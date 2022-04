El alcance al ciberataque al Ayuntamiento de Gijón depende de si las copias de seguridad no se han visto infectadas y lo esperable es que los servicios esenciales puedan reactivarse en cuestión de días pero que la investigación real se alargue durante meses. Esta es, al menos, la estimación que lanza Cristina Muñoz-Aycuens, presidenta de la plataforma Arco Atlántico, experta en ciberseguridad y asentada en Gijón. Muñoz-Aycuens, que es también directora de análisis forense ante incidencias informáticas para la firma Grant Thornton en España, explica que el “hackeo” al Consistorio debe servir como “llamada de atención” para las entidades e instituciones públicas que aún no han realizado inversiones en ciberseguridad. Aclara, sin embargo, que las bandas organizadas de ciberdelincuentes son cada vez más “sofisticados” en sus ataques, y que cuesta cada vez más identificarlos a tiempo.

–El Ayuntamiento de Gijón ha sufrido un ciberataque de tipo “ransomware”. ¿Cómo se puede explicar de forma sencilla?

–Es un software mal, lo que se llama un “malware”, que impide al usuario acceder a sus datos. Depende de cómo esté configurado, los bloquea, los cifra o incluso los elimina, pero te impide acceder a ellos de una manera u otra. Lo descubres cuando te sale un aviso emergente en la pantalla en la que se te explica lo sucedido. Puede amenazarte con destruir tus datos o difundirlas al público, que es algo cada vez más habitual, si no les pagas una cierta cantidad de dinero. En estos tipos de ataques también suelen darte un plazo máximo para efectuar ese pago.

–El gobierno local no ha aclarado la existencia de ese rescate.

–Yo no he visto ningún ataque de “ransomware” en el que no se haya pedido un rescate. Que no hay que pagarlo, obviamente. Nunca. Porque pagarlo no garantiza que te vayan a devolver los datos, porque si pagas y ven que cedes pueden incrementar la cuantía y porque, bueno, es que si lo haces estás financiando a ciberdelincuentes. Pero pedir se pide, es como esta gente que se lucra haciendo esto. Hasta donde sabemos, el Ayuntamiento ha hecho lo correcto: avisar y denunciar. No parece que esté aún muy claro cuál ha sido el alcance.

–En su denuncia pone que afecta a toda la infraestructura municipal, incluyendo organismos autónomos y empresas municipales.

–Realmente es un problemón porque les ha obligado a dejar de dar servicio a los ciudadanos. Telefónica tendrá que aclarar ahora qué ha pasado.

–¿Qué tipo de trámites va a tener que hacer?

–Lo primero que se habrá hecho será intentar contener y aislar la infección. Ahora, la toma de decisiones tiene que ser bastante rápida. Una de las cosas que solemos hacer en estos casos es clonar los discos duros para poder analizarlos de forma aislada y empezar a recoger muestras de los ficheros cifrados y del propio “ransomware”, si lo logran identificar. También los mensajes que indicaban que el Ayuntamiento había sido infectado. También hay que aclarar si ha quedado algún servidor sin infectarse, porque eso hará que sea más fácil identificar el origen. Sería interesante saber si el Ayuntamiento ya tenía externalizado a entidades como la propia Telefónica la monitorización y los registros. Porque esos registros en general se sobrescriben sobre sí mismos en dos o tres días. Pero Telefónica sabe bien lo que hace y tienen capacidad para actuar rápido. Si el ataque realmente ha sido generalizado, eso sí, están trabajando ahora con una cantidad de información ingente.

–¿Cuál pudo ser el origen? ¿Algún link malicioso?

–Es habitual, sí. Eso se llama “phishing” y pudo haber picado cualquier empleado municipal que haya hecho clic en algo que debería haber ignorado o que han conseguido que meta sus contraseñas en un portal falso. Esto está cada vez más sofisticado. Te pueden llegar correos de direcciones casi exactas a las que suelen enviarte cosas. Yo ahora estoy gestionando un caso en el que la persona afectada hizo clic en un link enviado por una cuenta que solo cambiaba en una “s” de más a la original con la que ella solía trabajar. Y no son solo enlaces, los “malware” también aparecen en ficheros. Si abres un documento de texto o un PDF de una factura con la que no contabas, solo con abrirlo puedes infectar tu ordenador y todo a lo que él esté conectado. Por eso los que nos dedicamos a esto insistimos en que empresas e instituciones tengan buena seguridad en red, segmentarla para que si una parte se infecta no se extienda.

–Otros expertos explicaban estos días que podría ser factible dar con el origen de la infección, pero no tanto con el responsable.

–Así es. La detención de los responsables es siempre muy complicada. Puedes llegar a identificar que el ataque surgió desde Alemania, por ejemplo, pero que los ciberdelincuentes estén asentados en realidad en otro país y hayan usado una IP alemana para despistarte. Detrás de este tipo de ataques no suele estar un chaval en su casa, esto suele responder a bandas organizadas que lanzan todo tipo de ataques constantemente y esperan a ver quién pica. Yo veo muchos casos que apuntan a bandas de la Europa del Este y de China. Y es muy difícil dar con ellos. Otra cosa posible es que, si se logra identificar el “ransomware” utilizado, se trate de uno que ya tiene solución y el susto acabe siendo mucho menor de lo que pensamos.

–¿Algunos de estos virus tienen “cura”?

–¡Sí! Y teniendo a Telefónica y el Centro Criptológico Nacional implicados, lo sabrán llegado el caso.

–El gobierno local asegura que se realizaban copias de seguridad cada ocho horas.

–Eso está bien, porque recuperar esa información ya permite recuperar los servicios. Es importante, eso sí, que esas copias estén aisladas. Si estaban conectadas al mismo servidor que el resto de lo que se ha infectado, nos quedamos sin nada. Esperamos que ese no haya sido el caso. Si no tiene “cura”, se recurre a las copias de seguridad que estén a salvo.

–¿Se puede dar una estimación temporal de cuándo podrá resolverse?

–Va a depender mucho porque no se han aclarado las medidas preventivas que se tenían antes de que esto pasase. Pero que Telefónica esté dedicada de pleno a esto me hace creer que los servicios más críticos podrán recuperarse pronto. La solución total del problema seguramente tarde meses, pero eso ya no lo notará tanto la ciudadanía. Estas investigaciones suelen ser complejísimas.

–¿Es esperable que se filtren datos sustraídos?

–Es importante que los gijoneses estén pendientes, sí. Se han podido sustraer correos electrónicos, teléfonos, cualquier cosa. Y todos esos datos facilitan a los ciberdelincuentes tener nuevas vías para hacer “phishing”, para mandar enlaces con virus. Es importante que la gente esté alerta, que no se fíe de correos, mensajes ni llamadas con las que no contaban.

–La Alcaldesa explicaba que los ataques a instituciones públicas son cada vez más habituales.

–Sí, incluso a hospitales. En realidad, es lógico. El objetivo de estos cibercriminales son las infraestructuras clínicas: los hospitales, las instituciones públicas, la red eléctrica. ¿Por qué? Porque atacar una estructura que se considera crítica hace que sea mucho más probable que los atacados paguen por el rescate.

–¿Qué lección deberíamos extraer de esto?

–Este ciberataque debería ayudarnos a repensar que, en general, la ciberseguridad en empresas y administraciones es algo que se acaba dejando para el final. Es comprensible, hacer bien las cosas en esta materia tiene un coste muy elevado y muchos no ven que realmente no invertir en esto pueda suponer un riesgo. Pero a la vista está que sí, que pasa. El ciberataque a Gijón puede servir como una llamada de atención general.