La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 110.000 euros a la Real Sociedad de Fútbol por un ciberataque sufrido en octubre de 2023 que comprometió datos personales, algunos de categorías sensibles, de aproximadamente 60.000 personas, entre aficionados, jugadores y empleados. Entre la información afectada se encuentran nombres, apellidos, DNI, direcciones postales y electrónicas, teléfonos y, en el caso de los abonados, números de cuenta bancaria.

El ataque se detectó el 16 de octubre de 2023, cuando todos los servidores virtuales del club aparecieron encriptados con la extensión “.akira”. Se trataba de una de las infecciones de ransomware más activas en aquel momento, un tipo de ataque que secuestra los sistemas informáticos de la víctima y le exige un rescate por recuperarlos.

El incidente inutilizó las copias de seguridad y afectó a datos que no estaban cifrados, incluidos identificadores oficiales, cuentas bancarias, información médica, datos biométricos y documentos sensibles, como certificados de delitos sexuales de empleados. En su resolución, la AEPD destaca que la Real Sociedad “carecía de las medidas de protección adecuadas al riesgo”, como la segmentación de red y cifrado de los datos, factores que agravaron el impacto de la infección.

El club ha aceptado su responsabilidad en la falta de protección de la información y se ha acogido a la reducción por pronto pago, lo que le ha permitido rebajar el importe de la sanción a 66.000 euros.

Los afectados por el ciberataque incluyen abonados, accionistas, miembros de RS Fan y RS Laguna (dos grupos de simpatizantes del equipo), empleados, jugadores profesionales y no profesionales, técnicos, participantes en campus y eventos, así como personas que solicitaron segundas opiniones médicas. La Real Sociedad notificó inicialmente que los datos de abonados, accionistas y clientes no se habían visto comprometidos, pero posteriores comunicaciones a la AEPD reconocieron que sí lo estaban.

La Agencia advirtió que, debido a las contradicciones en las versiones ofrecidas por el club, no podía descartarse que el incidente hubiera afectado a la totalidad de los datos almacenados en los servidores. El Registro de Actividades de Tratamiento reveló que estos incluían datos de categoría especial, como información médica y psicológica de jugadores, discapacidades, alergias, datos de riesgos laborales, imágenes y voz, así como certificados de delitos sexuales.

También constaban datos económicos y laborales (nóminas, deducciones fiscales, historial profesional), patrimoniales, credenciales de acceso, registros de navegación y datos técnicos y de rendimiento deportivo. Ninguno de estos datos estaba cifrado antes del ataque.

Aunque no se hallaron evidencias forenses de que la información fuera extraída o publicada en foros de cibercriminales, la AEPD concluyó que la Real Sociedad había vulnerado el principio de integridad y confidencialidad de los datos, así como la obligación de garantizar su seguridad. El organismo consideró la naturaleza y volumen de los datos afectados, la duración de la brecha —del 14 de octubre al 6 de noviembre de 2023— y el hecho de que la actividad del club implica un tratamiento intensivo de información personal como factores agravantes.

Además de la sanción económica, la resolución obliga al club a acreditar en un plazo de tres meses que ha implantado medidas de seguridad adecuadas al riesgo, conforme a lo recogido en el expediente sancionador. La decisión es firme en vía administrativa.

Dmitry Yuryevich Khoroshev, de 31 años, nacido en Rusia, alias LockBitSupp. El FBI y las fuerzas de seguridad de Reino Unido y Australia han señalado este martes a este ciudadano ruso como el presunto líder de LockBit, el grupo de ciberdelincuentes más peligroso del mundo. La organización, especializada en los ataques de ransomware o secuestro de archivos, tiene unas 2.500 víctimas confirmadas en todo el mundo. Entre ellas están varias multinacionales españolas o el Ayuntamiento de Sevilla.

Se calcula que LockBit ha conseguido más de 500 millones de dólares a través del cobro de rescates y extorsionando a sus víctimas para no publicar los datos confidenciales robados. Los expertos en ciberseguridad llevaban desde 2020 intentando desentrañar quién estaba detrás del usuario LockBitSupp, pero hasta ahora seguía siendo un misterio.

Sin embargo, una operación internacional puso a LockBit en jaque por primera vez el pasado febrero. Las fuerzas de seguridad consiguieron hacerse con el control de parte de la infraestructura que la banda utilizaba para lanzar sus ataques, así como de su portal oficial en la web oscura. “Les hemos bloqueado”, celebró el jefe de la oficina contra el cibercrimen británica, que coordinó una acción en la que también participaron agentes de Francia, Japón, Suiza, Canadá, Australia, Suecia, Países Bajos, Finlandia y Alemania.

Sin embargo, a los dos días LockBit volvió a la acción y aseguró que la ofensiva apenas había causado daño a la organización. Desde entonces sus ataques no se han detenido.

Este martes los agentes vuelven a dar un golpe al grupo, publicando la identidad del cerebro de la organización y de un buen número de sus presuntos colaboradores. En el caso de Khoroshev, el Departamento de Estado de EEUU ha ofrecido una recompensa de 10 millones de dólares a quien ayude a dar con él.

Se han publicado también dos de sus correos electrónicos y las direcciones de sus monederos de criptomonedas, pero no sus datos biográficos o trayectoria anterior. “Como líder central del grupo LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempeñado una variedad de funciones operativas y administrativas para el grupo de delitos cibernéticos y se ha beneficiado financieramente de los ataques”, explica el comunicado del Departamento de Estado.

LockBit opera con un modelo conocido como “ransomware como servicio”, en el que la organización otorga licencias de su software a ciberdelincuentes afiliados a cambio de un pago además de un porcentaje de los rescates recibidos. Opera como una auténtica multinacional, con enlaces en múltiples países y departamentos especializados en cada rama de su negocio: desarrollo, captación de talento o negociación con las víctimas.

Khoroshev sería la persona que gestiona toda esa estructura. “Facilitó la actualización de la infraestructura de LockBit, reclutó nuevos desarrolladores para el ransomware y gestionó las filiales de LockBit”, detalla el mismo comunicado.

Las fuerzas de seguridad involucradas en la operación de febrero contra LockBit también consideran a Khoroshev responsable de los esfuerzos de LockBit para continuar con sus ataques después de que lograran tumbar parte de su infraestructura.

El grupo no ha tardado en reaccionar a la publicación de la identidad de su supuesto líder. Apenas una hora después, ha hecho pública la identidad de 16 nuevas víctimas a las que da una mes para negociar el rescate. Entre ellas se encuentran una de las principales compañías logísticas de Escandinava y un gran distribuidor de vehículos Mercedes-Benz en Alemania.

“Hemos hackeado a los hackers”, celebraba esta semana el responsable de la operación internacional liderada por el FBI y la Agencia contra el Crimen británica (NCA) que consiguió tumbar a “LockBit, el grupo cibercriminal más dañino del mundo”. Las fuerzas de seguridad habían utilizado su propia táctica contra ellos: encontraron una brecha de seguridad en sus sistemas, se colaron por ella, extrajeron todos los datos que pudieron y tumbaron su infraestructura digital.

La gran multinacional de los ciberataques de ransomaware, conocida por el alto grado de profesionalización de sus miembros y su estructura interna, parecía quedar así desarticulada. Su caída daba a su vez una ventana a las miles de víctimas de la organización en todo el mundo, ya que las fuerzas de seguridad consiguieron hacerse con un considerable número de códigos para descifrar los archivos secuestrados por los que los hackers esperaban cobrar un rescate.

“Hemos tomado el control de su infraestructura, confiscado su código fuente y obtenido claves que ayudarán a las víctimas a descifrar sus sistemas”, aseveraba el jefe de la operación internacional, en la que también participaron Francia, Japón, Suiza, Canadá, Australia, Suecia, Países Bajos, Finlandia y Alemania. “A día de hoy, LockBit está bloqueado”.

Sin embargo, apenas unas horas después el propio grupo de cibercrimen organizado ponía toda la operación en duda. Una serie de mensajes en su grupo oficial de Telegram avisaba que los daños a sus archivos habían sido mínimos y que volverían a la actividad muy pronto.

Los ciberdelincuentes han cumplido su amenaza en la madrugada de este domingo. Un nuevo portal oficial en la web oscura anuncia nuevas víctimas y las emplaza a negociar los rescates por sus archivos. Además, anuncian su apoyo a Donald Trump y aseguran que la operación del FBI contra ellos es una respuesta al robo de información confidencial sobre sus procesos legales.

“Los documentos robados contienen cosas interesantes sobre los casos judiciales de Donald Trump que podrían afectar las próximas elecciones en EEUU”, afirma LockBit. “La situación en la frontera con México es una pesadilla. Biden debería retirarse, es un títere. Si no fuera por el ataque del FBI, los documentos se habrían publicado el mismo día”, continúan en un extenso comunicado.

La organización también se burla de la operación contra ellos y reta a las fuerzas de seguridad a demostrar que su ataque fue realmente exitoso. “Afirman tener 1.000 códigos de descifrado, aunque había casi 20.000 descifradores en el servidor, la mayoría de los cuales estaban protegidos y no pueden ser utilizados por el FBI”, manifiestan.

Los expertos consultados por elDiario.es dan credibilidad al anuncio de la vuelta a la actividad del grupo. “Total y absoluta”, dice Rafael López, experto en ciberseguridad de la firma Perception Point. “Los enlaces están operativos al 100%, puedes navegar y ver todos los leaks [información robada] que han restaurado”.

“En el sector siempre se ha tomado con cautela esto y nos parecía que había sido 'demasiado fácil' desmontar a Lockbit”, continúa este especialista, que destaca que la operación contra ellos ha derivado en “su primer posicionamiento político”: “Dicen abiertamente que quieren que gane Trump”.

Daute Delgado, instructor de la escuela Ironhack y analista del centro de ciberseguridad de Naciones Unidas, confirma que el nivel de actividad que ha reanudado LockBit confirma que “han sobrevivido”. No obstante, avisa que no hay que fiarse de las palabras de los ciberdelincuentes, ya que “sí podría haberles debilitado”.

“Habrá que esperar a las próximas semanas para saber en qué quedan sus amenazas al FBI”, apunta sobre el grupo cibercriminal que se ha convertido en una amenaza internacional tras cuatro años de incesantes ataques de secuestro de archivos.

LockBit, el grupo de hackers más activo y peligroso del mundo, que opera como una auténtica multinacional de los ciberataques, niega haber sido desarticulado en una gran operación internacional liderada por el FBI y la Agencia Nacional contra el Crimen británica (NCA, por sus siglas en inglés). “Hemos aprendido de los errores de otros. En el pasado, las personas podían ser identificadas y detenidas, y a través de una persona se podían revelar todos los detalles de la organización, pero ese ya no es el caso. ¡Somos un imperio!”, han manifestado.

“Nuestros miembros están separados entre sí y se encuentran en todos los países del mundo (ingenieros, carpinteros, herreros, médicos, jueces). Tenemos diferentes clases y edades. No hay conexión entre uno y otro. ¡No solo utilizamos computadoras! Utilizamos de todo y todo tipo de capacidades”, continuaban este miércoles en su canal oficial de Telegram, asegurando tener “agentes secretos en todo el mundo” y haciendo una invitación formal para nuevos miembros. “Parece que el mundo se ha dado cuenta del peligro demasiado tarde”.

El comentario es una reacción al comunicado oficial de la NCA publicado durante la tarde de este martes. Las autoridades británicas afirmaron haber desmantelado a “LockBit, el grupo de ciberdelincuencia más dañino del mundo”, tomando el control de sus servidores y “comprometiendo toda su empresa delictiva”. Se han producido también dos detenciones de ciudadanos rusos en Ucrania y Polonia, así como la congelación de más de 200 cuentas de criptomonedas vinculadas a sus actividades.

