Pasar al contenido principal

El CNI y expertos advierten de una oleada de ataques informáticos que está afectando a las administraciones españolas: Jerez ha tenido sus sistemas bloqueados varios días

Un hacker en un cuarto oscuro.
Un hacker en un cuarto oscuro. Getty/South_agency
  • El Ayuntamiento de Jerez sufrió un ataque informático el pasado 4 de octubre que bloqueó todos sus archivos y servicios.
  • Ha sido necesaria la intervención del Centro Criptológico Nacional y del CNI para recuperar los ficheros. Este martes se esperaba que se recuperase el 80%.
  • Varios ayuntamientos españoles como el de Málaga han advertido a sus funcionarios que extremen precauciones para no verse afectados por un ataque así.
  • Varios entes públicos del País Vasco comenzaron a sufrir ataques del estilo a finales de septiembre.
  • Además del CNI, empresas como Panda o ESET han lanzado advertencias y alertas de seguridad.
  • Descubre más historias en Business Insider España.

El Centro Criptológico Nacional, que depende de la agencia española de inteligencia, el CNI, ha tenido que intervenir en el Ayuntamiento de Jerez después de que un potente troyano encriptase todos los archivos de la red informática municipal, tal y como ha recogido la prensa local.

Fuentes del consistorio gaditano han confirmado a Business Insider que al menos este lunes los agentes del CCN continuaban en las dependencias de la administración local ayudando a los funcionarios municipales a restaurar los sistemas a la normalidad.

El ayuntamiento jerezano esperaba recuperar para este martes entre el 80 y el 90% de su capacidad: todos los ordenadores del sistema quedaron inoperativos después de que entrasen en acción dos virus que el CCN conoce como Emotet y Ryuk.

Se trata de un ataque al más puro estilo ramsonware. El Centro Criptológico ha emitido una alerta nacional ante la peligrosidad de estos virus, que acecha sobre todo a las administraciones públicas.

Leer más: Los ataques de phishing son omnipresentes: casi todas las empresas se están viendo afectadas por esta ciberamenaza

La infección puede darse al abrir un archivo adjunto —en un formato tan común como el documento de texto— que cuenta con un código embebido. El script "inicia un proceso de conexión contra servidores y sistemas de comando y control existentes en internet que descargan un código dañino e infectan el sistema".

"Una vez producida la infección, se lleva a cabo el cifrado del sistema, realizándose además otras acciones no autorizadas", explaya el CCN del CNI en la alerta que ha emitido este mismo mes de octubre.

Una vez los archivos han sido completamente cifrados generalmente llega la comunicación con el hacker, que exige el pago de un rescate, generalmente mediante criptomonedas como los bitcoin. Fuentes municipales del Ayuntamiento de Jerez no han podido confirmar la cuantía de este rescate.

El ataque informático que ha afectado a la corporación jerezana no ha supuesto, en todo caso, una filtración de datos de los vecinos al mercado negro de internet. Así lo ha confirmado el propio CNI en una información que recoge el Diario de Jerez.

En este periódico también se explica que el ataque al ayuntamiento andaluz es parte de un ataque internacional que comenzó a mediados de septiembre, y que ha desatado toda una polémica en la ciudad.

Varios ayuntamientos de España, en alerta

Dada la gravedad del ataque informático, varios consistorios han dado la voz de alerta y han advertido a los funcionarios que minimicen riesgos en sus equipos informáticos. El Cemi, centro informático municipal de Málaga, ha enviado una circular al personal del consistorio malagueño en esos términos.

El diario Sur recogía este martes algunos fragmentos de dicho correo: "Cemi Seguridad. El Ayuntamiento de Jerez ha perdido todos sus datos. ¡Con tu ayuda no nos pasará!".

El mismo incluía unas instrucciones para el personal administrativo. "Tu participación es muy importante ya que el punto de entrada principal del virus es el correo electrónico. Debes estar muy atento a los correos con datos adjuntos y enlace y seguir las siguientes instrucciones".

Además del mensaje de alerta del Centro Criptológico Nacional del CNI, varias empresas de ciberseguridad como ESET o Panda han remitido sus advertencias. En el caso del laboratorio de ESET, detalla, en un comunicado, que el troyano bancario Emotet ha reaparecido "tras unos meses de descanso" a mediados de septiembre.

ESET ha detectado que el troyano Emotet, culpable del bloqueo informático en Jerez, reapareció tras un envío masivo de correos electrónicos cuyos remites simulaban ser de confianza. Todos adjuntaban archivos en formatos de Microsoft Word.

"La elevada cantidad de correos recibidos durante esos días y la detección de un elevado número de muestras en nuestro país nos hacen pensar que los delincuentes detrás de Emotet prepararon una campaña específicamente dirigida a usuarios españoles", detalla la compañía.

Los primeros ataques llegaron a Euskadi

El País Vasco fue una de las primeras zonas de España en detectar este virus. El diario Deia explicaba a principios de mes cómo un envío masivo de correos había afectado a diversos entes públicos, lo que había motivado la actuación de la policía autonómica, la Ertzaintza, y la intervención del Centro Vasco de Ciberseguridad.

En declaraciones recogidas por la empresa de ciberseguridad Panda Securitiy, el director de este centro vasco, Javier Diéguez, ha rechazado que exista una situación de "excepcionalidad" o "crisis", porque lo que ha ocurrido es que "a diferencia de otras veces, las entidades afectadas han filtrado la noticia de estos ataques".

En otras palabras: es algo que ocurre más habitualmente, solo que pocas veces los ciudadanos se llegan a enterar.

Ciudades de Texas, en los EEUU, sufrieron un ataque coordinado de características similares en agosto

La edición estadounidense de Business Insider recogía también este verano cómo los ataques coordinados mediante ataques informáticos de ransomware contra las administraciones públicas se habían convertido en algo más común de lo deseado.

En varias informaciones se recogen ataques a hasta 23 ciudades de Texas. El Departamento de Recursos de Información texano informó a mediados de agosto de la posibilidad de que este fuese un ataque planeado, simultáneo y organizado. Para evitar pagar los desorbitados rescates, las administraciones locales se vieron obligadas a recuperar sus archivos de las copias de seguridad que mantenían.

Incluso una ciudad de Florida se vio obligada a trabajar con papel y bolígrafo y pagar 500.000 dólares en un rescate para recuperar sus archivos tras uno de estos ataques.

Los ataques de ransomware son tan preocupantes que hay una iniciativa de la Europol, la policía europea, en coordinación con fuerzas y cuerpos de seguridad de varios países. El proyecto No More Ransom provee de varios programas de desencriptación de archivos y una serie de recomendaciones para tratar estos casos.

Y además