Los atacantes del Ayuntamiento de Castellón reivindican la filtración de 119 gigas en datos robados: el 'ransomware' hace su agosto en las administraciones españolas

A principios de abril el Ayuntamiento de Castellón reconocía haber sufrido un ciberataque. Los medios regionales se hicieron eco de las intenciones del Consistorio: no pagarían el rescate que les exigían los ciberdelincuentes, tal y como recomendó la Policía.

Las consecuencias han llegado este fin de semana. Los atacantes han reivindicado la filtración de 119 gigabytes en datos robados durante el ataque. Los primeros pantallazos, extraídos de la página de los ciberdelincuentes, los ha compartido en Twitter una consultora de ciberseguridad.

Según ha detallado a Business Insider España Brett Callow, analista de seguridad para Emsisoft, el responsable de este ciberataque es un colectivo que opera un ransomware conocido como RansomExx, "particularmente disruptivo porque se despliega en Windows y en Linux", "lo que provoca que más sistemas de lo normal se vean cifrados".

Con el ataque se habrían filtrado documentación de la policía local de Castellón así como documentos internos, municipales, contrataciones y documentos de identidad.

Otras víctimas de RansomExx son empresas petrolíferas de Indonesia, o el Consejo Nacional de la Notaría italiana.

En el momento en el que se escriben estas líneas, casi dos semanas después del ciberataque, la página web de la administración municipal sigue sin estar disponible. Las autoridades locales de Castellón se pusieron en contacto con el Centro Criptológico Nacional, dependiente del CNI, para tratar de restablecer lo antes posible el servicio.

No es la primera vez que un ransomware impacta en una administración. Solo el mes pasado se produjo un ataque masivo al Servicio de Empleo Público Estatal. El SEPE sufrió un incidente después de que Ryuk se infiltrase y propagase a través de sus sistemas, bloqueando los dispositivos conectados a la red.

Los funcionarios de Empleo se vieron obligados a tomar citas a boli y papel mientras veían cómo se les acumulaban ingentes cantidades de trabajo. El SEPE tuvo que operar varios días con todos los ordenadores apagados. El 'apagón' informático era esencial para mitigar los efectos del ataque, controlarlo y expulsarlo.

Tus datos están en la filtración de Facebook o LinkedIn: qué puedes hacer ahora y de qué son capaces los ciberdelincuentes con tu información

Hace 2 años otro ayuntamiento español sufrió el impacto de otro ransomware. Fue el caso del Ayuntamiento de Jerez de la Frontera, aunque en esta ocasión no se filtraron datos robados. Los ciberdelincuentes que operan los ransomware aprovechan sus incursiones para robar información y extorsionar a sus víctimas desde hace tan solo unos meses.

El de Castellón es el enésimo caso de un ransomware golpeando de forma crítica una administración en España. Tras el ciberataque que sufrió el SEPE, varios colegios profesionales y sindicatos estallaron y en declaraciones a Business Insider España advirtieron de la temporalidad, subcontrataciones e incertidumbre que marcan el día a día del sector TIC en la Administración Pública.

Poco después del hackeo al SEPE, la ASTIC, asociación de técnicos de sistemas españoles, insistía que con la pandemia se habían tenido que tomar muchas decisiones precipitadas para garantizar la continuidad de negocios y entidades públicas. Había llegado el momento "de recuperar el tiempo perdido".

Lo cierto es que los ciberataques con ransomware están a la orden del día. También en España. A los medios de comunicación solo trascienden un particular número de ciberataques que, por la naturaleza de sus víctimas, pueden ser incidentes críticos. Es el ejemplo de Mapfre. La aseguradora, además, fue muy transparente cuando sufrió el incidente y la AEPD elogió hace semanas su capacidad de reacción minuto a minuto durante los momentos más difíciles del ataque.

Por ejemplo, una familia de ransomware conocida como Avaddon está atacando particularmente a empresas españolas. Solo la semana pasada este grupo reivindicó ataques a una empresa ubicada en Madrid especializada en soluciones tecnológicas e inteligencia de negocios, a un proveedor de aires acondicionados y climatización de Leganés, y a un especialista en iluminación LED de Toledo.

El mismo grupo atacó a un colegio privado de Madrid días antes y a una institución académica de matemáticas en el País Vasco a finales del mes pasado.

La prevalencia de estos incidentes es una muestra más de que la ciberseguridad atañe a empresas de todo tamaño. Nadie está seguro en la red, y el sector se ha sumergido en un bucle por el cual muchas compañías deciden pagar esos rescates para evitar ver sus datos difundidos en el internet profundo. De este modo, los colectivos de ciberdelincuentes siguen financiándose y perfeccionando sus técnicas.