Pese a las proclamas de la gran multinacional de los ciberataques, su página web oficial de la red oscura permanece bajo el control de las autoridades, según ha podido comprobar elDiario.es. Al acceder a ella a través de la red Tor se muestra un mensaje que informa de la desarticulación de la banda en la Operación Cronos y los países intervinientes (Reino Unido, EEUU, Francia, Japón, Suiza, Canadá, Australia, Suecia, Países Bajos, Finlandia y Alemania).

Tras ese aviso se muestra una recreación del antiguo blog que LockBit utilizaba para difundir sus ciberataques, coaccionar a las víctimas y revelar sus datos confidenciales cuando se negaban a pagar un rescate con ellos. La información que se muestra ahora, en cambio, es sobre la desarticulación del grupo, las claves de desencriptado de la información o una cuenta atrás para el cierre completo de la página.

Como explica la NCA y detalló elDiario.es en un reportaje sobre su ciberataque al Ayuntamiento de Sevilla, LockBit ha sido el grupo de ciberdelincuentes especializado en ransomware (secuestro de archivos informáticos) más activo y peligroso de los últimos cuatro años. Además del consistorio hispalense, en España se le conocen objetivos como el importante despacho de abogados Sagardoy o Euskaltel. El Centro Criptológico Nacional avisó en noviembre de que España era el objetivo de aproximadamente un 20% de las ofensivas de la banda.

“Los ataques de ransomware de LockBit se dirigieron a miles de víctimas en todo el mundo –abunda la NCA– y causaron pérdidas de miles de millones de libras, dólares y euros, tanto en el pago de rescates como en los costes de recuperación. El grupo proporcionaba ransomware como servicio a una red mundial de piratas informáticos o 'afiliados', suministrándoles las herramientas y la infraestructura necesarias para llevar a cabo los ataques”.

“Cuando la red de una víctima era infectada por el software malicioso de LockBit, sus datos eran robados y sus sistemas, encriptados. Se pedía un rescate en criptomoneda para que la víctima descifrara sus archivos e impidiera la publicación de sus datos”, continúa la agencia británica.

Esta organización en departamentos, profesionalismo y distribución internacional es lo que hace que grupos como LockBit funcionen como auténticas multinacionales de los ciberataques. En su caso se cree que su cuartel general se encontraba en los Países Bajos, pero esto no ha sido confirmado por las autoridades. Desde él se coordinaba a sus especialistas en desarrollo, que perfeccionaban sus programas de ataque e infección. También los informes de su equipo de inteligencia, que analizaba a sus potenciales objetivos en busca de sus puntos débiles, estudiaba cuánto podrían pagar e incluso sobornaba o extorsionaba a sus empleados para que les abrieran las puertas. También contaban con un departamento de “atención al infectado”, que negociaba con ellos las condiciones del pago.

El desmantelamiento de esta infraestructura se considera la acción clave contra la organización, incluso más que las detenciones o el control de su web. “La Agencia también ha obtenido el código fuente de la plataforma LockBit y una gran cantidad de inteligencia de sus sistemas sobre sus actividades y aquellos que han trabajado con ellos y utilizado sus servicios para dañar a organizaciones en todo el mundo”, explica la NCA.

“Bravata”

Varios especialistas en ciberseguridad han afirmado en conversación con elDiario.es que el desmentido de LockBit podría tratarse solo de una “bravata” pero que habrá que esperar a ver qué sucede en los próximos días. “Muchos de sus miembros podrían preferir esperar a que pase la tormenta y volver dentro de unos meses con otro nombre”, adelanta uno de ellos, pidiendo permanecer en el anonimato.

También es frecuente que los miembros de los grupos desarticulados se lleven su conocimiento a otras bandas, ya que, como ha ocurrido en este caso, en las operaciones contra el cibercrimen organizado se suelen producir pocas detenciones.

A día de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, sobre todo, la credibilidad de un grupo que dependía del secreto y el anonimato

Graeme Biggar — director de la Agencia Nacional contra el Crimen británica

Por ello, otros expertos creen que es pronto para dar carpetazo al nivel de intensidad de las actividades del grupo, puesto que no se le ha erradicado por completo. “Por ejemplo, la interrupción en agosto de 2023 de la red de bots Qbot no detuvo las actividades de uno de los distribuidores más destacados de este malware, ya que cambiaron a otra para continuar con sus actividades”, explica Selena Larson, especialista en ciberinteligencia de la firma de seguridad Proofpoint.

“Lo más importante para las víctimas actuales de LockBit es que se han encontrado y publicado las claves de descifrado, que permitirán recuperar los datos cifrados por este grupo”, continúa Larson: “Además, la congelación de más de 200 cuentas de criptomonedas vinculadas a las actividades de LockBit restringirá la capacidad de los delincuentes para acceder a su dinero, lo que dificultará aún más sus operaciones”.

Graeme Biggar, director de la NCA, también ha reconocido la posibilidad de que regresen. “Hemos hackeado a los hackers; tomado el control de su infraestructura, confiscado su código fuente y obtenido claves que ayudarán a las víctimas a descifrar sus sistemas”, ha defendido, aseverando que “a día de hoy, LockBit está bloqueado. Hemos dañado la capacidad y, sobre todo, la credibilidad de un grupo que dependía del secreto y el anonimato”.

Blackcat derribado. La estructura del grupo criminal Alphv, también conocido como Blackcat, ha sido desmantelada esta semana en una operación internacional en la que han participado fuerzas de seguridad de varios países, incluidos agentes de la Policía Nacional. Alphv se especializaba en los conocidos ataques de ransomware, basados en el secuestro de archivos y venta de información confidencial. Era extremadamente activa y peligrosa, con más de 1.000 víctimas confirmadas en todo el mundo en menos de dos años, más de 20 de ellas en España.

Alphv es uno de los mejores ejemplos de la profesionalización del sector de los ciberataques en los últimos años. La organización había desarrollado su propio sistema de malware avanzado para infectar y bloquear los archivos de sus víctimas y contaba con una estructura central para seleccionar objetivos, un departamento de negociación de rescates y otro de cobro. Este último incluía “probablemente dinero en efectivo”, explican los investigadores de la firma de ciberseguridad rusa Kaspersky, desde donde se cree que actuaban estos ciberdelincuentes.

En la práctica, Blackcat actuaba como una multinacional con franquiciados en múltiples países. Estos se encargaban de buscar un método para infiltrar el malware de la organización en objetivos locales. Una misión que podían cumplir por su conocimiento interno de las víctimas por haber tenido alguna relación con ellas o sus sistemas informáticos, o por otros métodos como el robo de credenciales de acceso.

A cambio de ese acceso un porcentaje del rescate que la víctima pagaba por recuperar los archivos, los afiliados reclutados por Alphv podían acceder a toda la infraestructura de lanzamiento de ataques de la organización y dejar en sus manos las comunicaciones con el objetivo y el cobro. “La infraestructura desmantelada está considerada una de las más peligrosas de los últimos tiempos no sólo por la gran cantidad de víctimas afectadas a nivel global, sino también por la sofisticación de las medidas de seguridad utilizadas por sus afiliados”, detalla la Policía Nacional.

Este método es lo que permitió a la organización esquivar durante dos años a las fuerzas de seguridad mientras desataba una avalancha de ataques contra “empresas del sector público y privado, operadores de transporte, universidades, televisiones, agencias de investigación y laboratorios técnicos”, continúan los agentes. En sus primeras etapas Alphv también fue muy activo contra compañías petroleras y gasísticas de Oriente Medio, apuntan desde Kaspersky, lo que podría ser una prueba de que contó con un afiliado en la región con acceso a este sector.

Denuncia ante la SEC

Sin embargo, la maniobra de Alphv que supuso una vuelta de tuerca respecto a otras bandas de cibercrimen organizado y que da idea del profesionalismo del sector es que llegó a denunciar a una de sus víctimas ante la SEC, el regulador bursátil estadounidense.

Desde septiembre, la SEC obliga a las compañías cotizadas a informar en un máximo de cuatro días de los ciberataques que puedan afectar a sus resultados. Un secuestro de archivos por parte de Alphv sin duda puede serlo, pero la compañía de software MeridianLink sufrió uno en noviembre y no informó de él de manera pública en el período establecido. La organización cibercriminal procedió entonces a llamar la atención de la SEC sobre el incidente, sin duda como una medida de extorsión para que MeridianLink pagara.

“Queremos llamar su atención sobre una cuestión preocupante relativa al cumplimiento por parte de MeridianLink de las normas de divulgación de incidentes de ciberseguridad recientemente adoptadas. Ha llegado a nuestro conocimiento que MeridianLink, a la luz de una brecha significativa que compromete los datos de los clientes y la información operativa, no ha presentado la divulgación requerida bajo el punto 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por las nuevas normas de la SEC”, rezaba la comunicación de Alphv.

La reclamación sobre MeridianLink se hizo pública en el sistema de la SEC, pero aún no se conoce si el regulador ha abierto una investigación por el retraso de la compañía. “Basándonos en nuestra investigación hasta la fecha, no hemos identificado ninguna evidencia de acceso no autorizado a nuestras plataformas de producción, y el incidente ha causado una interrupción mínima del negocio”, alegó MeridianLink en ese momento.

Antecesores y sucesores

La investigación contra Alphv se inició en enero de 2022 y ha contado con la participación de fuerzas de seguridad de ocho países bajo la coordinación de Europol. Han sido Estados Unidos, Alemania, Dinamarca, Canadá, Australia, Reino Unido, Suiza y España.

Cuando los investigadores logran tumbar uno de estos grupos, la maniobra clave es bloquear su infraestructura digital. No obstante, rara vez se producen detenciones, ya que la mayoría de integrantes de estas bandas se encuentran en países que no colaboran con esas operaciones. Uno de ellos es Rusia. Gracias a la información filtrada por un miembro renegado de una de estas bandas, la comunidad de ciberseguridad internacional pudo conocer más detalles de cómo se interrelacionan con ella las fuerzas de seguridad rusas, a veces sobornándolas y otras con el pacto de no atacar en Rusia.

El hecho de que los miembros del cibercrimen organizado sobrevivan a las caídas de su infraestructura digital hace que puedan volver con más fuerza al cabo de cierto tiempo, perpetuando el juego del ratón y el gato con los investigadores. “Blackcat se presenta como sucesor de conocidos grupos de ransomware como BlackMatter y REvil. Los ciberdelincuentes afirman que han abordado todos los errores y problemas en el desarrollo de ransomware y han creado el producto perfecto en términos de codificación e infraestructura”, destaca Kaspersky en su informe sobre ellos.

“Sin embargo, algunos investigadores ven al grupo no sólo como los sucesores de los grupos BlackMatter y REvil, sino como un completo cambio de marca. Nuestra telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat tienen vínculos con el grupo BlackMatter, porque modificaron y reutilizaron una herramienta de ex filtración personalizada que llamamos Fendr y que sólo se ha observado en la actividad de BlackMatter”, continúa.

Con la caída de Alphv se vuelve a cerrar el círculo, pero algunos analistas avisan de que es cuestión de tiempo que vuelva a abrirse debido a la impunidad con la que estos grupos pueden trabajar desde algunos territorios.

