El Ayuntamiento de Sevilla comienza a planificar la recuperación de sus sistemas

El Ayuntamiento de Sevilla comienza a ver la luz después de ser víctima de un ataque de ransomware, que ha puesto en jaque sus sistemas y ha paralizado por completo los trámite de la sede electrónica desde el pasado martes. 

Aunque será un proceso complejo, su concejal de Hacienda y Transformación Digital, Juan Bueno, ha señalado que el consistorio tiene "los datos necesarios para iniciarlo", en declaraciones a Europa Press que recoge el diario Público.

Además, el pasado viernes el equipo de Gobierno del Ayuntamiento ha decidido realizar una una auditoría integral del estado de seguridad informática de sus equipos y sistemas, si bien ahora mismo la prioridad es la recuperación del sistema y esta se realizará con posterioridad, de cara a mejorar su postura de ciberseguridad y evitar nuevos ataques.

¿Qué nos dicen algunos expertos en ciberseguridad sobre este ataque?
Para Enrique Domínguez, director de Estrategia en Entelgy Innotec Security, el ataque perpetrado por el grupo de ransomware Lockbit, que se distribuido como servicio y fue la familia más activa a lo largo de todo el año, "el ciberataque al Ayuntamiento de Sevilla supone una toma de conciencia para la sociedad española, compañías privadas y Administración Pública respecto a la importancia que tiene poner atención a la ciberseguridad. Lockbit es una de las mayores amenazas actuales en el mundo digital, pero no es la única. El phishing, los ataques DDoS y el malware evolucionan cada día, se profesionalizan y, en ocasiones, se utilizan de manera conjunta para conseguir un impacto mayor. Aunque, sin duda, en la actualidad el ransomware es la amenaza que más se monetiza y más evoluciona, por lo que debemos estar preparados para hacerle frente".

Como explica Luis Corrons, Security Evangelist de Avast, "para volver a ser operativo el Ayuntamiento necesita, por un lado, analizar el origen del ataque para cerrar las puertas y evitar que pueda volver a suceder", punto que ya se ha llevado a cabo y que antecede a la restauración de la información "desde las copias de seguridad que tenga a su disposición. Hasta que no se lleven a cabo todos estos pasos, todos los ordenadores que estén conectados a la red estarán en peligro".

Para evitar esta clase de situaciones, señala Corrons, se pueden tomar medidas que reduzcan el riesgo: contar con un software actualizado, tener protegidos los ordenadores con un software de seguridad y educar a los empleados para que sean capaces de reconocer ataques de este tipo". 

El ransomware es un ataque predominante hoy en día que, en muchas ocasiones, ya no se se queda en la doble extorsión, sino que los ciberdelincuentes ya están utilizando la triple extorsión. Esta consiste en que los ciberatacantes acceden a los sistemas de una organización a través de diferentes técnicas, despliegan el malware que bloquea los equipos y sistemas de la víctima, cifrándolos y exigiendo un rescate para facilitar la clave de descifrado (un pago que suele solicitarse con criptomonedas o tarjetas de crédito). Posteriormente, amenazan con publicar la información sustraída, con la consiguiente crisis de reputación por parte de la organización víctima del ataque. Después, los atacantes amenazan con un ataque de denegación de servicio (DDoS), enviando multitud de solicitudes al recurso web atacado con la intención de desbordarlo y provocar una caída de su servicio.

Es más, según Enrique Domínguez, empiezan darse también los casos de cuádruple extorsión, una vuelta de tuerca más con la que se añade una capa adicional a los ataques de ransomware. "Por tanto, además de todo lo anterior, se añade una etapa agresiva de acoso y chantaje a los clientes, empleados, socios comerciales o contactos cuyos datos han sido exfiltrados. Con este último paso los ciberdelincuentes aumentan la presión sobre la compañía víctima del ciberataque e intentan que sean sus contactos los que promuevan que la compañía pague el rescate solicitado”.