, las preguntas de los reguladores, las solicitudes de los medios de comunicación, la ansiedad de los empleados, las escaladas de los socios y las demandas de reembolso de los clientes. Incluso si los atacantes exageran, la empresa debe responder. Si la empresa responde muy poco, la confianza se erosiona. Si responde demasiado antes de que los análisis forenses estén completos, puede tener que corregir el registro más tarde.

Los delincuentes explotan esa incertidumbre.

El ransomware de doble extorsión depende de esta presión. Las afirmaciones de robo de datos crean un riesgo para la privacidad y la reputación incluso antes de que se verifiquen los datos. Los clientes oyen que los atacantes afirman tener datos y quieren una garantía inmediata. Los socios quieren saber si deben notificar a sus propios clientes. Los reguladores quieren saber si se han alcanzado los umbrales de notificación legal. Los empleados quieren saber si sus registros están implicados. Los atacantes se benefician de obligar a que todos esos canales de contacto se vuelvan costosos.

Se informó que Travelex dijo no tener pruebas de que los datos de los clientes estuvieran comprometidos. Esa fue una garantía importante, pero no era lo mismo que publicar un informe forense independiente. El estándar responsable es distinguir "no hay pruebas en ese momento" de "se ha demostrado que no ha habido exposición de datos". Lo primero puede ser cierto y declararse de forma responsable durante una investigación. Lo segundo requiere pruebas que el público no recibió en su totalidad.

Aquí es donde los socios de cara al cliente tenían su propia responsabilidad. Un banco o supermercado no podía simplemente repetir la incertidumbre del proveedor sin decidir qué hacer por sus propios clientes. Tenía que elegir si suspender los pedidos, ofrecer reembolsos, dirigir a los clientes a las sucursales, utilizar proveedores alternativos, advertir sobre el phishing o proporcionar actualizaciones de estado. El socio no era responsable de la intrusión del ransomware, pero controlaba la capa de contacto con el cliente que determinaba lo caro y confuso que se volvía el incidente para los usuarios comunes.

La reestructuración financiera hizo visible el problema de continuidad

En agosto de 2020, Travelex anunció la finalización de una reestructuración de deuda que redujo el endeudamiento financiero y proporcionó nueva liquidez a un grupo reestructurado. El anuncio decía que New Travelex estaría significativamente desapalancado y seguiría colaborando con los bancos de relación existentes. También describía una venta de administración pre-pack de ciertas entidades del Reino Unido y un cambio en la dirección. (Anuncio de reestructuración de Travelex)

La página del administrador de PwC confirma los nombramientos de los administradores y el contexto de la reestructuración. También muestra la larga cola de materiales de administración de acreedores, avisos, informes de progreso, pruebas de deuda y cambios de nombre de las entidades. (Página del administrador de PwC)

La reestructuración no debe reducirse a una afirmación de causalidad cibernética. La COVID-19 devastó los viajes internacionales en 2020, y los ingresos del dinero para viajes dependen de los viajes. La estructura de la deuda y las condiciones de la pandemia fueron los principales factores. El anuncio de Travelex enfatizaba la COVID-19 y la necesidad de una estructura de capital sostenible. El incidente de ransomware debe entenderse más bien como un shock operativo anterior que agotó la confianza, consumió efectivo, interrumpió a los socios y demostró que el negocio tenía menos resiliencia de la que requería su función de servicio.

Esa distinción es importante porque la responsabilidad puede exagerarse tras un fracaso corporativo. Si una empresa entra en administración meses después de un ciberincidente, es tentador decir que el ciberincidente causó la administración. Las pruebas no respaldan esa simple línea. La mejor conclusión es que el ransomware expuso y agravó una debilidad de continuidad dentro de un negocio apalancado y dependiente de los viajes que luego se enfrentó a un colapso de la demanda pandémica.

Para los empleados y los acreedores, la distinción puede parecer académica. Ellos experimentaron inseguridad laboral, transferencias de entidades, procesos de reclamación e incertidumbre empresarial. Los materiales de PwC muestran la maquinaria formal de administración que siguió. Para el análisis de riesgos, la lección es más aguda: la resiliencia digital y la resiliencia financiera están conectadas. Una empresa puede recuperar los sistemas pero carecer de la liquidez, la confianza y la pista operativa necesarias para recuperar su posición empresarial.