Un ciberataque ha paralizado la infraestructura tecnológica del diario Público, que no puede publicar nuevas noticias ni actualizar su portada desde la madrugada del pasado jueves. El foco del ataque ha sido un servidor perteneciente a Mediapro, la compañía que presta servicios de hospedaje web y almacenamiento en la nube al medio de comunicación, según han informado a elDiario.es desde su dirección.

El ataque es de tipo ransomware, que secuestra los archivos de la víctima y le impide acceder a ellos hasta que pague un rescate. En la mayoría de ocasiones la extorsión va acompañada de un robo de toda información y datos personales de los trabajadores con la que se pueda comerciar en la web oscura.

En este momento, la dirección de Público no tiene constancia de que se haya solicitado un rescate ni producido tal sustracción, aunque recalcan que el caso está en manos de los Mossos d'Esquadra y la investigación continúa abierta.

El medio de comunicación tampoco tiene indicios de que el objetivo del ataque haya sido específicamente tumbar sus sistemas y recuerdan que el servidor de Mediapro afectado almacena otro tipo de información que también se ha visto afectada por la acción. elDiario.es ha intentado ponerse en contacto con Mediapro, que tampoco ha revelado más detalles sobre el incidente, aunque incide en que sus equipos trabajan para “solucionarlo lo antes posible”. El ciberataque ha coincidido con el anuncio de la salida de Jaume Roures de la dirección del Grupo, que dirigía desde hace casi 30 años.

“Estamos trabajando para recuperar la normalidad”, ha informado este lunes Público a través de su perfil oficial en X (antes denominada Twitter). El diario está publicando su información a través de las redes sociales hasta que pueda restablecer la operabilidad de su sistema informático.

Si hay una organización que ejemplifica la profesionalización de la ciberdelincuencia en los últimos años, esa es LockBit. Esta multinacional de los ataques informáticos mantiene secuestrados los sistemas del Ayuntamiento de Sevilla desde el martes, según ha informado el consistorio, que ha tenido que apagar sus 4.000 ordenadores. Todo ha vuelto al papel y boli. “Lo más preocupante es el tema de la Policía Local y los bomberos”, reconocía este miércoles en Hora25 el alcalde de la ciudad hispalense, José Luis Sanz (PP).

Aunque se suela denominar a LockBit como un “grupo” de ciberdelincuentes, ese concepto se queda corto. No atacan durante un corto pero intenso período de tiempo para luego esconderse, como hacen muchas de las bandas que operan en la red. Al contrario, su estructura se parece a la de una empresa consolidada. Cuenta con diferentes departamentos, franquiciados que operan en todo el mundo y programas de captación de talento para reclutar jóvenes hackers.

El cuartel general de la organización se encuentra en los Países Bajos, si se confía en lo que afirman en sus comunicados. Desde allí se coordina a sus especialistas en desarrollo, que se dedican a perfeccionar sus programas de ataque e infección; y se reciben los informes de su equipo de inteligencia, que analiza a sus potenciales objetivos en busca de sus puntos débiles, estudia cuánto podrían pagar e incluso soborna o extorsiona a sus empleados para que les abran las puertas. También cuentan con una sección de expertos en infectar a las víctimas e incluso un departamento de “atención al infectado”, que negocia con ellos las condiciones del pago.

Su negocio son los ataques de ransomware, que secuestran los archivos informáticos de la víctima para exigir un rescate a cambio de recuperarlos. En la gran mayoría de ocasiones también se producen robos de información. La clave del éxito de LockBit no es otra que ser muy buenos en lo que hacen. Quizá los mejores. “Es uno de los ransomware más efectivos”, explica en conversación con este medio un instructor de la escuela de ciberseguridad Ironhack: “Se calcula que el 28% de todos los ataques de este tipo están directamente relacionados con LockBit”.

La organización se autodenomina LockBit 3.0 debido a que su ransomware va ya por su tercera versión, que mantienen constantemente actualizada. Otra muestra de su profesionalización es que al lanzamiento de esta última arma le acompañó la activación de un sistema de recompensas para cualquiera que les avisara de errores en el código. Esta práctica se conoce como bug bounty y es común en las grandes tecnológicas como método para perfeccionar sus productos.

Su propio sistema de franquiciados

El modelo de negocio de LockBit incluye un programa de afiliados. “Se le llama Ransomware como Servicio (RaaS, por sus siglas en inglés). Tú llegas y les dices 'quiero atacar a esta empresa'. Ellos estudian la viabilidad del caso y deciden si puede llegar a ser un objetivo interesante. Si es así ponen un precio para el ataque y cobran un porcentaje en caso de que la víctima pague”, detalla el mismo experto, que pide no ser identificado por su colaboración con organizaciones internacionales: “son muy vengativos”.

El informe sobre LockBit de la firma de ciberseguridad japonesa Trend Micro destaca que la gestión de estos franquiciados es uno de los puntos fuertes de la organización. “Un factor que ha contribuido a su éxito es lo bien que recluta a afiliados fiables y capaces. La evidencia también sugiere que varios de sus afiliados están involucrados en múltiples operaciones RaaS, lo que les ayuda a innovar y mantenerse al día con su competencia. A cambio, LockBit se enorgullece de su funcionamiento profesional en el que pueden confiar los afiliados”.

Un factor que ha contribuido al éxito de LockBit es lo bien que recluta a afiliados fiables y capaces

Trend Micro

El programa de afiliados reporta enormes beneficios a la organización, ya que le permite aprovechar sus armas con mucho menos esfuerzo. El problema es que implica que los riesgos para su seguridad se multipliquen, al aumentar las personas conectadas con su estructura central. Pero LockBit también ha puesto remedio para eso. Cualquiera que encuentre información crítica sobre ellos y les diga cómo lo ha hecho se verá recompensado.

“La banda insta a los investigadores de seguridad a enviar informes de vulnerabilidades para mejorar sus operaciones a cambio de una remuneración. La recompensa del grupo por la contribución de los investigadores de seguridad oscila entre 1.000 dólares y un millón”, desglosa el informe de Trend Micro: “Ha ofrecido un millón de dólares a quien pueda proporcionar la identidad de sus miembros. La cuantiosa recompensa incentiva a los hackers a descubrir sus vulnerabilidades, algo que la banda considera un aviso de que sus operaciones están en peligro”.

Las dudas sobre el ataque al Ayuntamiento de Sevilla

Pese a su avanzado programa de colaboradores, el instructor de Ironhack apunta a que lo más probable es que el ataque contra el Ayuntamiento de Sevilla provenga de su estructura central. “A ellos les gusta atribuirse los ataques de renombre”, recalca. Por el momento, LockBit no ha reivindicado la acción en su portal de la web oscura.

El consistorio ha informado de que ha recibido varias peticiones de rescate. Una inicial de cinco millones de dólares y una segunda de un millón. En todos sus comunicados, tanto los delegados municipales como el alcalde han aseverado que Sevilla no va a pagar a LockBit ni a aceptar “chantajes de delincuentes”.

A su vez, asegura que el impacto del ciberataque ha sido muy reducido y que no se ha detectado el robo de datos personales ni otro tipo de información. Según ha explicado este jueves un delegado municipal, hasta el momento solo se han detectado tres equipos afectados. “Han capturado las claves del usuario y así han podido entrar en la red del Ayuntamiento. Han accedido a los sistemas que tenía autorizado el mismo usuario, con la suerte de que estos solo eran los servidores más antiguos”, ha informado en rueda de prensa.

El Ayuntamiento declara que en esos servidores antiguos no había información relevante, sino solo aplicaciones informáticas. Pese a todo, sus sistemas permanecen parados para avanzar con la “máxima seguridad” en su reinicio, ha declarado el alcalde. “No tenemos prisa por recuperar el servicio”.

Sin embargo, esta versión no convence a los especialistas en ciberseguridad consultados por elDiario.es. “No tiene sentido ese relato”, explica uno de ellos, que también pide que no se le identifique por su cargo en una firma internacional.

Las dudas surgen al comparar lo que dice el Ayuntamiento (que no ha habido robo de datos y solo hay tres ordenadores y “servidores antiguos” afectados) con lo que está haciendo su equipo de ciberseguridad. Esa mínima afectación no cuadra con el hecho de que sus 4.000 ordenadores lleven tres días paralizados y todavía no haya fecha para una vuelta a la actividad. Según el mismo delegado municipal, este viernes se pondrán a trabajar en un “plan de recuperación que se llevará a cabo de forma paulatina”, “sin prisas”.

Si tienes claro que no te ha afectado levantas todo y ya está. Si no lo tienes claro, haces esto

Experto de ciberseguridad

“Suena como si hubiesen montado una red alternativa y estuviesen arrancando ordenador por ordenador a ver si se activa algo o si ataca al resto de la red”, explica el mismo experto. Avanza que ese es el protocolo que adoptaría una organización que no sabe qué nivel de afectación ha tenido su sistema informático, no una que ha conseguido parar un ramsonware tan avanzado como el de LockBit cuando solo ha contagiado tres ordenadores. “Si tienes claro que no te ha afectado, levantas todo y ya está. Si no lo tienes claro, haces esto”, expone.

Es algo similar a lo que ocurre con la aseveración por parte del consistorio de que no ha habido robo de información, algo que ocurre en la mayoría de ataques de secuestro de archivos y especialmente, en los de LockBit. “Al contrario de lo que dice el comunicado oficial, los atacantes han tenido acceso a la información, de otra forma no sería posible que dicha información hubiera sido cifrada”, destaca Luis Corrons, experto de la firma de ciberseguridad de Avast.

“Este tipo de ataques lleva un trabajo por detrás, y de hecho una de las últimas tendencias es que los ciberdelincuentes se lleven una copia de la información antes de proceder a su cifrado”, abunda este mismo especialista.

El grupo RansomHouse, que perpetró un ciberataque contra el Hospital Clínic, amenaza ahora con publicar datos sobre pacientes con enfermedades infecciosas, así como sobre el uso de fármacos experimentales. Así lo afirma en un comunicado RansomHouse, en el que aseguran que, en los próximos días, habrá “diversos cambios” que “inquietarán” a la policía.

La Agencia de Ciberseguridad de Catalunya confirma que el comunicado se ha difundido mediante los canales de RansomHouse y que detrás del mismo están los hackers que atacaron al Clínic. De momento, los Mossos no se han pronunciado.

Este movimiento de RansomHouse se produce como una respuesta al bloqueo de su página web por parte de los Mossos d'Esquadra el pasado martes. Los agentes lanzaron un ataque DDoS -o de denegación de servicio- contra los servidores del grupo ciberdelincuente en la 'dark web'. De esta manera, tumbaron la página en la que se contenían 4,5GB de datos robados al Clínic el pasado 5 de marzo.

Tras el ataque, RansomHouse exigió al hospital el pago de 4,5 millones de euros para recuperar la normalidad y los datos robados, pero el centro comunicó que no cedería a las exigencias de los ciberciminales.

Entre los datos robados, tanto el mismo centro hospitalario como la Agencia de Ciberseguretat de Catalunya, aseguraron que hay “datos de carácter personal de pacientes, profesionales, colaboradores y proveedores del hospital”, según especificó el director médico, Antoni Castells.

La complejidad del ataque provocó que el hospital desprogramara centenares de cirugías y miles de visitas, ya que se imposibilitó la comunicación entre departamentos, el acceso a historiales y a datos de pacientes.

El grupo cibercriminal LockBit asegura haber lanzado un ciberataque exitoso contra Sagardoy Abogados, uno de los despachos más importantes de España en el ámbito de los litigios laborales. En un comunicado publicado en su portal de la deep web este viernes, la banda amenaza al despacho con publicar información confidencial robada si no se satisfacen sus exigencias, que no han hecho públicas. LockBit da nueve días a Sagardoy antes de comenzar a filtrar los datos.

