Hackeo al Ayuntamiento de Sevilla: «Si un atacante quiere comprometer la seguridad de un organismo, lo va a conseguir siempre»

Este profesional con más de 23 años de experiencia en el mundo de las tecnologías de la información asegura que en materia de ciberseguridad «no es tanto evitar un ataque, cómo su prevención, su detección temprana para evitar un impacto indeseado y recuperar la normalidad lo antes posible».

Sobre todo porque «nadie está a salvo al cien por cien». Por ello ha insistido en la importancia de trabajar y mejorar en tres estadios: prevención, con mecanismos que reduzcan la probabilidad de que ocurran los ataques; detección; y recuperación. El objetivo es recuperarse lo antes posible. «Hay mecanismos», ha indicado.

El nombre de Lockbit ha irrumpido esta semana en la vida de los sevillanos. El pasado miércoles el delegado de Transformación Digital del Ayuntamiento de Sevilla, Juan Bueno, aseguraba que detrás del hackeo al sistema informático municipal estaba un grupo holandés llamado Lockbit.

Daniel Zapico explica que Lockbit es un grupo criminal que anteriormente tuvo infraestructura en Holanda, pero actualmente es difícil saber quién está detrás y dónde. No obstante, Lockbit es el nombre que ese grupo le da a al 'malware' (malicious software --software malicioso--) que usa para sus ataques, en este caso Lockbit 3.0. «Parece lógico pensar que si han usado Lockbit, esté este grupo detrás del ciberataque». También existe el 'ransomware' (un tipo de 'malware' que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate) Lockbit.

¿Cómo funcionan? Dejan inoperativo el sistema y los datos, y luego impiden el rescate al organismo o empresa atacada para recuperar la información, que previamente han cifrado. Tienen la clave para descifrarlo y exigen un pago. Es el ataque más frecuente a nivel mundial. Al Ayuntamiento de Sevilla le han exigido un millón y medio de dólares, aunque el gobierno local ha expresado que se niega a negociar con estos delincuentes.

Según este experto de IBM, hay muchos tipos de ataques y diferentes fases en un mismo ataque, como hay decenas de grupos criminales, que tienen como común denominador las tácticas y procedimientos. «Son grupos criminales muy organizados, con direcciones financieras, direcciones de operaciones, se dedican a los ataques, es su negocio. Con una inversión baja obtienen resultados altos».

El objetivo es obtener dinero a través de tres tipos de extorsión tras inhabilitar el sistema y obtener los datos: pedir el rescate a la organización hackeada; chantajearla con la divulgación de los datos; y si son de particulares, chantajear a éstos. También pueden usar estos datos para otro tipo de fraudes (datos bancarios, por ejemplo).

Ante la cuestión de si el Ayuntamiento de Sevilla podrá descifrar los datos cifrados (comúnmente conocido como encriptados) por Lockbit, es claro: «la respuesta es que no se conoce aún ningún medio, si realmente es Lockbit 3.0». Para ello recomienda contar con copias de seguridad y sistemas de almacenamiento externos, que permitirán reinstalar todo el material desde cero.

Daniel Zapico deja un dato relevador. En la web de CCN-CERT (Centro Criptológico Nacional) se puede ver que del total de organismos públicos que hay en España sólo 140 están certificados por el Esquema Nacional de Seguridad. Las entidades privadas son 658.

El Covid marcó un antes y un después en España en materia de ciberseguridad o, mejor dicho, ciberataques. El aumento del trabajo en remoto aumentó el nivel de exposición. Y el éxito de los ciberdelincuentes también aumenta.

La media de lo que una compañía tarda en identificar un ataque y lo que éste dura suele estar en 214 días. «Son ataques para no ser detectados», según este experto de IBM. Cuando encuentran lo que es valioso para ellos empieza la monetización, empieza el negocio. Daniel Zapico ha advertido de que «las empresas son atacadas permanentemente, los ciberdelincuentes atacan a diario».