Lo que los reguladores y los socios deberían haber aprendido

Travelex es anterior a la fase más fuerte de implementación de la resiliencia operativa en el Reino Unido, pero el evento se lee como un caso de estudio para esas normas. El servicio empresarial importante no era el "cambio de divisas" en un sentido vago. Era la capacidad de los clientes de múltiples marcas visibles para pedir, recoger, recibir, reembolsar y gestionar el dinero para viajes en un tiempo aceptable. La dependencia de terceros no estaba oculta para los especialistas, pero sí para muchos clientes.

El marco de resiliencia operativa de la FCA pide a las empresas que identifiquen los servicios empresariales importantes, establezcan tolerancias de impacto y prueben su capacidad para mantenerse dentro de esas tolerancias durante interrupciones graves pero plausibles. (Resiliencia operativa de la FCA) Para los bancos que utilizaban Travelex, la prueba debería incluir el ransomware del proveedor, la incertidumbre de los datos del proveedor, la interrupción del sitio web del proveedor, la gestión manual de reembolsos, las comunicaciones con la marca del socio y los proveedores alternativos. Para Travelex, la prueba debería incluir el fallo de un control de seguridad de acceso remoto, la pérdida de los sistemas de transacciones, las reclamaciones de extorsión de datos, la carga de contacto con los socios y la restauración por etapas.

El Marco de Ciberseguridad del NIST proporciona una estructura intersectorial para la misma lección. La gobernanza, la identificación, la protección, la detección, la respuesta y la recuperación aparecen en la historia de Travelex. La gobernanza pregunta si la junta directiva y los ejecutivos entendían la exposición y la dependencia externalizada. La identificación pregunta si se inventariaron los activos de cara a Internet y los servicios de los socios. La protección pregunta si existían parches, MFA y segmentación. La detección pregunta si se encontró la explotación antes del ransomware. La respuesta pregunta si los clientes y los socios recibieron actualizaciones claras. La recuperación pregunta si los servicios volvieron sin un trabajo atrasado manual inaceptable o incertidumbre sobre los datos. (Marco de Ciberseguridad del NIST)

El Banco de Inglaterra, la PRA y la FCA hicieron hincapié más tarde en la resiliencia operativa en todo el sector financiero, incluyendo el riesgo de terceros y los servicios empresariales importantes. (Resiliencia operativa del Banco de Inglaterra,FCA PS21/3) Travelex muestra por qué ese lenguaje es importante más allá de la banca tradicional. Un proveedor especializado puede hacer que un servicio aparentemente periférico falle en muchas marcas de cara al cliente a la vez.

Para las pymes y las contrapartes más pequeñas, la lección es más difícil. Los grandes bancos pueden negociar condiciones de continuidad detalladas. Los agentes de viajes más pequeños, los socios locales o los operadores de sucursales pueden aceptar condiciones estándar y soportar interrupciones prácticas. Un programa de riesgos que proteja solo al socio más grande deja a los usuarios más pequeños con un débil poder de negociación y poca visibilidad.

Por eso, las pruebas de continuidad del servicio deben ser lo suficientemente públicas como para apoyar a todas las contrapartes afectadas, no solo a los clientes más grandes bajo sesiones informativas confidenciales.

Lo que sigue siendo desconocido

El registro público deja lagunas importantes. Travelex no publicó un informe forense completo que estableciera la vía de acceso inicial, la cronología, el tiempo de permanencia del atacante, los activos afectados, el alcance del cifrado, la conclusión sobre el acceso a los datos, el historial de negociación del rescate o la secuencia de restauración. Los informes públicos vincularon el incidente con Sodinokibi/REvil y una vulnerabilidad de Pulse Secure VPN, pero las pruebas primarias públicas no proporcionan una cadena de ataque completa desde la exposición a Internet hasta la interrupción empresarial.

El registro de datos también está incompleto. Según los informes, los atacantes afirmaron haber copiado datos. Se informó que Travelex dijo no tener pruebas de que los datos de los clientes estuvieran comprometidos. El registro público no proporciona un inventario de datos final independiente, el número de personas evaluadas, las categorías de datos revisadas, el método forense o las decisiones de notificación. Eso no significa que los datos fueran robados con seguridad. Significa que el público no puede verificar de forma independiente la garantía.

