Convierten todos los ordenadores en pisapapeles en un chasquido de dedos

El Ayuntamiento de Sevilla ha sido víctima de un ciberataque, por el que un grupo de ciberdelincuentes supuestamente ha tenido acceso a los datos del Consistorio. 

Cuando conocieron la noticia y para tratar de frenar la infección de sus sistemas, desde el organismo se interrumpieron todos los servicios “como medida de precaución”, pero era demasiado tarde. Ahora los atacantes piden un rescate de un millón y medio de euros.

Fuentes municipales han asegurado que “en ningún caso se negociará con ciberdelincuentes”. Mientras, los técnicos del Ayuntamiento y personal externo especializado están trabajando desde el martes para determinar el origen y alcance del ciberataque y poder establecer la normalidad lo antes posible.

Por si esto fuera poco, hace justo un año, el consistorio hispalense ya fue objetivo de una estafa por suplantación de identidad de una empresa adjudicataria. Estos hechos ponen, una vez más, en entredicho el nivel de ciberseguridad existente en el sector público.

Cómo se ha producido el ciberataque

El ataque que se ha producido es uno de ransomware, también conocido como ‘secuestro de datos’, que consiste en un tipo de programa dañino que los ciberdelincuentes insertan en dispositivos de una empresa u organismo para restringir ciertos archivos. Por lo general, los atacantes piden un rescate, como ha sido el caso; a veces, los destruyen.

Sancho Lerena, CEO de Pandora FMS, tecnológica española especializada en gestión IT y seguridad, explica para 20Bits que este tipo de ataques puede ocasionarse por muchos motivos: «Por brechas en el equipo de seguridad […] por un simple error de un empleado, […] por la descarga de un software pirata». 

Por su parte, Juan Manuel Pascual, experto en ciberseguridad y CEO Innovery España y LATAM, detalla para este artículo que el método más común que utilizan los ciberdelincuentes para acceder a los sistemas es el envío de emails engañosos que animan a descargar archivos en los que hay un malware oculto. Esto es lo que podría haber ocurrido en el caso del ataque al Ayuntamiento de Sevilla. 

«Una vez que una organización obtiene una forma de entrar en nuestra organización, va infectando desde dentro -añade Lerena-. El propósito es someter la mayor parte de equipos informáticos posibles. No solo infecta los equipos, sino que también intenta identificar las copias de seguridad. Una vez se ha propagado lo suficiente (a veces hablamos de semanas o incluso meses, dependiendo del tamaño de la organización), bloquea todos los recursos a los que tiene acceso, cifrando el contenido de los ordenadores, y también de las copias de seguridad que tiene localizadas. El objetivo es dejar una organización totalmente inoperativa, es como convertir todos los ordenadores en pisapapeles en un chasquido de dedos».

Quién está detrás de este ataque informático

Este ciberataque lo firma uno de los grupos de cibercriminales más potentes a nivel mundial. Hablamos de LockBit, una banda de origen holandés.

Según Kaspersky, el ransomware LockBit es un software malicioso diseñado para bloquear el acceso de los usuarios a los sistemas informáticos y pedir el pago de un rescate para restablecerlo. LockBit busca automáticamente objetivos valiosos, propaga la infección y cifra todos los sistemas informáticos accesibles en una red. Este ransomware se utiliza para lanzar ataques selectivos contra empresas y otras organizaciones. Como es un ciberataque autopilotado, los atacantes de LockBit se caracterizan por amenazar a organizaciones de todo el mundo con:

Los primeros ataques con LockBit comenzaron en septiembre de 2019, y fue entonces que recibió el apodo «virus .abcd». El apodo hacía referencia la extensión del archivo utilizada al cifrar los archivos de la víctima.

Según la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos, en 2022, LockBit fue el grupo global de ransomware más activo en términos de número de víctimas reclamadas en su sitio de fuga de datos.

Qué datos han obtenido y por qué el sector público es vulnerable

Los autores han advertido al consistorio sevillano de que han tenido acceso a los datos personales de los administrados. 

Lerena explica que “el nivel de ciberseguridad que hay en España sigue siendo inferior al requerido. Hay casi un 90% de empresas que tienen alguna medida de seguridad, pero apenas el 5% utiliza todas las que recogen organismos como el Ontsi. El sector TIC es el más avanzado, pero tienen que acompañarle el resto de sectores”, subraya.

La profesional apunta que es muy importante la prevención, con la instalación de antivirus que estén siempre actualizados. «No se puede perdonar en una organización hoy día es que no cuente con las herramientas que monitoricen si nuestro sistema está al día: antivirus, parches, backups y segurización de los sistemas», sentencia Lerena. 

Según Pascual, el problema está en la falta de presupuesto en materia de ciberseguridad. El experto aboga por «la contratación de servicios que les permitan mantener la seguridad a largo plazo» y por involucrar a los funcionarios en el proceso de seguridad, haciéndoles entender que son «una pieza esencial en la protección, detección y respuesta ante incidentes» y educándoles sobre los riesgos a los que se enfrentan. 

«La seguridad no consiste en tener software muy caro ejecutándose en hardware muy caro, consiste en tener una organización resiliente, adaptativa, inteligente y que confíe en su personal de sistemas, apoyados por especialistas -recalca Lerena-. La administración pública tiene organismos como el CCN o Incibe que tienen como labor ayudar a incrementar la seguridad en los sistemas de información nacionales, tanto en empresas como en administración pública». 

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.