LockBit es un grupo internacional de ciberdelincuentes activo desde hace varios años. Desde septiembre se presentan a sí mismos como “LockBit 3.0” en referencia a la tercera actualización del software que utilizan para llevar a cabo sus ataques. Estos se basan en el robo de información a empresas y organizaciones, para después intentar llevar a cabo una extorsión bajo la amenaza de publicar archivos confidenciales.

La banda también lanza ataques de ransomware, una infección que secuestra los sistemas informáticos de la víctima y paraliza su actividad. Uno de los últimos ciberataques de LockBit contra grandes organizaciones siguió este modus operandi. Se realizó contra Royal Mail, el servicio postal británico, el pasado 10 de enero. La banda ha filtrado 44 gigas de información confidencial de la organización y amenaza con publicar más si no recibe un pago de 66 millones de libras esterlinas (80 millones de euros), que Royal Mail se niega a realizar. El servicio postal británico sufrió importantes interrupciones, especialmente en los envíos internacionales, hasta el 23 de febrero.

Fuentes de Sagardoy Abogados aseguran a elDiario.es que el despacho ya está en contacto con las fuerzas de seguridad y con especialistas en ciberseguridad, y confían en que el incidente “se va a solucionar en poco tiempo”. Sagardoy también ha comunicado la potencial brecha de información a la Agencia Española de Protección de Datos y está informando a sus clientes de lo ocurrido.

Sagardoy Abogados es uno de los despachos laboralistas más importantes de España. Pilotaron el ERE de Coca-Cola que terminó siendo anulado por la justicia. Uno de sus abogados más reputados se hizo cargo de la defensa del modelo laboral de Deliveroo en 2018, cuando la Inspección de Trabajo comenzó su investigación contra la empresa por emplear falsos autónomos. La disputa llegó hasta el Tribunal Supremo, que zanjó que los repartidores de la empresa eran falsos autónomos.

Este ciberataque es el segundo incidente confirmado que sufren organizaciones españolas en menos de una semana. El pasado domingo los sistemas informáticos del Hospital Clínic de Barcelona cayeron víctimas de otra ofensiva de ransomware que paralizó gran parte de su actividad. Para este viernes el Clínic ya ha podido recuperar el 90% de actividad quirúrgica compleja, el 40% de la menos compleja y el el 70% de consultas externas. No obstante, servicios como el de radioterapia siguen paralizados.

Según ha anunciado este viernes la Generalitat, los autores del ciberataque contra el centro sanitario piden 4,5 millones de dólares a cambio de devolverle el acceso a sus sistemas. Los portavoces del Govern han insistido en que no pagarán “ni un céntimo”.

Una operación de la Agencia de la UE para la Cooperación Policial (Europol) ha permitido desmantelar la infraestructura de la red cibercriminal conocida como “Hive”, especializada en secuestrar los archivos informáticos de sus víctimas y exigir un rescate para recuperarlos. El grupo había atacado a más de 1.300 organizaciones en todo el mundo, entre las que se encontraban grandes y pequeñas empresas, instituciones públicas, sistemas informáticos de infraestructuras críticas e incluso hospitales y centros de salud.

En la investigación coordinada por Europol han participado agentes de la Policía Nacional y ha contado también con la participación del FBI y de otros 17 cuerpos de seguridad europeos, ha informado la Policía Nacional en un comunicado. La implicación de los agentes españoles comenzó en octubre de 2021 tras la denuncia de una empresa que fue víctima de uno de estos secuestros de datos, conocidos como ataques de ransomware. Tras detectar que el ataque provenía del grupo de ciberdelincuentes internacional Hive, uno de los más activos de los últimos años, los agentes españoles se integraron en el grupo de trabajo europeo que les seguía la pista.

Hive utilizaba el método conocido como “ransomware como servicio”, en el que el grupo que crea el malware no es el que lo lanza contra empresas e instituciones, sino que se lo alquila a terceros. Son estos últimos, a los que se conoce como “afiliados”, los que lanzan el ataque aprovechando su conocimiento de las organizaciones locales y sus puntos débiles.

La investigación ha permitido a las fuerzas de seguridad descubrir la ubicación de los servidores principales que Hive utilizaba para sustentar sus ataques. La incautación de este material ha revelado las claves necesarias para descifrar los archivos secuestrados en las últimas ofensivas del grupo, permitiendo a las empresas recuperarlos sin tener que pagar el rescate que exigían los ciberdelincuentes. Según los cálculos de Europol y el FBI, esa suma habría ascendido a unos 120 millones de euros. El comunicado, no obstante, no informa de que se hayan producido detenciones.

“En el último año, el ransomware Hive ha supuesto una grave ciberamenaza empleada para comprometer y cifrar los datos y los sistemas informáticos de grandes multinacionales tanto en la Unión Europea como en los EEUU. Concretamente, desde junio de 2021, más de 1.500 empresas de más de 80 países de todo el mundo han sido víctimas de este ransomware y han perdido cerca de 100 millones de euros en pagos de rescate”, explica la Policía, que recuerda que uno de los ataques más graves del grupo fue contra un hospital, que paralizó sus sistemas informáticos en mitad de la pandemia.

“Los afiliados atacaban a las empresas de diferentes maneras. Algunos actores de Hive obtuvieron acceso a las redes de las víctimas mediante el uso de credenciales comprometidas de acceso a servicios de escritorio remoto con un solo factor de autenticación, redes privadas virtuales y otros protocolos de conexión de red remota. En otros casos, eludieron la autenticación multifactor y obtuvieron acceso mediante la explotación de vulnerabilidades. Por último, también obtuvieron acceso inicial a las redes de las víctimas distribuyendo correos electrónicos de phishing con archivos adjuntos maliciosos”, desglosa la comunicación.

Los agujeros de seguridad son un problema casi diario en la sociedad digital. No obstante, hasta ahora muy pocos han tenido un alcance comparable a “Log4Shell”, calificado como “crítico” por múltiples organismos de ciberseguridad a nivel mundial, incluidos el Instituto Nacional de Ciberseguridad (Incibe) y el Centro Criptológico Nacional (CCN-CERT) españoles. El motivo es que afecta a la librería de código abierto Apache Log4j, utilizada por millones de empresas y servicios digitales, a lo que se suma que puede ser explotado con extrema facilidad por ciberdelincuentes.

La función de Apache Log4j es elaborar un registro de las actividades que realizan las aplicaciones programadas en lenguaje Java. El agujero permite que un atacante inserte desde fuera líneas de código malicioso en ese registro, lo que abre la puerta a que el sistema ejecute virus, ransomware, se produzcan robos de datos o casi cualquier otro tipo de infección.

“Java es un lenguaje de programación con el que están creados muchos de los programas y aplicaciones usados en los ordenadores, páginas web, etc. por lo que millones de usuarios de cientos de servicios online podrían verse potencialmente afectados”, explica el Incibe.

Millones de usuarios de cientos de servicios online podrían verse potencialmente afectados

Instituto Nacional de Ciberseguridad

La vulnerabilidad es del tipo zero day, como se denomina a aquellas que acaban de ser descubiertas y han podido ser explotadas por ciberdelincuentes sin el conocimiento por parte de los desarrolladores de que su sistema estaba en riesgo. “Es una de las más graves que he visto en toda mi carrera, si no la que más”, ha reconocido Jay Gazlay, directora de la Agencia de Seguridad de Ciberseguridad e Infraestructura de EEUU. La Apache Software Foundation le otorga un nivel de riesgo de 10 sobre 10.

Los usuarios finales de programas y aplicaciones no pueden parchear la brecha, labor que corresponde a los desarrolladores de cada servicio digital. Como recuerdan los organismos de ciberseguridad, lo que sí cabe es extremar la atención a la hora de mantener todos los programas y aplicaciones actualizados a la última versión, en la que se incluirá el parche para Log4Shell.

El primer parche se publicó el viernes y provocó un fin de semana frenético en los equipos técnicos de empresas e instituciones de todo el mundo. Este martes se ha publicado una nueva actualización para mitigar el problema, debido a que este todavía podía ser explotado incluso tras instalar el primero. Sin embargo, la masiva implantación de Apache Log4j, utilizada desde hace más de una década, hace que los expertos teman que el agujero pueda ser peligroso durante bastante tiempo.

Debido a la facilidad de explotación y la amplitud de la aplicabilidad, no sería de extrañar que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad de inmediato

Centro Criptológico Nacional

“Se espera que se descubran un número cada vez mayor de productos vulnerables en las próximas semanas. Debido a la facilidad de explotación y la amplitud de la aplicabilidad, no sería de extrañar que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad de inmediato”, ha avisado el CCN-CERT, encargado de la ciberseguridad de las instituciones públicas españolas.

La brecha Log4Shell fue descubierta por Chen Zhaojun, investigador de Alibaba Cloud Security Team. Un ejemplo de la facilidad de su explotación se ha dado en el sector de los videojuegos. Los servidores de Minecraft fueron hackeados con un simple mensaje de chat de sus jugadores, según reveló Marcus Hutchins, experto en seguridad informática.

La marca de cerveza Damm ha reanudado este viernes “de forma paulatina” la producción en su principal factoría situada en El Prat (Barcelona), tras haber sufrido un ciberataque el pasado miércoles de madrugada que le obligó a paralizar toda la actividad de la fábrica.

Según ha informado la compañía, el ciberataque fue de “gran complejidad” y afectó al sistema operativo de la empresa, que se vio obligada a paralizar todas sus líneas de producción, que incluyen tres fábricas que producen 23 marcas de cerveza y cuatro de agua. En la instalación de El Prat se producen y envasan marcas como Estrella Damm, Voll-Damm, Malquerida o sus variantes sin alcohol.

La compañía no ha precisado si las otras dos plantas, situadas en Málaga (donde se produce la cerveza Victoria); y Murcia, (responsable de Estrella Levante y sus submarcas) han podido reanudar también la producción de bebidas. “En estos momentos, la compañía sigue trabajando en la resolución de la incidencia y estableciendo las medidas necesarias que permitan restablecer por completo la operativa habitual de la fábrica [de El Prat] en los próximos días”, asegura la empresa en un comunicado.

Algunas fuentes del sector de la ciberseguridad apuntan a que la empresa fue víctima de un ransomware, un tipo de ataque que encripta los archivos informáticos de su objetivo y paraliza su actividad, tras lo cual los ciberdelincuentes exigen un rescate a cambio de la contraseña para recuperarlos. Damm afirma que no puede confirmar que este haya sido el método para tumbar sus sistemas ni si se le ha solicitado un rescate.

Durante la madrugada del sábado 8 de mayo un ciberataque contra Asac Comunicaciones, que ofrece servicios de almacenamiento en la nube y mantenimiento web, tumbó las páginas oficiales de varios organismos e instituciones públicas que dependían de esta empresa asturiana. Entre las afectadas estuvieron el Tribunal de Cuentas, el Consejo de Seguridad Nuclear, los ayuntamientos de Oviedo, Cáceres o Vinaròs o la Fundación Española para la Ciencia y la Tecnología (dependiente del Ministerio de Ciencia).

La mayoría de las instituciones recuperaron el servicio entre la última hora del lunes y la mañana de este martes, aunque algunas, como el Consejo de Seguridad Nuclear, permanecen aún inaccesibles.

Según ha informado la empresa, el ciberataque se ha producido a través de un ransomware. Se trata de un tipo de virus que secuestra los archivos informáticos de la víctima y paraliza su actividad. Tras un ataque exitoso, los cibercriminales exigen un rescate a cambio de liberar los archivos y no filtrar en la red los datos personales o confidenciales que hayan podido robar.

