La directora del Centro de Seguridad TIC de la Comunitat Valenciana (Csirt-CV), Lourdes Herrero, reconoció ayer que ciberataques de «hackers» como los sufridos por los ayuntamientos de Carcaixent y Cheste son «cada vez más frecuentes» y que «cualquier» institución se puede encontrar con una situación así -«le puede pasar a cualquiera», dijo-, pero como responsable del centro autonómico que vela por mitigar los incidentes de seguridad en sistemas de información señaló que «nunca recomendamos pagar el rescate porque además de alimentar un negocio fraudulento nadie garantiza que se devuelvan las claves para descifrar y desbloquear los datos secuestrados».
El Csirt-CV colabora estrechamente con la Guardia Civil para tratar de averiguar cómo se han producido estos ciberataques y busca pistas, «evidencias» en el argot, que conduzcan hasta los culpables del secuestro de datos informáticos de los consistorios por los que piden un rescate en la moneda de Internet, los bitcoins, mucho más difícil de rastrear.
Este departamento funciona como una respuesta a los incidentes de seguridad informática de la C. Valenciana. Depende de la Conselleria de Hacienda y Modelo Económico y presta sus servicios a la propia Generalitat y a todo tipo de organismos. En el caso de Carcaixent y Cheste, es la Guardia Civil quien requiere de su colaboración para esclarecer los hechos, que están a la orden del día.
Lourdes Herrero descarta que el origen de la proliferación de estos ataques se deba únicamente a la extensión del teletrabajo que ha propiciado la pandemia del coronavirus, pero señala que, desde luego, es una puerta de acceso más fácil de traspasar ya que los ordenadores personales de los trabajadores no siempre están preparados con sistemas de seguridad para hacer frente a este tipo de fraudes.
Hay una parte de responsabilidad en los organismos para los que trabajan, como en este caso los ayuntamientos, de no preparar «escenarios seguros», como lo define la especialista. Deben tener instalados antivirus, cortafuegos y, sobre todo, que los trabajadores estén formados. «La lista de recomendaciones técnicas es muy extensa, pero hay que concienciar a las personas que son parte de cualquier institución de que cada uno tiene su parte de responsabilidad en la seguridad», indicó.
Tanto en el caso de Carcaixent como el de Cheste, todo apunta a que el origen del secuestro de datos estuvo en un correo electrónico que los trabajadores recibieron y abrieron. En el caso de Cheste, se utilizó el antiguo correo de un trabajador para dar confianza a los receptores, ya que conocían el remitente pese a que ya no estaba activo. Al pulsar sobre el enlace que se les enviaba, el virus, un «ransomware», se expandió por todos los ordenadores activos. Herrero recuerda que un ataque cibernético no solo se frena con tecnología, si no también con el conocimiento de las personas usuarias: «Se hackea a las personas, no al sistema».
Los ciberatacantes -que puede ser un único usuario o una banda organizada – no persiguen los datos propiamente dichos. «No quieren saber cuánto paga un vecino por la tasa de basuras», bromea Herrero para ilustrar el objetivo del ataque. Lo único que quieren es el rescate que se pide para desbloquear todos los datos secuestrados sin los que el ayuntamiento no puede funcionar.
Por eso es de vital importancia que la Administración tenga un buen software capaz de detectar y actuar ante un fraude. En el caso de Carcaixent, el sistema realiza una copia de seguridad cada tres horas. Cuando se bloquearon los ordenadores -y tras varias horas de intenso trabajo – se pudo instalar una copia de seguridad realizada unas pocas horas antes. La información estaba prácticamente actualizada y no hubo que lamentar la pérdida de datos. En el Ayuntamiento de Cheste, hace exactamente un año se cambió todo el sistema informático y ahora hacen una triple copia de seguridad, lo que les salvó del desastre.
Una vez el consistorio denuncia al departamento de delitos telemáticos de la Guardia Civil, el Csirt se encarga de hacer el análisis forense con las pistas digitales que haya sobre el lugar de los hechos.
«No solo se trata de recuperar los datos, si no de recabar pistas para perseguir el delito», explica Herrero. Y concluye: «Es mucho más fácil prevenir un delito de este tipo que perseguirlo después».
El "hacker" de Carcaixent pedía más dinero por cada día que pasara
Los ciberatacantes conocen bien la víctima a la que atacan. Según explica la directora del Csirt, Lourdes Herrero, el «hacker» suele conocer a su víctima. En ocasiones hay un trabajo previo al ataque donde los piratas informáticos recaban información del funcionamiento de su víctima.
Así, a la hora de pedir un rescate, suelen ser en consonancia a lo que pueden pagar porque lo que el delincuente busca es que su ataque prolifere y reciba el dinero. En el caso de Carcaixent, el «hacker» condicionaba el importe del rescate a la demora con que el ayuntamiento hiciera efectivo el pago. Cuanto más tarde se pagara, más caro le saldría, según fuentes conocedoras de los hechos.
En otras ocasiones, el ataque se produce simplemente con un envío «indiscriminado» de correos en el que el pirata informático busca aprovechar cualquier puerta vulnerable para acceder a un sistema y ver «quién está dispuesto a pagar».
El origen de estos delitos es dispar. Por un lado, localizar la IP puede ser relativamente fácil pero eso no implica que el autor esté donde está ubicado el ordenador. Normalmente, el dispositivo se encuentra en Rusia, China, EE UU, Reino Unido o Países Bajos.
Según explica Herrero, en esos países se concentra una gran densidad de «hostings», es decir, almacenes de contenidos web. Dónde se encuentra la persona que ejecuta el ataque es más complicado de saber y será la Guardia Civil quién trate de localizarle a través de su departamento de delitos informáticos.
