Los ciberataques para bloquear concellos, robar datos y pedir rescates se disparan: «Los trabajadores son el eslabón más débil»

Álvaro Sevilla Gómez
Álvaro Sevilla SANTIAGO / LA VOZ

SANTIAGO

Funcionarios del Concello de Teo, trabajando con normalidad tras el ciberataque
Funcionarios del Concello de Teo, trabajando con normalidad tras el ciberataque PACO RODRÍGUEZ

El Concello de Teo fue el último en caer, aunque el envío de «ransomware» se ha convertido en masivo

26 feb 2024 . Actualizado a las 21:37 h.

Tan sencillo y a la vez tan peligroso como abrir un correo electrónico, clicar en el enlace equivocado y descargar un archivo que puede provocar un caos que golpeará durante días, semanas o meses a los servicios informáticos de concellos, instituciones o empresas. Eses son los principales objetivos de una ciberdelincuencia que no para de crecer, diversificarse y profesionalizarse. Los envíos masivos de ransomware se han disparado en el 2024 con el fin de secuestrar sistemas enteros, amenazar con la filtración de los datos robados y cobrar rescates para liberarlos.

Que está ocurriendo en toda la provincia lo confirman fuentes especializadas en ciberdelincuencia. El último ataque exitoso a una institución pública ocurrió a finales de enero en Teo, donde los servidores del Concello quedaron completamente bloqueados. Esto obligó a formatear cada ordenador, desinfectarlo y, por último, recuperar la última copia de seguridad realizada para que no se perdieran todos los datos. Saber qué información pudo llegar a manos ajenas resulta más complicado, destacan desde las fuerzas del orden, que piden a todas aquellas instituciones que trabajen con información sensible —como documentos de identidad, direcciones o números de cuentas bancarias—, que comiencen a informarse de las medidas preventivas necesarias para evitar ataques cibernéticos como el citado.

«Siempre hay que garantizar que la copia de seguridad no esté infectada», precisan los expertos, que recuerdan lo ocurrido al Ayuntamiento de Sevilla, cuando por un episodio similar le pidieron varios millones de euros de rescate. Sobre por qué los concellos son tan vulnerables, explican desde las fuerzas del orden que se debe a que «los funcionarios tienen la obligación de abrir todos los correos que les llegan. Como consejo les diría que duden de aquellos que tienen archivos ejecutables o comprimidos, es donde suelen estar los virus».

En Calviá, el último municipio de España en caer en las garras del ransomware, el ataque les impidió cobrar tributos. Desde el Concello de Teo precisaron que, tras dos semanas a medio gas, la actividad burocrática ha vuelto a la normalidad. La copia de seguridad realizada por el informático municipal permitió darle la vuelta al embrollo, aunque los agentes afirman que no será el último concello gallego en caer este año. A pesar de que los diferentes ransomware acaban siendo descifrados y sus claves compartidas en internet por la comunidad, los ciberdelincuentes van un paso por delante. La inteligencia artificial, explican los expertos, los ayuda a enmascararlos todavía más. El riesgo, alertan, está en cada correo electrónico que envían de manera masiva. La caza está clara: dinero y datos. Ambos igual de valiosos en la sociedad de la información.

«Es importante la concienciación y la formación de los trabajadores, son el eslabón más débil»

Nacho García Egea, experto en ciberseguridad de la firma tecnológica BeDisruptive, explica el fenómeno de los últimos ataques cibernéticos dirigidos a ayuntamientos y empresas. En el caso del que sufrió el Concello de Teo, afirma que «son campañas masivas, no dirigidas, que estamos viendo continuamente durante los últimos meses. Cada mes cae uno y el modelo se repite. Entran a través de un vector muy débil, que es el usuario base, que tiene menos conocimientos técnicos y que está menos concienciado».

Los buzones de correo electrónico que comparten los funcionarios o trabajadores de una empresa son el principal objetivo. A través de mensajes perfectamente escritos esconden archivos ejecutables o enlaces, donde se encuentra el ransomware, software creado por ciberdelincuentes que les sirve para bloquear los equipos, sean ordenadores, tabletas o móviles. Para liberarlos, normalmente piden un rescate que se debe pagar con criptomonedas para que no se pueda rastrear al destinatario. «Hay que estar preparados, tener siempre un back up —copia de seguridad— de un día o de una semana antes para poder formatear los dispositivos, desinfectarlos y restablecer los sistemas».

Aunque normalmente los informáticos consiguen revertir el caos provocado por el ransomware, García Egea explica que «los sistemas de seguridad funcionan por capas. ¿Cuál es la primera? ¿Quién está más expuesto? Es importante la concienciación y la formación de los trabajadores, son el eslabón más débil. Por ellos tiene que empezar el primer punto de defensa». En su firma realizan campañas de concienciación y simulan ataques para que el personal sepa dónde está el riesgo y cómo actuar.

Aunque empresas como BeDisruptive cuentan con profesionales que son capaces de descifrar el ransomware, afirma que se trata de un proceso de más lento que el de desinfectar los equipos: «La clave para los concellos y las empresas más pequeñas es tener bien montado el proceso de recuperación. Eso, y la concienciación, es fundamental. Para empresas e instituciones con mayores presupuestos hay otras opciones. Nosotros tenemos un servicio de monitorización que funciona 24 horas los siete días de la semana que nos sirve para detectar incidentes. Se hace una monitorización y vemos, al momento, si se está cifrando un equipo, una carpeta o una unidad en la nube. Nos permite conocer de dónde viene ese paciente cero y por dónde ha accedido».

Conocedor de las urgencias económicas de los pequeños municipios, explica que otra de las claves pasa por, una vez sufrido un ataque, resetear los usuarios de los trabajadores, ya que los ciberdelincuentes pueden tener acceso a las contraseñas y seguramente accedan de nuevo a los sistemas y servidores: «Este tipo de ataques se ha masificado, automatizado y profesionalizado. Proceden de grandes grupos que venden paquetes enteros en la deepweb de este tipo de ransomware. Es importante que cada vez las potenciales víctimas estén más informadas, pero los ciberdelincuentes siempre van un paso por delante».

La concienciación, insiste, es lo más importante, sobre todo «en trabajadores que manejan datos críticos, como son DNIs, direcciones o padrones. Hay que hacer un esfuerzo e invertir en ciberseguridad».

El BEC es el timo que ha golpeado con mayor fuerza a las arcas de las empresas

El Business Email Compromise, conocido popularmente por sus siglas, BEC, ha sido el timo cibernético que más dinero ha extirpado a concellos y empresas coruñesas en los últimos años. Así lo confirman fuentes de las fuerzas del orden, que admiten que han visto a municipios y firmas perder sumas que rozaron, o incluso superaron, los 100.000 euros, y que pertenecían a comarcas como Barbanza, Santiago, Carballo o A Coruña. Se trata de un ciberataque mucho más sofisticado que el ransomware, ya que los ciberdelincuentes necesitan colarse en los sistemas informáticos y realizar una monitorización de los buzones de correo.

Una vez dentro esperan a que algún proveedor envíe una factura que esté pendiente de pagar. Cuando la detectan, remiten un correo completamente idéntico, que incluya también la factura, pero cambiando el número de la cuenta corriente. Según los expertos, estos grupos suelen proceder de Brasil y cuentan con «mulas digitales» en Galicia, normalmente delincuentes habituales de la zona que utilizan para crear las cuentas y sacar el dinero, que más tarde remitirán a los ciberdelincuentes quedándose con una pequeña parte. De esa manera, los miles de euros salen de España, haciendo prácticamente imposible que sean recuperar íntegramente.