Por qué el Ayuntamiento de Sevilla no va a negociar con los ciberdelincuentes que le atacan y por qué sería un tremendo error que lo hiciera

El Ayuntamiento de Sevilla sufre un ataque informático desde el pasado martes. 

Los sistemas del Consistorio están paralizados desde la tarde de ese día para tratar de contener y mitigar los daños. Con el paso de las horas ya se ha sabido que, según ha reconocido el propio Gobierno municipal, detrás del incidente estarían los ciberdelincuentes de Lockbit, una de las bandas especializadas en ransomware más prominentes de los últimos años.

Aunque muchos medios están localizando a los criminales informáticos de Lockbit en Países Bajos, expertos como Bernardo Quintero, fundador de VirusTotal, han recordado en redes que a esta organización siempre se le ha escuchado un acentillo ruso. EEUU, sin ir más lejos, ha detenido a varios ciudadanos rusos involucrados en ataques con el ransomware de Lockbit.

Si se trata efectivamente de Lockbit, el Ayuntamiento sevillano está en un grave problema. Si algo caracteriza a este colectivo de ciberdelincuentes es que cumplen sus amenazas. El hecho de que el ataque informático se haya mediatizado —algo que es inevitable tratándose de una Administración— tampoco ayuda.

En un primer momento se supo que los criminales solicitaban un rescate de un millón y medio de euros al Ayuntamiento de Sevilla. Luego trascendió la cifra, que supera los 5 millones de euros. El ransomware es un tipo de ataque informático que consiste en entrar en los sistemas de la víctima, cifrarlos, robar datos, y después solicitar un rescate.

Un rescate, en este caso de 5 millones de euros, que valdría para evitar que datos personales de funcionarios y ciudadanos fuesen vendidos en bases de datos y foros en la dark web al mejor postor, y que promovería un sinfín de segundos ataques informáticos, estafas y fraudes esta vez dirigidos contra víctimas todavía más vulnerables.

Dejé mi empleo para ser 'hacker' cazarrecompensas a jornada completa y me va bien: con 28 años ya me he comprado un piso en Barcelona

El equipo de Gobierno local dirigido por José Luis Sanz (PP) ha descartado que los criminales hayan accedido realmente a información personal. Pero Lockbit suele cumplir sus amenazas, lo que hace que este incidente sea cada vez más preocupante. 

No es la primera vez que un ayuntamiento español sufre un incidente con ransomware, pero en Sevilla es el tercer ataque de los últimos años —el primero de esta naturaleza— y la situación es delicada al tratarse, además, de una gran capital.

Y, sin embargo, el Ayuntamiento de Sevilla se ha negado a negociar con los ciberdelincuentes. ¿Por qué?

Porque aceptar pagar un rescate no es efectivo. Un sinfín de especialistas del sector lo advierten desde hace años. De hecho, es habitual que empresas víctimas de este tipo de ataques informáticos acaben cediendo al chantaje, paguen el cuantioso rescate, y aunque reciban el antídoto —una clave para desbloquear sus sistemas— nunca recuperen la información sustraída o perdida.

En otros muchos casos puede suceder que esos antídotos lleguen además con más malware que acabe propagándose de nuevo por los sistemas, por no hablar de que el hecho de que una institución pague y ceda ante un chantaje de estas características convertiría al Ayuntamiento de Sevilla en un objetivo todavía más suculento y atractivo para otras bandas de criminales informáticos.

Estas son las principales razones por las que el Ayuntamiento de Sevilla no negociará con los ciberdelincuentes. O al menos haya anunciado que no lo hará: la realidad es que muchas empresas acaban cediendo. 

Eso ha suscitado en los últimos años un debate jurídico que no está del todo despejado, pero no sería de extrañar que en algún momento se sentencie que pagar un rescate de ransomware pueda ser un delito de colaboración con organización criminal. Al final, estas organizaciones funcionan como auténticas empresas.

El dinero que las víctimas les acaban pagando es su principal vía de financiación.