El Ayuntamiento de Carcaixent no ha sido la única víctima de un cibersecuestro. Fue la primera en dar la voz de alarma y tras su caso, otros dos organismos han reconocido haber sido objeto de un atraco virtual. Cheste y PortCastelló han vivido dos experiencias similares en las últimas semanas, aunque en la entidad portuaria el ataque se produjo a través de WhatsApp.

En Cheste, fuentes municipales explicaron ayer que hace 15 días sufrieron un ataque que dejó «ko» al ayuntamiento. Ahora se aventuran a decir que todo ha vuelto a la normalidad y los sistemas han sido recuperados gracias a la triple copia de seguridad con la que se trabaja en el ayuntamiento, pero la principal consecuencia y la más visible fue el retraso del pago a proveedores durante más de una semana.

¿Cómo se cibersecuestra un ayuntamiento? Con una fórmula parecida a la del Ayuntamiento de Carcaixent. Allí, la simple apertura de un correo electrónico fue la puerta de entrada para los ladrones. En Cheste, los piratas utilizaron una dirección de correo electrónico de un antiguo trabajador del ayuntamiento para hacerse pasar por él y generar confianza en el receptor. Así, una persona abrió el correo y pulsó sobre el enlace al que se invitaba a visitar. Ese «click» fue la entrada de un virus que barrió de arriba a abajo el sistema del ayuntamiento.

«Se ha perdido mucha información, aunque no los datos más importantes. Los diez ordenadores que pulsaron en el enlace del correo han quedado anulados», explicaron ayer en el ayuntamiento. En este caso los piratas no pidieron un rescate para devolver a su estado original el sistema operativo municipal. No ha hecho falta, ya que en noviembre de 2019 el ayuntamiento cambió entero todo el servidor, por lo que la seguridad y los cortafuegos eran nuevos y están actualizados.

En el consistorio de Cheste buena parte de la plantilla sigue teletrabajando, por lo que la alerta no fue tan efectiva como si hubiera sucedido con el total de la plantilla en sus instalaciones. El equipo informático municipal ha tenido que solicitar ayuda a una empresa extranjera especializada en este tipo de acciones para devolver a la normalidad la actividad del ayuntamiento. Consiguieron desbloquear los departamentos más importantes como Contabilidad o Tesorería, pero eso no evitó que se haya retrasado una semana el pago a proveedores, la única consecuencia apreciable para los ciudadanos que el secuestro ha tenido.

Tras este hecho, el consistorio asegura que se va a formar al personal para evitar más ciberataques y se van a reforzar los cortafuegos del sistema operativo. Ahora es la Guardia Civil a través de su unidad especializada en delitos informáticos quien toma las riendas de la investigación para aclarar los hechos.

Por su lado, el hackeo de al menos dos móviles de trabajadores de PortCastelló el sábado ha provocado que la Autoridad Portuaria haya puesto los hechos en conocimiento del Centro Nacional de Inteligencia (CNI), aunque el ataque no ha afectado al sistema operativo del recinto.

El hackeo se produjo a través de WhatsApp y uno de los afectados fue el expresidente de PortCastelló y ahora presidente de Puertos del Estado, Francisco Toledo.

El recinto es considerado una infraestructura crítica por estar al lado de una refinería por lo que el Centro Criptológico Nacional Computer Emergency Response Team, dependiente del CNI, se ha hecho cargo de la investigación. Se trata del organismo encargado de contribuir a la ciberseguridad de la Administración Pública, los organismos públicos y las empresas estratégicas.

La investigación apunta a un correo como origen del ataque en Carcaixent

Un correo electrónico recibido por algún usuario de la red informática del Ayuntamiento de Carcaixent abrió la puerta al «hacker» que el lunes por la tarde secuestró gran parte de la información municipal y exigió un rescate en bitcoins para liberarla.

Es la principal hipótesis que barajan los investigadores como origen del ataque que el martes paralizó la actividad en el consistorio al bloquear también los ordenadores, si bien el departamento de informática pudo restaurar todo el sistema en pocas horas sin tener que hacer efectivo ningún rescate que, por otra parte, el ayuntamiento «no se llegó a plantear en ningún momento», según subrayó ayer el alcalde Paco Salom.

El pirata, al parecer, no concretó la cantidad de dinero que exigía, pero sí facilitó varias direcciones de correo de contacto, entre ellas una con la extensión «Ch» que corresponde a Suiza.

Salom detalló que los técnicos están revisando los protocolos de seguridad para analizar cuál ha sido el punto débil y tratar de determinar «qué, cómo y por dónde ha entrado», aunque admitió que las primeras sospechas apuntan a que el ataque se produjo a través de un correo electrónico que llegó al ayuntamiento «con apariencia de normalidad o que alguien abrió sin la precaución necesaria».

En cualquier caso, Salom destacó que el incidente había demostrado que el protocolo actual «funciona correctamente ya que las copias de seguridad se han podido restablecer de forma rápida y segura, lo que permitió que el ayuntamiento recuperara la normalidad en menos de 24 horas».

El sistema informático del ayuntamiento realiza a diario tres copias de seguridad de la información, lo que permite disponer siempre de un registro actualizado y, por otra parte, según detalló el jefe del departamento, Ferran Ros, cuenta con tres alojamientos diferentes para garantizar la conservación de esa información incluso en caso de catástrofe. Uno de ellos se encuentra fuera de la casa consistorial y un tercero se ubica en la nube.

Ros admitió que las consecuencias del ataque podían haber sido más graves, aunque el departamento de informática únicamente había tenido que recurrir al primer escalón del sistema de seguridad para restaurar la información secuestrada.

«Cuando te proteges, lo haces de los ataques que llegan de fuera y de los que se producen dentro, pero cuando está dentro eres más vulnerable. Los usuarios, en muchas ocasiones, no son conscientes de lo que puede llegar a provocar un click dentro de una organización», comentó Ros sobre la apertura de correos de origen desconocido que anuncian premios, regalos,..., y que pueden estar en el origen de un ataque.

El técnico comentó que, normalmente, el pirata desconoce dónde ha entrado tras un envío de correos masivo. Por otra parte, indicó que, en ocasiones, desde la recepción del mensaje hasta que éste se manifiesta suelen pasar unos días en los que permanece «latente». La Guardia Civil investiga el ataque y también el Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT) ha ofrecido su apoyo al consistorio.