Así se vive en una ciudad hackeada: quién está detrás y qué se sabe del ciberataque al Ayuntamiento de Sevilla

Este martes por la tarde se conoció que el Ayuntamiento de Sevilla había sufrido un ataque informático. Aunque no ha trascendido su naturaleza, todo hace pensar que se trata de un incidente de ransomware, ataques en los que los criminales informáticos logran cifrar los archivos y sistemas de su víctima para volverlos inutilizables.

Desde hace años, este tipo de ataques también contempla la extracción de datos, con lo que la integridad de la información de los ciudadanos sevillanos podría estar en peligro. El Gobierno local ha descartado que esta exfiltración haya tenido lugar, a pesar de las amenazas de sus atacantes.

En este tipo de ataques informáticos, los ciberdelincuentes exigen un rescate a cambio de una clave con la que la víctima podrá regresar a la normalidad. El Consistorio hispalense ya ha confirmado que no va a negociar con estos cibersecuestradores, pero los problemas en la capital andaluza se agravan por momentos ante el apagón digital que sufren sus múltiples departamentos.

Se suele hablar de la ciberseguridad como una larga cadena de eslabones en la que todos tienen suma importancia. Los ataques pueden llegar por parte de los proveedores o contratistas que se conecten a los servicios municipales, pero también por despistes o falta de formación del personal. Por eso es de gran importancia el formar y capacitar a los profesionales ante estas amenazas.

Por el momento no se conoce cómo ha podido perpetrarse el ataque contra el Consistorio que dirige el popular José Luis Sanz, aunque algunos especialistas ya elucubran con la posibilidad de que los atacantes hayan ganado acceso a los servicios municipales a través de protocolos de escritorio remotos con puertos sin proteger.

España es el tercer país más afectado por la filtración de datos en 2023

De hecho, en este momento todavía es fácil encontrar varios de estos Remote Desk Protocol (RDP) vulnerables asociados a los servicios municipales hispalenses en un popular buscador de dispositivos conectados a la red, Shodan. Estos RDP también pueden ser usados para teletrabajar, pero ha sorprendido ver muchos de ellos completamente vulnerables conectados a la red.

En un primer momento los medios avanzaron que los ciberdelincuentes solicitaban un rescate de un millón y medio de euros. Finalmente, fuentes municipales han confirmado que se exige un rescate de 5 millones de euros. La Policía Nacional y el CERT del Centro Criptológico Nacional (dependiente del Centro Nacional de Inteligencia) ya están en contacto con la Corporación local.

Detrás del ataque, según las últimas informaciones, se encontraría uno de los grupos especializados en el desarrollo de ransomware más prominentes de los últimos años: Lockbit. Sin embargo, esta aseveración solo la ha trasladado el concejal de Transformación Digital de Sevilla, Juan Bueno, quien también ha pedido "prudencia y cautela".

Por el momento, los monitores de amenazas en la darkweb no recogen ninguna reivindicación ni de Lockbit ni de ningún otro grupo de ciberdelincuentes sobre el ataque. Hace escasos días Lockbit reivindicó un ciberataque a una institución local de Montreal, en Canadá, y hace 2 años fue el grupo que protagonizó otro ataque informático a la consultora Accenture.

Muchos de estos colectivos de criminales informáticos también delegan las herramientas que desarrollan a terceros grupos, con lo que la autoría del incidente todavía debe corroborarse.

Y mientras tanto, quienes más están sufriendo el incidente —además de los funcionarios del Servicio de Tecnología de la Información del Consistorio— son los propios ciudadanos. Vivir en una ciudad hackeada no es plato de buen gusto, y puede desembocar en hechos más graves que el no poder pagar una tasa municipal en tiempo y forma.

Por ejemplo, tanto Policía Local y Bomberos han confirmado al diario Abc que están recogiendo las incidencias "con papel y boli". "Si algún ciudadano llama a la sala del 092, la incidencia se apunta a mano y se traslada a los patrulleros a través de la emisora de radio", recoge el periódico.

El cuerpo de bomberos local tampoco dispone en estos momentos del servicio digital con GPS que da a los profesionales las rutas más rápidas para llegar hasta las posibles intervenciones que se les pueda requerir durante las próximas horas.

Diario de Sevilla, por su parte, también detalla cómo el apagón de la sede electrónica del Ayuntamiento ha obligado a la Agencia Tributaria hispalense a pedir a los ciudadanos que abonen expedientes y tasas que fuesen a vencer directamente en las sucursales bancarias.

El Ayuntamiento de Sevilla se está convirtiendo en uno de los objetivos más jugosos para los colectivos de criminales informáticos internacionales. En 2021 el Consistorio ya sufrió otro incidente, este conocido como man in the middle: ciberdelincuentes suplantaron a un proveedor municipal y se acabó esfumando un millón de euros de las arcas municipales.

Fruto de aquel incidente, el Pleno de Sevilla acordó en octubre de 2021 realizar una nueva auditoría de los sistemas de seguridad. La concejala delegada de Recursos Humanos, entonces del PSOE, alegó que no sería necesaria porque ya se realizan auditorías periódicamente y el ciberataque de 2021 no fue tal, sino una suplantación de identidad que ya estaba siendo investigada.