Asac Comunicaciones asegura que en este caso no se ha producido sustracción de datos. “Nuestras medidas de seguridad han permitido garantizar la confidencialidad total de toda la información, evitando pérdidas de información”, expone en un comunicado: “Sin perjuicio de que nuestros equipos de seguridad analizarán durante los siguientes días el incidente, en las hipótesis que manejamos en este momento, no se evidencia ningún síntoma de exfiltración de información”.

Dado que el servicio que ha quedado más afectado es el de almacenamiento de servicios en la nube, no está claro cuándo las instituciones públicas afectadas podrán recuperar por completo el acceso a sus archivos. La empresa explica que está procediendo a liberar partes de su infraestructura mediante un proceso de triaje. “Cada cliente recibirá una comunicación individualizada sobre su situación particular”, afirma.

El ransomware utilizado en esta ofensiva pertenece a la familia Zeppelin, diferente al lanzado contra el SEPE (Ryuk) o contra Phone House (Babuk), otros dos ciberataques que han afectado a España muy recientemente empleando la táctica del secuestro de archivos. En el caso del SEPE no se produjo sustracción de información o solicitud de rescate, aseguró su director a este medio. En el de Phone House, en cambio, la empresa se negó a satisfacer las exigencias de los ciberdelincuentes y vio como estos filtraban los datos de unos 13 millones de sus clientes. En esta web es posible comprobar si se está entre los afectados.

El ransomware se convirtió en una amenaza mundial con el ataque WannaCry de 2017, que afectó a decenas de miles de usuarios e instituciones públicas de todo el mundo. Tras un afecto llamada inicial, el número total de ataques ha ido disminuyendo, explica la firma de ciberseguridad Karspersky, pero a cambio se ha aumentado el grado de preparación de las ofensivas. En vez de lanzar ataques a bulto, el método en auge en este momento es el ransomware dirigido, que se lanzan contra una víctima elegida previamente. Entre ellas se suelen encontrar ejecutivos de alto perfil así como instituciones públicas y organismos sanitarios.

Los ciberataques contra la población civil no suelen utilizar la fuerza bruta para reventar los medidas de seguridad del usuario y acceder a su sistema informático. Al contrario, la inmensa mayoría recurren a alguna estratagema para que sea ese usuario el que abra la puerta. Esos engaños se apoyan en elementos que llaman atención de la víctima para intentar que pase por alto las señales de que algo no cuadra y clique donde no debía. La explosión de información en torno al coronavirus ofrece la ocasión ideal: numerosos expertos y organismos de deberseguridad alertan de que los ciberataques que utilizan la pandemia como gancho se han multiplicado.

“Hasta los tradicionales phishing [ciberataques que se basan en la suplantación de identidad] bancarios estos días están llegando con asuntos con la palabra 'coronavirus', o 'actualización de protocolos del estado de alarma'... se están utilizando conceptos del coronavirus debido a la gran sensibilidad que provoca este tema”, explica en conversación con eldiario.es Ruth García, experta del área de Ciudadanos de Instituto Nacional de Ciberseguridad (Incibe).

El Incibe ha detectado en los últimos días “varias campañas de envío de correos electrónicos” que pretenden engañar a la víctima haciendo que descargue archivos adjuntos que simulan ser “una llamada de atención sobre la crisis sanitaria causada por el COVID-19”. Todas ellas emplean el phishing y se hacen pasar por alguna empresa u organismo con objetivo de hacerse con contraseñas o datos bancarios. Además, también se han detectado archivos maliciosos transmitidos a través de WhatsApp camuflados como falsos documentos sobre coronavirus.

Las fuerzas de seguridad trabajan a toda máquina para detectar estos intentos de suplantación antes de que se conviertan en una amenaza grave. Fuentes del Ministerio de Interior han detallado a este medio que este mismo martes el Centro Nacional de Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) ha descubierto cuatro campañas nuevas, todas centradas en robar información bancaria de la víctima y que emplean como gancho el COVID-19. Tres de ellas utilizan el malware 'Cerberus' y otra el denominado 'Anubis'.

Uno de las ciberamenazas detectadas por el CNPIC intenta suplantar a Bankia, mientras que otra estaba escondida en una página con un reclamo muy actual estos días, “corona-apps.com”, que ya ha sido deshabilitada. Un reciente informe de la firma de ciberseguridad Checkpoint avisó de que tras la llegada a Europa de la pandemia hubo un auténtico estallido en el registro de webs con nombres asociados al coronavirus y a COVID-19. Según sus cálculos, estos dominios tienen un 50% más de probabilidades de cobijar phishing que los que se abren anualmente con otras temáticas concretas, como por ejemplo la de San Valentín.

La crisis sanitaria multiplica el “potencial devastador” de los ciberataques 

El phishing es una de las estrategias más antiguas y sencillas para infectar un sistema informático, pero sus consecuencias pueden ser dramáticas. Este lunes el Director Adjunto Operativo (DAO) de la Policía Nacional José Ángel González, avisó de que el Gobierno ha detectado un ciberataque dirigido expresamente contra los trabajadores sanitarios con objetivo de tumbar los sistemas de los hospitales en este momento de crisis. El virus empleado es 'NetWalker', de tipo ransomware, capaz de bloquear todos los archivos del dispositivo, cifrándolos hasta que la víctima pague un rescate a los cibercriminales a cambio de la clave para desencriptarlos.

Un ciberataque exitoso sobre un centro sanitario en plena crisis del coronavirus “tendría consecuencias devastadoras”, comunicaron fuentes de Interior. No obstante, no solo los profesionales sanitarios deben extremar la precaución.

El DAO ha vuelto a alertar de ello este martes, durante la rueda de prensa diaria en la que los responsables técnicos de la gestión de la crisis del coronavirus explican la evolución de la enfermedad, dado “el impacto que puede tener la ciberdelincuencia durante este período”. En esta ocasión González ha llamado a la precaución con “las página web y recursos online sobre mapas de evolución e impacto del coronavirus”, puesto que también se han detectado programas maliciosos camuflados en ellos.

Cómo actuar: atención a los archivos de WhatsApp

Ruth García, del Incibe, señala que la primera pauta a tener en cuenta es extremar la atención sobre los mensajes que llegan por correo electrónico, pero también por WhatsApp. “Si el remitente es desconocido, en la medida de lo posible, es mejor no abrir ningún tipo de archivo. Y aunque el mensaje provenga de un conocido, es necesario revisarlo bien y si el contenido es extraño o no se corresponde con nada tratado antes, o incluso se facilitan enlaces de descarga, es mejor no abrir ni descargar los documentos”, detalla.

La experta señala también a los contenidos que se van compartiendo de una persona a otra por WhatsApp en los últimos días, y que tienen como objetivo hacer más llevadera la cuarentena. Enlaces para la descarga de películas o actividades especiales para realizar con los niños en casa, “aunque se compartan de forma bienintencionada, pueden alojar ficheros o documentos manipulados que sean capaces de explotar fallos de seguridad del sistema operativo”, advierte.

Instalar una VPN o mantener todos los programas y sistemas operativos actualizados (“es necesario desinstalar Windows 7, ya no recibe actualizaciones de seguridad”, recalca) son otras de las recomendaciones clásicas. A ellas se une, en estos tiempos de teletrabajo, la precaución de “no transferir ficheros de correos personales a laborales, porque es un punto donde se pierde la trazabilidad y supone un riesgo muy alto de ciberseguridad mezclar datos personales con profesionales”.

“Hay que recordar que el usuario es el eslabón más débil de la cadena. Ya puedes tener unas medidas de protección muy seguras implementadas que si el usuario final no respeta las pautas más básicas (abre correos que no debía, cambia datos entre su correo personal y el laboral, se descarga cosas de las que no sabe seguro el origen) al final esas medidas no sirven de nada”, concluye García.

El virus informático 'NetWalker amenaza a los hospitales españoles. Se trata de un ransomware (un tipo de ciberataque que bloquea los sistemas informáticos de la víctima y pide un rescate a cambio de la clave para liberarlos) que, según han informado a eldiario.es fuentes policiales, sería la base de una ofensiva cuyos “objetivos serían principalmente trabajadores y organismos sanitarios”.

El virus fue detectado el domingo por los organismos de ciberseguridad y según ha explicado este lunes el Director Adjunto Operativo (DAO) de la Policía Nacional José Ángel González, tiene capacidad para “romper todo el sistema informático de los hospitales”. El DAO ha especificado que el virus es “muy peligroso” y se transmite vía correo electrónico, por lo que ha pedido a los profesionales sanitarios extremar la precaución cuando manejen esta herramienta.

En España aún no ha comenzado su distribución masiva, detallan fuentes policiales, pero “dada la situación de emergencia sanitaria en que nos encontramos”, un ciberataque exitoso con este ransomware sobre un centro sanitario “tendría consecuencias devastadoras”. “Se considera absolutamente fundamental alertar de esta amenaza para la adopción de medidas de seguridad por parte de los trabajadores del ámbito de la sanidad respecto a la gestión de correos electrónicos que no procedan de fuentes fiables”, prosiguen las mismas fuentes.

Los ataques de tipo ransomware son capaces de paralizar los sistemas informáticos de un hospital tan solo con que uno de sus trabajadores abra un correo electrónico enviado por un ciberdelincuente y pinche en los enlaces que estos suelen incluir. En enero de este año un ciberataque de este estilo entró vía email y bloqueó por completo el Hospital de Torrejón, cuyos sistemas tardaron casi dos semanas en recuperarse por completo.

'NetWalker' ya ha entrado en acción en otros países

El 30 de enero, cuando el coronavirus estaba aún lejos de convertirse en pandemia mundial, se registró en Japón uno de los primeros ciberataques serios que utilizaba la alarma sanitaria como gancho. Desde entonces los departamentos de ciberseguridad de las fuerzas de seguridad y del sector privado han documentando cientos de ciberamenazas que emplean esta crisis como ariete para entrar en los dispositivos de las víctimas.

Como ha alertado este lunes el Gobierno, entre sus objetivos están los hospitales, la infraestructura más crítica estas semanas. Se han reportado casos de centros sanitarios infectados por ransomware en la República checa y Polonia, por ejemplo. La mayoría de estos ataques no emplean virus especialmente diseñados para actuar en esta crisis sanitaria, sino versiones que antes utilizaban otra cara para entrar en los sistemas informáticos de la víctima y ahora emplean la del COVID-19.

'NetWalker', de hecho, fue destapado hace pocos días por MalwareHunterTeam, un prestigioso grupo de caza-virus informáticos, que informó que es una evolución de ransomware que antes recibía el nombre de Mailto. Fue el arma empleada en las ciberofensivas contra el sistema de salud pública de Illinois (EEUU) y contra Toll Group, una empresa de transporte y logística australiana.

De momento no se conoce cura contra la infección de 'NetWalker', por lo que los propietarios de los sistemas que este virus consiga bloquear tendrán que dar por perdidos los archivos y reinstalar su última copia de seguridad, o bien pagar a los secuestradores. Los expertos en ciberseguridad siempre desaconsejan esta opción puesto que incentiva a los cibercriminales a seguir actuando.

No obstante, los trabajadores sanitarios no son los únicos que deben extremar la precaución, ha recomendado el DAO este lunes. La estrategia de hacer pasar el ciberataque por una comunicación relativa al coronavirus se dirige contra toda la población: “Se ha detectado el envío masivo de correos electrónicos que pretenden acceder a nuestro sistema, infectar nuestro ordenador con un virus informático y tener acceso a todas nuestras claves, contactos e información personal”, ha alertado González.