El registro de continuidad también está incompleto. No disponemos de un calendario de interrupción socio por socio, del total de reembolsos, del número de quejas de los clientes, del recuento de transacciones manuales, de la tasa de errores de conciliación, de la estimación de horas extras de los empleados, del mapa de servicios a nivel de sucursal o del plan de proveedores alternativos. No sabemos qué socios tenían soluciones alternativas probadas y cuáles improvisaron. No sabemos cuántos clientes fueron atendidos manualmente ni cuántos pedidos fueron cancelados.

El historial financiero es más claro, pero sigue estando acotado. El anuncio de reestructuración de Travelex de agosto y los materiales de PwC muestran la vía de reestructuración y administración. No aíslan el coste del ransomware del colapso de los ingresos por la pandemia, la carga de la deuda, la negociación con los acreedores y las decisiones de gestión. Cualquier artículo que atribuya la administración únicamente al ransomware está exagerando. Cualquier artículo que trate el ransomware como algo incidental está subestimando el registro de continuidad.

La responsabilidad sigue a la promesa de servicio

El incidente de Travelex es fácil de narrar como un fallo de parcheo, y el parcheo es fundamental. Si la narrativa pública de la vulnerabilidad es correcta, entonces un fallo conocido de acceso remoto se convirtió en una vía hacia un proveedor cuyos sistemas respaldaban muchos servicios visibles para el cliente. Pero la responsabilidad no se detuvo en el parche.

Se extendió al inventario de activos, al control de cambios de emergencia, a la segmentación, al restablecimiento de credenciales, a la restauración de copias de seguridad, a la solución manual, a la notificación a los socios, a la asistencia al cliente, al control del fraude, a la autoridad de reembolso y a la resiliencia financiera a nivel de junta directiva.

Los actores criminales controlaron la extorsión y el abuso. Utilizaron el ransomware, las afirmaciones de robo de datos y la presión de los medios de comunicación para aumentar el coste de la demora. Travelex controló el entorno expuesto, la respuesta, la restauración, los mensajes a los socios que permitió y las pruebas que publicó o no publicó. Los bancos y los socios minoristas controlaron las promesas a los clientes, los reembolsos, los canales alternativos y las actualizaciones de estado.

Los acreedores controlaron las negociaciones de reestructuración que decidieron qué partes del negocio siguieron adelante y cuáles permanecieron en la antigua estructura. Los reguladores controlaron las normas posteriores que hicieron más difíciles de ignorar estas dependencias.

La lección duradera del incidente es que la resiliencia de los servicios externalizados debe medirse desde la primera transacción fallida del cliente, no desde la declaración de restauración final del proveedor. A un cliente bancario que no puede recoger dinero para viajes no le importa si el proveedor lo llama un ciberincidente interno. A un empleado de una sucursal que utiliza facturas en papel no le importa si el nombre del grupo de ransomware está bien escrito. A un acreedor no le importa si la interrupción se clasifica como TI u operaciones. Cada actor siente la consecuencia a través de la promesa de servicio en la que confió.

Por lo tanto, Travelex pertenece al registro de responsabilidad como un caso en el que el ransomware reveló la economía de la dependencia. El atacante explotó los sistemas y la atención. El proveedor luchó con la restauración y la comunicación. Los socios descubrieron el peso operativo de un proveedor de marca blanca. Los empleados y los clientes cargaron con el trabajo manual y la incertidumbre. La posterior reestructuración demostró que la confianza digital, la liquidez y la continuidad no son temas separados.

En los servicios de divisas, una interrupción cibernética puede convertirse en una crisis de contacto con el cliente, una prueba de gobernanza de los socios y un evento de resiliencia financiera, todo a la vez.

Tipografía

La tipografía es el arte y la técnica de organizar los tipos para que el lenguaje escrito sea legible, legible y visualmente atractivo. Implica la selección de tipografías, tamaños de punto, longitudes de línea, interlineado y espaciado entre letras.

  • La tipografía se originó con la invención de los tipos móviles por Johannes Gutenberg en el siglo XV.
  • Los elementos clave incluyen la selección de fuentes, el kerning, el tracking y el leading.
  • Una buena tipografía mejora la legibilidad y transmite el estado de ánimo o el tono en el diseño.