El último ciberataque sufrido por el ayuntamiento de Sevilla ha afectado a todos los servicios de la cuarta ciudad más poblada de España. El secuestro de sus sistemas informáticos, que permiten gestiones ciudadanas tales como cita previa o pago de impuestos, ha hecho a sus ciudadanos volver a la ventanilla y a sus funcionarios al lápiz y al papel. En 2021, una ciberestafa a la administración municipal provocó la pérdida de casi un millón de euros que no fueron recuperados.
Algunos expertos, como José Albors, de ESET, cuestionan que los presupuestos sean adecuados para mantener el funcionamiento de estos sistemas a salvo de ciberataques, que no han dejado de aumentar en los últimos años. “No puedes tapar un agujero del tamaño de la Luna con esparadrapo y tiritas”, dice.
Cómo ha sido el ciberataque en el ayuntamiento de Sevilla
Los atacantes estiman que el daño causado es de cinco millones de euros. Esta cifra fue confundida en un primer momento con el rescate que piden para liberar el sistema, que es de 1,5 millones. De todas maneras, el equipo de gobierno, a cargo de José Luis Sanz, ha informado que no pagará ninguna cantidad.
Las autoridades hispalenses han identificado a los piratas informáticos LockBit detrás del ataque. Este es un grupo que se dedica al ransomware y da su nombre a un software tipo troyano (Lockbit Locker) que envía oleadas de emails y encripta los equipos informáticos. El Ministerio de Defensa ha publicado una alerta contra este malware en agosto.
Los ciberataques a instituciones públicas como este ayuntamiento han aumentado en los últimos años. El informe “Ciberamenazas y Tendencias” del CCN (Centro Criptológico Nacional) señala que es precisamente el entorno gubernamental el más atacado y afectado, como explicamos en Newtral. A este tipo de organización víctima se le dirige un ataque tipo ransomware que tiene como consecuencia el robo o la fuga de datos sensibles, como la que sufrió el CSIC en 2022.
Los datos personales de 700.000 sevillanos
Por el momento “no consta” que los datos de los ciudadanos estén afectados, según el concejal de Hacienda y Transformación Digital del ayuntamiento sevillano, Juan Bueno.
A especialistas en seguridad como Albors, director de investigación y concienciación de ESET, esto no les cuadra con el modus operandi de los grupos de ransomware actuales. “Sería extraño que hayan cifrado los datos sin haber accedido a ellos previamente y haberlos robado para tener más poder de negociación a la hora de extorsionar al ayuntamiento”, dice, aunque acepta que existe aquella posibilidad.
La táctica de extorsión inicial del ransomware consiste en cifrar los datos de los sistemas del objetivo para que los usuarios no puedan acceder a ellos, de modo que solo puedan recuperar el acceso a cambio de un pago.
“Todo esto se produce mediante claves de cifrado que, en caso de conocerse, permiten descifrar la información, por lo que sí es posible que solamente hayan cifrado la información sin llegar a obtenerla y que el objeto de la extorsión sea su mera indisponibilidad, aunque no garantiza que el actor de amenazas la vaya a aportar en la práctica.” coinciden Raquel Puebla e Itxaso Reboleiro, analistas de ciberinteligencia en Entelgy Innotec Security.
Explican a Newtral.es que no todos los ciberataques de ransomware, como el que ha sufrido el ayuntamiento de Sevilla, conllevan recopilación y filtración de datos, aunque sí es lo más habitual.
«Cabe la posibilidad de que simplemente hayan cifrado los datos y no hayan conseguido obtenerlos o que, directamente, este no haya sido su objetivo. En algunos casos, y este es el caso particular de LockBit, los ciberactores de ransomware más avanzados incorporan una especie de ‘código ético’ que impide a sus afiliados realizar determinadas acciones sobre los objetivos que ataquen. Por ejemplo, en el caso de hospitales públicos no permiten causar indisponibilidad sobre los sistemas debido al impacto que podría llegar a causar sobre la salud. Por tanto, es probable que o bien el ciberataque se haya neutralizado antes de llegar a obtener información sensible por los atacantes o bien que el objetivo fuera otro en este caso”.
Presupuesto insuficiente, según expertos
No es la primera vez que el ayuntamiento de Sevilla pierde dinero a manos de un ciberataque. En 2021 se detectó que le habían estafado 962.797 euros. Los ciberdelicuentes lo hicieron interceptando sus comunicaciones con la empresa adjudicataria del contrato de la iluminación navideña, probablemente mediante un virus informático, según publicó el Diario de Sevilla.
Con esta información, suplantaron la identidad de la empresa y lograron que el pago se hiciera a una cuenta controlada por ellos. El dinero no se recuperó, lo que obligó a hacer reajustes presupuestarios.
Al año siguiente, la partida municipal para prevenir ciberataques fue de 200.000 euros dentro del presupuesto global de 1.072 millones, según han informado fuentes municipales a El País. ¿Es suficiente para evitar un ciberataque de este tipo a un ayuntamiento? Albors lo niega. “Es insuficiente, se mire como se mire”, dice.
Desde Innotec Security dicen que no basta sólo con invertir en servicios, sino que los propios empleados de estas instituciones deben estar formados. En este caso del ayuntamiento, consideran que la inversión en ciberseguridad debería estar acorde a la cantidad de información sensible que se maneja en este tipo de instituciones públicas y a la criticidad de los servicios que proporciona a la ciudadanía. “Al tratarse de un ayuntamiento de una gran ciudad, lo más probable es que la cantidad de información privada que circule en su interior resulte elevada, por lo que la inversión debería seguir esa misma línea”, dicen Puebla y Reboleiro.
Albors explica que en casos como el del ciberataque en el ayuntamiento de Sevilla se habla mucho de la necesidad de concienciación de los funcionarios sin que haya presupuestos acordes, y sin que estos departamentos tengan recursos.
“Hay que cambiar el foco”, dice en conversación telefónica. “Hay una responsabilidad en los altos cargos que son los que fijan las partidas presupuestarias, y no saben lo que está pasando. Este incidente debe servir como recordatorio a aquellos directivos y políticos responsables de la toma de decisiones para que vean las consecuencias de no invertir lo suficiente en ciberseguridad, ya sea en la contratación de soluciones avanzadas, como en ofrecer unas condiciones laborales adecuadas al personal encargado, sin olvidar de la importancia de revisar y auditar todas aquellas redes, sistemas e información crítica que son responsabilidad del ayuntamiento”, indica.
- Josep Albors, director de investigación y concienciación de ESET
- Raquel Puebla e Itxaso Reboleiro , analistas de ciberinteligencia en Entelgy Innotec Security
- Así se gestó el fraude del millón de euros al Ayuntamiento de Sevilla, ABC Sevilla
- Ministerio del Interior | Los cibercriminales utilizan el denominado Lockbit Locker: La Policía Nacional alerta de una campaña de distribución de un sofisticado ransomware que encripta los equipos informáticos
- Investigan un nuevo hackeo tras la caída del sistema informático del Ayuntamiento de Sevilla, ABC Sevilla
- El Ayuntamiento de Sevilla suspende todos los servicios telemáticos por un secuestro informático: “No se negociará”, EL PAÍS
- Las instituciones públicas, la investigación y la educación, en el punto de mira de los ciberataques en España en 2022