El viernes 17 de enero, el Hospital Universitario de Torrejón quedaba paralizado por un ataque informático. Casi dos semanas después, el centro sanitario de referencia para los más de 131.000 habitantes de esta localidad situada a 20 kilómetros de Madrid aún trabaja para recuperar la normalidad: este lunes el hospital conseguía rescatar su sistema de citas automatizadas, pero otros tantos permanecen inactivos. Aunque no se vio obligado a trasladar pacientes a otros centros, la ofensiva colapsó por completo el sistema informático del hospital.

En los últimos tres meses España ha visto caer víctimas de ciberataques a grandes empresas como Everis, Prisa Radio (matriz, entre otras, de la Cadena Ser) o Prosegur. Unos meses antes, en febrero de 2019, salía a la luz un ciberataque contra el Ministerio de Defensa. Los atacantes pasaron al menos tres meses en los sistemas del Ministerio antes de ser descubiertos. Buscaban, según la explicación oficial, secretos de la industria de armamento española.

En el caso del Hospital de Torrejón, la investigación continúa abierta. Se desconoce el origen o el propósito del ciberataque. “No se ha recibido petición de rescate por la información ni se tienen evidencias de sustracción de datos”, ha informado la dirección del centro en un comunicado. “La investigación parece indicar que el origen de esta situación fue un virus, similar al que han tenido otras entidades públicas y privadas en el pasado”, explica el Hospital, de titularidad pública aunque de gestión privada.

Fuentes del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) del Ministerio del Interior coinciden en la versión ofrecida por la empresa gestora. “En los últimos meses se han visto afectadas diversas entidades, correspondientes a distintos sectores estratégicos y empresariales, por incidentes similares”, explica un portavoz del CNPIC a eldiario.es. Parece descartado, eso sí, que fuera una ofensiva centrada en infectar hospitales y centros sanitarios, considerados uno de los eslabones más débiles de la ciberseguridad.

“Con la información de la que disponemos en este momento, se puede inferir que no se trata de una campaña dirigida de forma específica al ”Sector Sanitario“, sino que estaría comprendida dentro de una campaña más general de ransomware cuyo objetivo es infectar al mayor número posible de equipos sin discriminar objetivos”, continúan desde el CNPIC, encargado de coordinar la respuesta ante ciberataques a infraestructuras críticas, como los hospitales.

La “campaña de ransomware” que menciona el CNPIC es una preocupación creciente en el sector de la ciberseguridad española. Varios expertos en este campo consultados por eldiario.es, responsables de la protección de los sistemas informáticos de diversas empresas e instituciones, apuntan a que la cadena de ciberataques sigue una estrategia: “Nos están midiendo para ver cómo respondemos”, señala uno de estos expertos, que prefieren permanecer en el anonimato por sus cargos en empresas privadas. “Es muy probable que los ataques estén relacionados y que sean un experimento para medir nuestras capacidades”, detalla.

“No parece que vengan de un único grupo, sino de varios con el mismo objetivo”, añade otra fuente del sector de la ciberseguridad. “Lo que no podemos descartar es que sean grupos estatales”, continúa el mismo experto.

Los grupos de ciberatacantes patrocinados por estados son la amenaza número uno para España en el terreno virtual, alerta el Centro Criptológico Nacional (CCN, dependiente del Centro Nacional de Inteligencia) en su informe anual de 2019. El CCN es el organismo encargado de la ciberseguridad del sector público, aunque todas las instituciones coinciden a la hora de destacar esta amenaza: “Hay organismos especializados en ciberatacar, con sus horarios de trabajo, cuyos trabajadores fichan, entran a las 9, salen a las 7 y los fines de semana no trabajan”, exponía en una entrevista con este medio Rosa Díaz, directora del Instituto Nacional de Ciberseguridad, encargado de apoyar al sector privado.

China, Irán, Rusia o Corea del Norte son los sospechosos habituales en este campo de batalla virtual, en el que es muy difícil llegar a desentrañar quién es el autor real de una ofensiva. Para dificultarlo se dejan pistas falsas o se camufla el objetivo real del ataque con varios golpes paralelos. No obstante, las fuentes consultadas apuntan a que hay varios puntos de encuentro en las últimas infecciones que ha sufrido España.

Patrones comunes en los ataques

Dejando a un lado el ciberataque contra el Ministerio de Defensa, las fuentes del sector de la ciberseguridad contactadas por este medio apuntan dos motivos por los que creer que hay una estrategia detrás de la cadena de infecciones de los últimos meses. Una es el virus utilizado (siempre variantes del malware conocido como Ryuk) y otra el método de infección (phishing “super-dirigido”).

“Sabemos que es Ryuk. Entró vía email el viernes”, asegura una de estas fuentes sobre el ciberataque contra el Hospital de Torrejón. Ese mismo viernes 17 saltó la alarma entre los grupos de responsables de ciberseguridad, siempre atentos a estas infecciones para evitar que el virus salte de una empresa a otra y se extienda por toda la red. El sábado siguiente la noticia de que Ryuk había vuelto a aparecer y había tumbado los sistemas del centro sanitario corrió como la pólvora en el sector, aunque no saltó a la prensa hasta el martes por la noche.

Ryuk es un virus de tipo ransomware, que se caracterizan por cifrar los archivos de la víctima impidiendo el acceso a ellos. A cambio de la clave para liberarlos, los atacantes suelen pedir un rescate. Aunque desde el CNPIC afirman que es pronto para “confirmar” que Ryuk esté detrás del ciberataque al Hospital de Torrejón, reconocen que “es cierto que las últimas campañas de ransomware realizadas sobre Operadores Críticos y de Servicios Esenciales, y que fueron gestionadas por la Secretaría de Estado de Seguridad del Ministerio del Interior han correspondido, en su mayoría, con variantes de este malware”.

Otro de los patrones comunes, la infección vía phishing “super-dirigido”, preocupa especialmente a los ciberexpertos. Lejos de los correos electrónicos que emplean un castellano macarrónico paraintentar estafar a la víctima recurriendo a falsas ofertas extraordinarias o alertas bancarias inexistentes como gancho, el conocido como phishing “super-dirigido” consiste en personalizar al máximo el email que contiene el enlace al virus. No se envían miles de correos electrónicos a ver si alguien cae, sino que se escoge cuidadosamente al objetivo, un eslabón especialmente vulnerable del sistema, y se diseña un anzuelo a su medida. Este método de infección es una prueba de que hay alguien invirtiendo esfuerzo y recursos para contagiar las instituciones públicas y empresas estratégicas españolas que han caído víctimas de los ciberataques.

Los organismos de ciberseguridad españoles no han elevado una alerta destinada al usuario medio o a los trabajadores ante esta campaña de ransomware. Las fuentes consultadas explican que prevenir y concienciar ante estas amenazas es, de momento, la mejor solución. “Estar preparados para cuando llegue la crisis (llegará), formar y entrenar al usuario”, resume uno de los expertos en ciberseguridad, que aconseja “eliminar el correo electrónico, acabar con él”. Esta recomendación, que ya han seguido algunas grandes empresas alrededor del mundo, destrona el email como método de comunicación interna a cambio de otros sistemas que, aunque no sean intrínsecamente más ciberseguros, sí dificultan que un actor exterior los use para infectar un objetivo concreto.

La Cadena SER, entre otras empresas, está siendo atacada por un virus informático de tipo ransomware. Las emisiones de radio locales y regionales han sido interrumpidas y cuatro días después, la actividad rutinaria de la redacción sigue muy trastocada, con dificultades para hacer conexiones en directo e incluso reproducir sonido desde su sistema digital de redacción y edición de contenidos. La radio, de pronto, ha vuelto a ser mucho más analógica.

¿Qué ha pasado?

El lunes, la SER confirmaba a través de un comunicado en su página web que había sido víctima de un ciberataque. Fue el equipo de madrugada el que, a eso de las 2 de la mañana, descubrió que algunos ordenadores mostraban un código de error en sus pantallas. “Al principio pensaron que se trataba de una caída pero ya pintaba feo. A las 8 de la mañana se dio la orden de desactivar todos los equipos”, explican a este diario fuentes de la Cadena SER. Poco se sabe sobre el virus a excepción de que parece programado originalmente en Rusia, según cuenta El País. “Es un virus superpotente y ni comparable al que atacó Telefónica en 2016”, cuentan las mismas fuentes a eldiario.es.

El ataque sufrido por la emisora de radio es un ransomware, un tipo de virus que cifra los archivos del ordenador, bloqueándolos, y que pide después un rescate para liberarlos. Es un chantaje: si no pagas, te quedas sin el funcionamiento informático de tu empresa y sin los datos que puedan tener los servidores. La Cadena SER no fue la única afectada: en nuestro país, la consultora multinacional Everis también fue uno de los objetivos. Aunque a comienzos de la semana se especuló con que otras consultoras como Accenture y KPMG habían sido infectadas, ambas compañías lo desmintieron posteriormente.

¿Cómo se activa el virus?

Un ransomware puede infectar al equipo por tres vías diferentes. La más común es a través del correo: como ya ocurrió en el caso de WannaCry en 2017, los ciberatacantes lanzan campañas de phising a través del correo electrónico en las que adjuntan archivos infectados esperando que algún trabajador despistado pinche en ellos. Cuando eso ocurre, y como todos los equipos están conectados a la misma red de trabajo, el ransomware se contagia rápidamente y en cuestión de segundos por todos los ordenadores.

“El virus puede estar hibernando en el ordenador y llegar un momento en el que, por lo que sea, se activa: los hackers están pendientes de lo que tú estás haciendo y cuando encuentran el agujero, entran”, señalan fuentes de la Cadena SER a este medio. El correo no es la única vía de entrada, ya que el malware también puede estar esperando en una página web no segura e incluso en archivos descargables. La experiencia nos ha enseñado que ni la tienda oficial de Google ni la de Apple son 100% efectivas detectando y eliminando las apps que contienen estos 'gusanos'.

¿Por qué se habla de “secuestro”?

No por nada el ransomware se sitúa como la primera amenaza a nivel mundial: llevar a cabo los ataques no cuesta mucho dinero, con pocos medios se consigue una gran difusión y hay mucho por ganar. La característica principal de este tipo de malware es su capacidad de cifrar los archivos del disco duro del ordenador y dejarlos inservibles. Tras infectar el equipo de la víctima, el troyano se destruye y solo deja un aviso en pantalla indicando la dirección del monedero bitcoin al que hay que remitir el pago con una cuenta atrás. Si esta llega a su fin, el virus borra todo lo que cifró, por eso los ciberatacantes hacen hincapié en que es mejor pagar antes de que llegue a 0. Sin embargo, los expertos en ciberseguridad recomiendan no desembolsar ni un céntimo por los datos y denunciar el incidente ante las autoridades: nadie puede tener la certeza de que la persona al otro lado devolverá la información intacta.

Los ciberatacantes prefieren cobrar en bitcoin porque es muy difícil rastrear el origen y el destino del dinero. Este completo artículo de J.M Costa ya explicó cómo funciona un ransomware hace tres años, cuando este tipo de amenaza apenas se conocía en nuestro país.

¿Es la primera vez que pasa?

No. En realidad, este tipo de ataques son los más comunes y también los más dirigidos contra empresas. Solo en 2016, el INCIBE (Instituto Nacional de Ciberseguridad) gestionó más de 2.000 incidentes similares. A pesar de ello, poca gente en nuestro país sabía lo que era un ransomware hasta que en mayo del 2017 WannaCry infectó a cientos de empresas de más de 179 países diferentes. En España, Telefónica fue la compañía más afectada aunque WannaCry tocó de refilón a otras como Movistar, Vodafone, Iberdrola e incluso Gas Natural. Pedía un rescate de 300 euros en bitcoin y daba una semana para pagar antes de perder todos los archivos.

