Ciberataque

¿Cómo funciona el "ransomware" que ha sufrido el Ayuntamiento de Sevilla?

Este tipo de programa malicioso llega a las víctimas por medio de un correo electrónico en el que se engaña a la persona que lo recibe

Un grupo de hackers argelinos puede estar detrás de uno de los ciberataques
Un grupo de hackers argelinos puede estar detrás de uno de los ciberataquesjmz

El Ayuntamiento de Sevilla ha sufrido este miércoles un ataque con "ransomware" LockBit, un tipo de software malicioso que bloquea la información de la empresa, en este caso del consistorio, impidiendo el acceso a la misma generalmente cifrándola y solicitando un rescate (en inglés "ransom") a cambio de su liberación.

Este tipo de programa malicioso llega a las víctimas por medio de un correo electrónico en el que se engaña a la persona que lo recibe y que lleva un adjunto o un enlace (url); el usuario "pica" y lo acaba ejecutando, explica a EFE Juan Manuel Pascual, experto en ciberseguridad y director ejecutivo de Innovery España y LATAM.

"Hay dos pasos, enviar un correo malicioso y que alguien de dentro lo ejecute", subraya Pascual, quien recuerda que detrás de este ataque está el grupo holandés LockBit y su programa malicioso (denominado LockBit) funciona de manera muy parecida al resto de "ransomware". Lo hace primero descubriendo vulnerabilidades, luego infiltrándose y controlando los equipos, y expandiéndose.

El objetivo final es cifrar, es decir, dejar los ordenadores inutilizados, para que si el Ayuntamiento quiere recuperar el contenido del ordenador y volver a trabajar tenga que pagar rescate (el consistorio ya ha dicho que no va a transferir el millón de euros que reclaman los ciberdelincuentes y que según lo analizado hasta el momento no parece que estén afectados los datos de los ciudadanos). Este ransomware -antes conocido como ABCD- se utiliza para lanzar ataques selectivos contra empresas y otras organizaciones, detalla por su parte la empresa Kaspersky, que indica en su web que como es un ciberataque autopilotado, los atacantes de LockBit se caracterizan por amenazar a organizaciones de todo el mundo.

Amenazas con interrumpir las operaciones por la detención repentina de las funciones esenciales; con extorsionarlas para el beneficio financiero del ciberdelincuente; y con robar datos y publicación ilegal de estos como chantaje si la víctima no paga el rescate.

El experto de Innovery España y LATAM recuerda que este ha sido el segundo ataque con éxito a la web municipal en dos años después de que en septiembre de 2021 fuera objeto de un ciberataque en el que los piratas informáticos se apoderaran de un millón de euros de las arcas municipales, mediante la estafa conocida como "fraude del CEO".

Para Pascual, tanto administraciones públicas como empresas deben invertir en ciberseguridad. Las primeras tienen suficiente presupuesto para la compra de tecnología pero no tanto para desarrollar los servicios. Es importante invertir también en este punto para conseguir los mejores y, sobre todo, en dedicar tiempo a la concienciación de cada uno de los trabajadores, no solo de la empresa, en este caso del Ayuntamiento en su conjunto.

"Lo importante es la entrada inicial y es casi imposible parar un software malicioso si el empleado pica", subraya este experto, para quien la educación en ciberseguridad debería estar ya en los colegios. Luis Corrons, de Avast, apunta que para evitar este tipo de situaciones hay que contar con un software actualizado, tener protegidos los ordenadores con un software de seguridad y educar a los empleados para que sean capaces de reconocer ataques de este tipo.

"Una vez sufrido, habrá que buscar pistas que permitan a la organización detectar dónde se ha producido la brecha de seguridad lo antes posible. Para ello, se deberán supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red que puedan dar indicios de que algo anómalo está pasando".