“No se pide un millón de euros si no se han llevado datos con qué extorsionar”. Así de contundente se muestra el consultor de ciberseguridad de Dolbuck, Adrián Ramírez, sobre el alcance del ciberataque que ha sufrido el Ayuntamiento de Sevilla por parte de LockBit, del que está convencido de que han conseguido aprovechar la “vulnerabilidad” del sistema informático municipal para acceder a los datos, encriptarlos y hacer copias que usarán para chantajear al Consistorio y vender los datos, como ha ocurrido en otros casos similares.
Para Ramírez, el problema no está “en un ordenador, sino que está afectado una gran parte de sistema” y que no hace falta una “prueba de vida” de los delincuentes para comprobarlo: “si los sistemas del Ayuntamiento cuentan con una forma de medir el tráfico de red saliente, es un indicador de que se han llevado datos”, por lo que entrará en acción la Agencia de Protección de Datos, a la que hay que comunicarle la fuga y qué datos están comprometidos en un plazo máximo de 72 horas.
“Si sacrificas todos los servicios online, es que tienes razones muy serias para hacerlo”, apunta, explicando que este tipo de ataques se evitan teniendo protocolos “bien hechos, con una red segmentada, con filtros y controles dentro de la red corporativa que permite controlar el tráfico y aislar las áreas afectadas”, lo que evitaría la expansión del software malicioso. Según señala, el hecho de que hayan tenido que reunir a todos los informáticos del Ayuntamiento y de sus empresas municipales evidencia que “no es un único ordenador afectado”.
Ante ataques de este estilo, los expertos en ciberseguridad consideran que parar los servicios más de 48 horas “implica que la incidencia es crítica”, como es este caso que afecta, no sólo a datos, sino también al pago de tributos, multas o trámites de licencias, mientras que, en este caso concreto, Ramírez estima que si se confirma esa gravedad pueden tardar meses en que el Ayuntamiento de Sevilla recupere la normalidad.
Tal como se puede apreciar en la propia guía STIC 817, podríamos estar ante una incidencia de ciberseguridad crítica.
Fuente: https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/988-ccn-stic-817-gestion-de-ciberincidentes/file.html
Página13.
“Al margen de que son datos de los ciudadanos, no sería de extrañar que el día de mañana empiecen a llamar a los ciudadanos, haciéndose pasar por el Ayuntamiento realizando algún tipo de estafa”, advertía Ramírez, que recuerda que el modus operandi de estos ciberdelincuentes es “oportunista”, es decir, buscan un sistema vulnerable, acceden, copian los datos, los encriptan, chantajean “ informando de que se han robado, por ejemplo 10 gigas de datos, le ponen en una cuenta regresiva con tiempo. En caso de no pagar pueden publicar 1 giga y los otros 9, los venden”.
En estos casos “tan mediáticos, no se puede pagar porque cada vez te piden más”, asegura, aunque apunta que, en el negocio del tráfico de datos, “se pagan bien los novedosos, luego se van revendiendo hasta que los publican en una web de forma gratuita”. Eso sí, LockBit aún no ha incluido al Ayuntamiento de Sevilla en su relación de ataques que tienen en la darkweb, aunque sí que aparecen numerosas empresas españolas e incluso sevillanas.
Por último, Ramírez nos muestra cómo en una simple búsqueda en Shodan (un buscador web de dispositivos conectados a Internet) localiza sin mucho esfuerzo ordenadores del Ayuntamiento posiblemente vulnerables.