¿Cómo prevenirlo?

No hay ningún método infalible para protegernos ante un ataque así. En general, mantener los equipos actualizados con las últimas versiones de cada programa suele ser una medida efectiva. También lo es tener copias de seguridad de los archivos para que en caso de sufrir un ataque así, la información pueda ser recuperada sin tener que ceder al chantaje. En el caso de la Cadena SER, el archivo histórico permanece sano y salvo precisamente porque estaba guardado en una copia de seguridad. Además, fuentes de la emisora señalan que “el sistema de emisión nunca funcionó en una red abierta: no es vulnerable, ya que son ordenadores que no están conectados a nada”.

En último lugar, los empleados de las compañías juegan un papel importante a la hora de infectar y transmitir las amenazas: el factor humano sigue siendo clave, por eso es necesario formar al personal para que identifiquen cuándo un archivo o un correo puede ser sospechoso de contener un virus.

La Conferencia de Alcaldes de EEUU, formada por unos 1.400 mayors de ciudades de más de 30.000 habitantes, se ha plantado ante la plaga de ciberataques que sufren sus instituciones. En una resolución conjunta, han decidido no pagar rescates a los ciberdelincuentes que secuestran sus archivos informáticos con el objetivo de paralizar la actividad gubernamental y que ya han sufrido 22 ciudades y administraciones regionales importantes este 2019.

No pagar es la recomendación de las fuerzas policiales y los expertos en ciberseguridad ante los ataques de ransomware (del inglés ransom, rescate), aunque no es la opción fácil. Los 622.000 habitantes de Baltimore aún sufren las consecuencias de la infección que el 7 de mayo inutilizó un gran número de sus sistemas informáticos al perder el acceso a los archivos contenidos en sus servidores y discos duros, cifrados por el criptogusano RobbinHood.

Los ataques de ransomware son difíciles de neutralizar por fuerza bruta, buscando brechas en el código del virus y forzándolas para liberar los archivos. A menudo, las dos únicas soluciones disponibles son pagar o formatear. El reseteo completo de los sistemas libera el ordenador a cambio de perder todos los archivos, por lo que las pérdidas también pueden ser millonarias. Si no había copia de seguridad reciente, se pierde todo.

El ataque contra Baltimore afectó al servicio de agua, hospitales, cajeros automáticos, aeropuertos, fábricas. Prácticamente todos los correos electrónicos de los trabajadores dejaron de funcionar. Para desbloquearlos, los atacantes pedían 3 bitcoins (unos 30.000 dólares) por ordenador o 13 (130.000 dólares) por el sistema entero. Por recomendación del FBI, el alcalde de Baltimore no pagó. Se calcula que la infección, de la que la ciudad no se ha recuperado totalmente tres meses después, va a suponer una factura total para los contribuyentes de unos 18 millones de dólares.

Atlanta, San Diego o poblaciones de Texas también han sido víctimas del ransomware este 2019. Van 170 infecciones desde 2003, cuando se produjo la primera ofensiva de este tipo. “Pagar a los atacantes de ransomware incentiva que continúen los ataques contra otros sistemas informáticos gubernamentales, ya que sus perpetradores obtienen un beneficio económico”, justifica la Conferencia de Alcaldes de EEUU en su declaración: “Permaneceremos unidos contra el pago de rescates en caso de una brecha de seguridad informática”.

“Esperemos que lo mantengan”, pide en conversación con eldiario.es Eusebio Nieva, de la firma de ciberseguridad Check Point. Recuerda que, además de evitar nutrir a la industria de los ciberataques, resistirse a desembolsar un rescate evita que la ciudad corra el riesgo de ser estafada por partida doble: no hay nada que asegure que los ciberdelincuentes van a cumplir con su parte del trato en vez de quedarse con el dinero sin revelar la contraseña que desencripta los archivos o pedir una suma aún más alta por ella.

Porque además, cabe la posibilidad de que una vez que se sufra la infección sea imposible recuperar los archivos nunca más. “En algunas ocasiones hemos visto que no se podía recuperar los archivos porque los ciberdelincuentes habían cometido errores de programación que lo hacían imposible”, revela Nieva. “Hay que tener en cuenta que ellos no tienen espacio para probarlo muchas veces y lo que les mueve es obtener dinero fácil y rápido, no dar un buen servicio”.

España no se libra

“España tampoco se ha librado de esta tendencia criminal”, revela a eldiario.es Alberto Redondo, comandante de la Unidad de Delitos Tecnológicos de la Guardia Civil. Madrid en marzo de 2017, Colmenar Viejo en verano de 2017 o Huelva en diciembre de 2018 han sufrido intentos de cibersecuestro con diferentes grados de gravedad.

El Puerto de Barcelona también fue víctima del ransomware el pasado mes de septiembre. Según las autoridades portuarias, el ataque provocó “ciertos retrasos” en la entrega y distribución de mercancías. Tan solo dos días antes, el Puerto avisaba en las redes sociales de que “nadie está a salvo de un ciberataque; ni siquiera los puertos” y que el de Barcelona contaba con “un plan de contingencia” ante esta amenaza. Si se hubiera paralizado por completo, las pérdidas habrían llegado a varios millones de euros en unos días.

Las pérdidas de una factoría noruega, una de las principales productoras de aluminio del mundo que fue atacada en marzo, duplicaron las de Baltimore y llegaron a los 40 millones de euros en una semana. “Esta claro que nos encontramos ante un riesgo, ya no emergente, sino consolidado. Aunque la protección absoluta no existe ante estas amenazas, sí que la implementación de soluciones de contención y mitigación complican el negocio de los cibercriminales”, continúa el comandante Redondo.

“Desde la Guardia Civil se están dedicando esfuerzos a la concienciación de todos los usuarios, tanto a particulares, como al sector privado y administración pública, sobre higiene digital y un uso seguro de las nuevas tecnologías. Aquí se hace especial referencia a los riesgos ransomware avisando, no solo de los principales vectores de infección, sino también de consejos sobre un uso responsable de los sistemas”, abunda.

Los cibersecuestros van a continuar

Pese a que la resolución de los alcaldes de EEUU es la primera decisión consensuada por un grupo de instituciones independientes contra una plaga de ataques informáticos, desde ElevenPaths, el departamento de ciberseguridad de Telefónica dirigido por el hacker Chema Alonso, ven difícil que suponga un punto de inflexión. Es “poco probable” que los intentos de secuestro por parte de ciberdelincuentes disminuyan, opinan. “Por una sencilla razón: los ataques no les resultan excesivamente caros”.

“Disponen de una industria engrasada donde romper la seguridad supone un coste asumible, incluso si la víctima no paga el rescate. Sin embargo, por otro lado, por muy convencida que se encuentre la víctima de su negativa a pagar, el daño en sus sistemas permanecerá y realmente se encontrará con unas pérdidas millonarias mientras que el atacante solo habrá perdido algo de tiempo”, abundan.

En resumen: pese a tener a las fuerzas de seguridad de su lado, los ayuntamientos no se encuentran en una situación de fuerza en el ciberespacio. Ellos pierden millones y los delincuentes que intentan secuestrar sus archivos, prácticamente nada. Aunque todos los expertos consultados por eldiario.es hablan de que la resolución es un paso en la buena dirección, advierten de que es solo uno y no demasiado grande. Ciberprotegerse no solo requiere conocer las buenas prácticas, sino invertir tiempo y dinero en llevarlas a cabo.

“Todo esto no servirá de nada si no existen políticas de concienciación entre los usuarios de los sistemas, impulsando la prevención y educación sobre las príncipes técnicas de ingeniería social que se emplean para la infección y trasmisión de este tipo de malware”, apoya el comandante Redondo desde la Unidad de Delitos Tecnológicos de la Guardia Civil.

Cómo funciona un criptogusano y por qué es una amenaza tan grande para las ciudades

Aunque el sector también puede ser objetivo del ransomware, las ciudades e instituciones públicas se están mostrando un objetivo más jugoso debido a varias vulnerabilidades. Por un lado, porque su capacidad de intentar ocultar el ciberataque es mucho menor y los ciudadanos afectados por él son potencialmente muchos más, lo que aumenta la presión social para pagar y recuperar los servicios. Un gran número de ataques a corporaciones privadas no salen a la luz pública, que prefieren pagar y evitar dar una mala imagen, explican los expertos consultados.

Las ciudades también pueden resultar más fáciles de infectar por el tamaño y los innumerables niveles de administración interconectados así como por su mayor nivel de transparencia, que facilita la ingeniería social a la que hacía referencia el comandante Redondo. Los virus de ransomware suelen ocultarse en archivos o enlaces que el atacante hace llegar al paciente cero. Personalizando al máximo ese contacto mejora el porcentaje de éxito. “Si sabes que un funcionario se dedica, por ejemplo, a revisar desahucios, y le envías un archivo con información de un supuesto desahucio, es más fácil que lo abra”, detalla Eusebio Nieva, de Check Point.

El factor humano es el elemento débil de la cadena. Ese primer contagio es el más difícil de parar. Eso sí: “No tiras toda una ciudad porque infectes un PC. Tiras una ciudad porque infectas un PC y ese a su vez infecta todos los que tiene a su alrededor, con lo cual puedes provocar incluso que los servidores dejen de funcionar y de tener los datos accesibles. Ahí es cuando tienes un problema gordo”, avisa el experto. Es así como funciona un criptogusano, que puede pasar meses oculto en las redes de una organización sin afectar al rendimiento de los ordenadores hasta que llega a su objetivo y desata su efecto nocivo.

Para parar la infección posterior muchas veces basta con algunas medidas de seguridad básica, como segmentar las redes (que todo no esté conectado con todo) o tener instalados los últimos parches de seguridad, continúa Nieva. También ayuda no tener un sistema operativo que quedó obsoleto en 2014, como el que instalado en los ordenadores de los escaños del Congreso de los Diputados español.

eldiario.es también se ha puesto en contacto con la Federación Española de Municipios y Provincias para preguntar si se ha tomado una posición conjunta sobre ciberseguridad en las poblaciones españolas a raíz de la plaga de ataques contra ciudades estadounidenses. La respuesta ha sido negativa.

Maya Horowitz reconoce que nunca le interesaron los ordenadores hasta que hizo el servicio militar, obligatorio en Israel para todos los jóvenes al cumplir los 18 años. Una vez allí recayó en Inteligencia, el lugar que le despertaría la pasión, oculta hasta entonces, por la ciberseguridad.

eldiario.es tuvo la ocasión de entrevistar a Horowitz en Viena, en el marco del CPX360. La directora de Investigación, Inteligencia y Amenazas de Check Point recuerda cómo fue su peor día en la empresa desde que está al mando del departamento y lo que supone ser mujer en un mundo, el de la ciberseguridad, copado en su mayoría por hombres.

¿De qué manera ha cambiado el mundo desde el ataque de WannaCry?el ataque de WannaCry

Ojalá pudiera decir que ha cambiado. Quiero decir, pensarás que hay más conciencia ahora que entonces, más organizaciones y consumidores que ahora usan soluciones de seguridad, pero realmente no creo que ese sea el caso. Se necesita más que eso para convencer a la gente de que necesitan estar seguros. El cambio vino desde el lado de los atacantes, que a los pocos meses después de WannaCry, el ransomware aún era conocido en las noticias. Hoy en día hay cada vez menos ataques de este tipo.

