Ayer martes, el Ayuntamiento de Sevilla fue víctima de un ciberataque, presuntamente con ransomware, que ha dejado a la administración municipal paralizada y ha puesto en peligro la seguridad de los datos personales de los sevillanos, tras bloquear el servidor que da soporte a todos los servicios del Ayuntamiento.
El incidente obligó a tomar medidas drásticas para proteger la información y resolver la situación. Según informa la prensa local, los funcionarios municipales han recibido el siguiente mensaje:
"Apagar los ordenadores por precaución ante lo que se presume que ha sido un ataque informático. Va para largo".
El Ayuntamiento se puso inmediatamente en contacto con los cuerpos y fuerzas de Seguridad del Estado y ha confiado la investigación del caso al Centro Criptológico Nacional (CCN-CERT). Además, los técnicos municipales trabajan en colaboración con personal externo especializado.
Tenemos a su ayuntamiento en nuestro poder
La situación ha tomado un giro más preocupante una vez se ha sabido, esta misma mañana, que los cibercriminales responsables del ataque, el grupo holandés Lockbit —"uno de los grupos de piratas informáticos más importantes del mundo", según las autoridades— se habían puesto en contacto con el Ayuntamiento para exigir un 'rescate'…
…de cinco millones de euros (según publica Canal Sur) a cambio no sólo de devolver la operatividad digital al Consistorio, sino también de garantizar la seguridad de los datos personales de los sevillanos. Fuentes municipales han descartado, sin embargo, cualquier tipo de negociación con los delincuentes.
La ciudadanía ya sufre las consecuencias
El impacto del ataque se ha sentido en toda la ciudad, con oficinas virtuales de empresas y organismos municipales inutilizadas, lo que ha generado un colapso en los teléfonos por parte de los ciudadanos que necesitaban realizar trámites de urgencia.
Incluso el servicio de recaudación de la Agencia Tributaria se ha visto afectado, obligando a los funcionarios a pedir a los ciudadanos que realicen pagos directamente en sucursales bancarias debido a la imposibilidad de operar en la Sede Electrónica.
Los servicios de emergencia (como la Policía Local y los Bomberos) se han visto forzados a cambiar su forma de trabajo, registrando las incidencias a mano debido a la falta de acceso a sistemas digitales.
No es la primera vez
No es la primera vez que el Ayuntamiento de Sevilla experimenta problemas de ciberseguridad de gran calado. Ya hace dos años, en 2021, sufrió un ataque 'Man in the Middle' que afectó gravemente a las arcas municipales.
En aquel momento, casi un millón de euros de las arcas públicas desaparecieron después de que los ciberdelincuentes lograsen usurpar la identidad de la compañía adjudicataria del contrato de las luces de Navidad del año anterior…
…y solicitasen el cambio de cuenta donde la Tesorería municipal debía ingresar el pago por el servicio prestado. Así se hicieron con el dinero, que finalmente no pudo recuperarse, lo que obligó a hacer reajustes presupuestarios.
¿Una posible fuente del ataque?
RDP son las siglas de 'Remote Desktop Protocol', o 'Procolo de Escritorio Remoto', una tecnología que permite controlar a distancia los equipos informáticos y que, si bien puede resultar cómodo en un momento dado, es una gran fuente de ciberataques si los puertos vinculados a dicho protocolo no se hallan adecuadamente protegidos.
Un tuitero se ha mostrado convencido de que el origen del problema del ciberataque al ayuntamiento hispalense radica, precisamente, a una inadecuada protección de su RDP:
vía @pperboz en Twitter
Y no lo dice por mera especulación: una sencilla búsqueda en el reputado 'buscador para hackers' Shodan.io (que muestra dispositivos conectados a la Red) desvela varios accesos visibles y desprotegidos vinculados al Departamento de Urbanismo de Sevilla.
Por ahora, el delegado municipal de Hacienda, Participación Ciudadana y Transformación Digital, Juan Bueno, únicamente afirma que "al 99% creemos que sabemos por dónde han entrado", el ordenador foco del ataque, aunque hasta que no esté contrastado al 100% no lo harán público.
Los expertos discrepan de las autoridades
Luis Corrons, 'Security Evangelist' de la compañía de ciberseguridad Avast, se ha posicionado al respecto de este ataque:
"Todo parece indicar que el ciberataque que ha sufrido el Ayuntamiento de Sevilla se trata de un ataque con ransomware similar al sufrido por decenas de administraciones, empresas e instituciones en España".
Eso sí, señala que, "al contrario de lo que dice el comunicado oficial, los atacantes han tenido acceso a la información", puesto que de otra forma "no sería posible que dicha información hubiera sido cifrada".
"De hecho, una de las últimas tendencias es que los ciberdelincuentes se lleven una copia de la información antes de proceder a su cifrado.
Para volver a ser operativo, el Ayuntamiento necesita, por un lado, analizar el origen del ataque para cerrar las puertas y evitar que pueda volver a suceder. Además, deberá restaurar la información desde las copias de seguridad que tenga a su disposición.
Hasta que no se lleven a cabo todos estos pasos, todos los ordenadores que estén conectados a la red estarán en peligro".
Imagen | Marcos Merino mediante IA
Ver 4 comentarios