Los expertos apuntan a un ransomware como origen del ataque al Ayuntamiento de Sevilla
Los técnicos del Ayuntamiento de Sevilla, en colaboración con otros expertos tanto de organismos públicos y privados, siguen trabajando e investigando el ciberataque que sufre desde ayer el consistorio andaluz. Todo parece indicar que se trata de un ransomware.
El reto es conocer el origen (se apunta a LockBit) y alcance del ataque para poder recuperar la normalidad.
Según Avast, este ransomware es similar al que han sufrido otras administraciones y empresas
Según Luis Corrons, Security Evangelist de Avast, «todo parece indicar que el ciberataque que ha sufrido el Ayuntamiento de Sevilla se trata de un ataque con ransomware similar al sufrido por decenas de administraciones, empresas e instituciones en España”.
Aunque desde el consistorio se asegura que los datos personales de los ciudadanos no parecen haber sido afectados, este experto considera que los atacantes sí han tenido acceso a la información. “De otra forma no sería posible que dicha información hubiera sido cifrada”, argumenta Corrons. “Este tipo de ataques lleva un trabajo por detrás, y de hecho una de las últimas tendencias es que los ciberdelincuentes se lleven una copia de la información antes de proceder a su cifrado”, añade.
Mientras, Enrique Domínguez, Director de Estrategia en Entelgy Innotec Security, explica que en los últimos tiempos «ha proliferado la conocida como ‘triple extorsión’ en ransomware. Consiste en que los ciberatacantes acceden a los sistemas de una organización a través de diferentes técnicas, despliegan el malware que bloquea los equipos y sistemas de la víctima, cifrándolos y exigiendo un rescate para facilitar la clave de descifrado (un pago que suele solicitarse con criptomonedas o tarjetas de crédito). Posteriormente, amenazan con publicar la información sustraída, con la consiguiente crisis de reputación por parte de la organización víctima del ataque. Después, los atacantes amenazan con un ataque de denegación de servicio (DDoS), enviando multitud de solicitudes al recurso web atacado con la intención de desbordarlo y provocar una caída de su servicio».
Por eso, considera que este ciberataque supone una «toma de conciencia para la sociedad española, compañías privadas y Administración Pública respecto a la importancia que tiene poner atención a la ciberseguridad».
En opinión de Domínguez, Lockbit es una de las mayores amenazas actuales en el mundo digital, pero no es la única. «El phishing, los ataques DDoS y el malware evolucionan cada día, se profesionalizan y, en ocasiones, se utilizan de manera conjunta para conseguir un impacto mayor. Aunque, sin duda, en la actualidad el ransomware es la amenaza que más se monetiza y más evoluciona, por lo que debemos estar preparados para hacerle frente».
Recuperar la normalidad
En otro orden de cosas, Luis Corrons explica que para recuperar la normalidad ante el ataque con ransomware, el Ayuntamiento necesita, por un lado, “analizar el origen del ataque para cerrar las puertas y evitar que pueda volver a suceder. Además, deberá restaurar la información desde las copias de seguridad que tenga a su disposición”.
En su opinión, ambos pasos son imprescindibles. “Hasta que no se lleven a cabo todos estos pasos, todos los ordenadores que estén conectados a la red estarán en peligro”, advierte.
Este experto también asegura que se tendrán que buscar “pistas que permitan a la organización detectar dónde se ha producido la brecha de seguridad lo antes posible. Para ello, se deberán supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red que puedan dar indicios de que algo anómalo está pasando».
Aunque nadie está libre de ser atacado, este experto enumera algunos consejos para reducir el riesgo, como “contar con un software actualizado, tener protegidos los ordenadores con un software de seguridad y educar a los empleados para que sean capaces de reconocer ataques de este tipo”.