El ransomware tiene objetivos muy bien dirigidos. Así que la cosa ya no va de grandes ciberataques, sino de elegir cómo localizar organizaciones específicas que tendrán la motivación para pagarte. También de encontrar formas de llegar a sus activos, como centros de datos y servidores de recuperación, cifrándolos para aumentar las posibilidades de que realmente paguen el rescate.

¿Cómo vivió ese día?

Fue realmente malo porque uno de mis empleados se casaba ese día por la tarde. Era viernes, que en Israel es un día libre, y algunos de nosotros queríamos ir a su boda y bebimos antes... Llegué casa y me tiré en el sofá. Al poco rato empecé a escuchar mi teléfono sonando, luego un mensaje, luego otro, y otro y otro. No me sentía bien como para contestar. Después me vuelven a llamar y ya veo que la gente está hablando sobre un ciberataque y pienso... “No me puedo creer que tenga que ponerme a trabajar ahora”.

Por suerte para nosotros lo primero que hacemos en estos casos es comprobar si nuestros productos lo bloquean. Y lo hicieron, porque los atacantes utilizaron la vulnerabilidad SMB que ya estaba publicada. Ya habíamos añadido firmas IPS y teníamos un producto antiransomware que encuentra el virus sin conocer su comportamiento, así que lo bloqueamos. No pudimos ni respirar. Después ya tuvimos tiempo para hacer las cosas más divertidas, que son investigar y tratar de buscar cosas interesantes al respecto. Encontramos uno de los botones de apagado y fuimos los primeros en saber que, aunque pagases el rescate, no te devolverían los archivos. 

¿Cree que los atacantes sabían lo que conseguirían o que hasta ellos mismos se sorprendieron del alcance que tuvo el ransomware?ransomware

Ellos sabían que sería como ocurrió. En tres días, 300.000 máquinas infectadas y 150.000 dólares de beneficio total. Hoy en día, esta es la cantidad de dinero que recibes por una víctima. Atacan los sitios de la red que a las compañías les duele y a las organizaciones que tienen dinero y que estarán dispuestas a pagar, como los hospitales. 

En la serie Mr. Robot, Elliot Alderson es un analista que trabaja para una compañía de tecnología. Un día le contactan unos hackers para llevar a cabo un ataque masivo que termine con el capitalismo en todo el mundo. ¿Hay gente que piensa así? ¿Existe un ideal romántico detrás de algunos ciberataques?Mr. Robot

Sí, por supuesto. Entre el 90 y el 95% de los ciberataques que se producen en el mundo son por dinero. El cibercrimen existe y también los hackers que solo piensan en nuevas formas de conseguir dinero, pero el otro 5% lo integran personas que realmente tienen un objetivo u otro enfoque que pasa simplemente por divertirse, sobre todo para generar cambios. Eso es hacktivismo.

En Israel, una vez al año, recibimos ciberataques anónimos contra organizaciones para intentar tumbarlas que nunca tienen éxito. Esa es la motivación. Así que ya sea para hackear un sistema de votación o simplemente para crear el caos, o sea por algo relacionado con el socialismo, como Robin Hood robando a los ricos... Existe. Pero no es algo muy representativo.

¿Los criptomineros forman parte del 95 o del 5%?

Creo que vas desde el 20 al 95% porque es una forma fácil de conseguir dinero. Dudo que muchas de estas personas den luego el dinero a los pobres. Es por su propio ego. No es un ransomware, no es ingeniería bancaria... es criptominado. Pero es la misma idea, sólo que tal vez ejecutada de una manera más sencilla y con una forma más fácil de ganar dinero.

¿Qué opina del minado de bitcoin u otras criptomonedas?

Es una forma de conseguir dinero. Y tal vez no lo ganen tanto de atacar ordenadores y dispositivos móviles, que lo hacen y estas fueron las primeras generaciones de ataques usando el criptominado. Pero cuando se trasladan a servidores que tienen más potencia de cálculo y luego a entornos de la nube que tienen una potencia de computación casi ilimitada, entonces es una gran manera de ganar dinero. Así que sí, funciona. Y mientras, algunos piensan: “Bien, en este tipo de minería sólo están usando tu poder de computación. Eso mola”, pero cuesta dinero. Es una forma eficiente de obtener dinero explotando a otros.

¿Cómo es ser mujer en el ámbito de la ciberseguridad?

Es bueno y es malo. Es bueno en estas conferencias porque no hay colas en los baños... Hablando en serio: al ser menos mujeres nuestra voz se escucha como si fuéramos únicas y eso es algo que podemos usar para dar un golpe en la mesa. Siempre hay hombres a los que no les gusta. Me veo en sitios, como en una reunión con 20 hombres y para algunos es difícil. Algunos no son muy tolerantes a veces y es un poco chauvinista, pero no sucede mucho.

Creo que las mujeres hablamos un idioma diferente. Quiero decir, en las reuniones con muchos hombres, ellos sólo quieren que se escuche su voz. Siento que cuando hay una mujer en la sala, a veces solo hablan cuando tienen algo inteligente que decir, la gente se queda callada y escucha y esa es una cualidad importante que creo que las mujeres aportan más que los hombres. Pero sí, normalmente no siento la diferencia y ni siquiera me doy cuenta de que estoy con hombres en la habitación porque estoy acostumbrada. Soy así desde que tenía 18 años y entré al ejército.

¿Por qué cree que hay menos mujeres que hombres que estudian carreras relacionadas con la ciencia y las matemáticas?

Es una buena pregunta de la que nadie sabe la respuesta, y es más bien algo social. Puedes verlo desde la escuela primaria: en matemáticas, por ejemplo, las niñas suelen ser mejores que los niños. Pero después se les enseña que las mujeres son menos buenas y empiezan a ser menos buenas. Entonces, las mujeres piensan que no es un trabajo para mujeres y simplemente no se aplican. No van a aprender informática porque les dicen que es para hombres y las mujeres no son buenas en eso, que no es un trabajo para mujeres...

Quizá porque también faltan referentes femeninos en este campo.

No hay suficientes modelos a seguir. Por ejemplo, me entrevistan para la televisión y la gente, como los entrevistadores, siempre dicen que están buscando mujeres. Hay chicas en la industria pero que no están dispuestas a venir, a hablar, a ser entrevistadas y fotografiadas. Así que no solo hay menos mujeres, sino que también hay menos mujeres que están dispuestas a estar en primera línea. Mañana hablaré ante 4.000 personas, pero también procuro dar charlas a niñas de ocho años sólo para que, desde que son jóvenes, vean que esto es una opción aunque tal vez no quieran elegirla. Sigue existiendo una brecha en el entendimiento, es una brecha social.

El Ayuntamiento de Colmenar Viejo ha sufrido este miércoles un ciberataque con el virus WannaCry. El jueves, un día después, la mayoría de equipos siguen bloqueados. “Se ha ido todo el mundo a casa”, explica un trabajador a eldiario.es, que añade: “los informáticos se han ido a comer pero no sé si volverán”.

Desde el gabinete de prensa del Ayuntamiento confirman el ataque: “Apagamos automáticamente todos los ordenadores. Esto corre como la pólvora”. WannaCry ha secuestrado los equipos del consistorio, que ahora mismo se encuentran intentando ser restablecidos por los propios informáticos del Ayuntamiento. También ha llegado “un equipo de expertos para apoyarlos”.

“Ayer a las 6 de la mañana lanzaron un ataque contra el servidor del Ayuntamiento. A las 9:15, los informáticos se dieron cuenta de que había una actividad anormal en los servidores porque estaban encriptándose expedientes. Y en esas estamos”, explica Jorge García Díaz, alcalde de Colmenar Viejo, a eldiario.es.

“Estamos revisando todos los equipos para intentar detectar por dónde entró el ataque y restablecer todos los documentos que se han dañado con las copias de seguridad”, continúa Díaz. El alcalde prevé que los sistemas vuelvan a funcionar entre este viernes y el lunes de la semana que viene.

El ataque se ha dirigido contra el servidor central de Ayuntamiento, que administra y “presta el servicio de Internet al resto de edificios”. WannaCry solo afecta a los equipos que tengan Windows como sistema operativo. En marzo, Microsoft sacó un parche para arreglar el fallo de seguridad pero dos meses después pudimos comprobar que pocas empresas lo habían implementado. El ransomware afectó a empresas y organizaciones de casi 200 países.

“Los sistemas de seguridad se revisan constantemente y este servidor está en constante actualización de antivirus”, dice Díaz. Tres meses después de hacer el agosto, WannaCry vuelve a golpear en nuestro país. “El servidor, parcheado está. Estamos mirando a ver qué ha podido ser: si un fallo nuestro o de la empresa que da soporte al gestor documental”.

Según explica Díaz, el consistorio trabaja con una empresa que hace los registros de casas, padrones, etcétera. “Nosotros no trabajamos con la plataforma de facturas electrónicas del ministerio. Casi todos los ayuntamiento tenemos una propia”. El alcalde de Colmenar Viejo se muestra convencido de que WannaCry posiblemente “solo haya afectado a los documentos que se generaron ayer de 9 a 9:15”.

El municipio madrileño, además de contar con un servicio informático propio, también tiene otro externo “con la empresa que tenemos contratado todo el tema de la gestión de la administración electrónica, que es donde creemos que puede estar el fallo”, explica Díaz. Según el alcalde, esta empresa de gestión también está presente “en casi todos los ayuntamientos”.

“Todas las gestiones que se hacen telemáticamente a través de la sede electrónica del Ayuntamiento quedaron interrumpidas inmediatamente”, dice el consistorio madrileño. El servidor central al que se conectan todos los departamentos y servicios del Ayuntamiento también está infectado: “Deportes, bibliotecas, casa de la juventud... Todas las dependencias municipales”.

El consistorio, que asegura estar “trabajando de noche y de día para que esto se solucione cuanto antes”, ha optado por hacer las gestiones de forma manual: “Por ejemplo, si alguien quisiera hacer un certificado de empadronamiento, se le pone un sello en el registro y en el momento en que se pueda acceder al sistema informático se empieza la tramitación como habitualmente se hace”.

¿Qué es y cómo actúa WannaCry?

WannaCry saltó a la primera escena mundial el pasado mayo, cuando atacó a empresas y organizaciones de más de 200 países. En nuestro país, Telefónica vio como sus ordenadores quedaban bloqueados por el ransomware. En el Reino Unido, los hospitales de la seguridad social británica (NHS Trust) también fueron atacados.

El virus, que solo afecta a los sistemas operativos Windows, hace uso de una vulnerabilidad de ejecución de comandos remota a través del protocolo SMB (Server Message Block - Servidor de bloque de mensajes).

WannaCry se distribuye por correo. Al infectar un equipo, el ransomware escanea el resto de equipos de la red a los que está conectado el ordenador, propagando la infección. Se aprovecha de una vulnerabilidad de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016).

Entra a través de los puertos 137, 138 UDP y 139, 445 TCP. Son los que utiliza el protocolo SMB, que sirve para compartir archivos, equipos, impresoras y demás dispositivos en una red de área local (LAN). Este tipo de redes son las que usan todas las empresas para trabajar internamente.

Este ataque llega un día después de que los ciberatacantes hayan comenzado a retirar el dinero recaudado de los rescates. Hasta ahora han sacado más de 26.000 dólares. Sus tres monederos albergaban un total de 142.361 dólares hasta el miércoles, según la cuenta de Twitter actual_ransom, dedicada a seguir los movimientos de entrada y salida de dinero de WannaCry.