Un ataque informático colapsa el sistema del Concello de Cangas y los 'hackers' exigen rescate

El CNI y la Guardia Civil investigan un ataque informático contra el Ayuntamiento de Cangas do Morrazo (Pontevedra) que colapsó prácticamente todo su sistema, protagonizado probablemente por una banda criminal internacional que pidió un rescate para desbloquearlo y que, entre otras cosas, ha impedido que los trabajadores percibiesen sus nóminas de mayo.

"Tenemos aquí una empresa externa, están trabajando en ello y creemos que hoy podremos pagar las nóminas", ha dicho a EFE este jueves la alcaldesa de Cangas en funciones, Victoria Portas, de Alternativa dos Veciños.

El ataque se produjo el pasado día 18 de mayo e inmediatamente el Ayuntamiento de Cangas se puso en contacto con el CNI y la Guardia Civil, como estipula el protocolo que han de hacer las administraciones públicas en casos como este.

De repente, prácticamente todo el sistema dejó de funcionar; no sólo el programa para gestionar las nóminas, sino también el software de tesorería, lo que ha impedido durante estas dos últimas semanas que el Ayuntamiento pagase ningún tipo de factura, o el sistema que utiliza intervención, que se quedó sin poder trabajar desde entonces.

"Está afectado todo el Concello menos los archivos, que están en la web. Ha generado problemas en la parte tributaria, en la contabilidad, en las nóminas, todo encriptado", relata la regidora.

Hasta ahora, los técnicos que trabajan en la eliminación de este virus informático han conseguido recuperar el 70 por ciento de la información, entre otras cosas porque el ataque informático no afectó a todos los ordenadores por igual.

El de la alcaldesa, por ejemplo, ni siquiera encendía, en otros aparecía un mensaje en inglés instando a sus usuarios a pinchar en un enlace en el que, supuestamente, encontrarían información sobre la cantidad a pagar y la forma de hacerlo para conseguir desencriptar el sistema.

Nadie ha pinchado en ese enlace: "El CNI ya nos advirtió que no pinchásemos, somos una Administración pública, no una empresa, y como tal no podemos hacerlo", ha explicado Portas.

R, víctima de un ciberataque que ha provocado el robo de datos confidenciales de sus clientes

De momento, los técnicos, tras muchos días de trabajo, han conseguido ir instalando cortafuegos e ir recuperando poco a poco información, aunque de momento se desconoce cuánta se acabará finalmente perdiendo.

El Ayuntamiento de Cangas ha interpuesto denuncias ante el CNI, la Guardia Civil y Protección de Datos, pero de momento se desconoce quién o qué organización está detrás de este ataque informático que ha afectado a miles de archivos y copias de seguridad.

A finales de abril, otro ciberataque paralizó la actividad administrativa en el Ayuntamiento de Carballo (A Coruña).

AFECTADAS LA CONTABILIDAD, LA GESTIÓN TRIBUTARIA Y LAS NÓMINAS

El ciberataque al Concello de Cangas afecta a las nóminas de los trabajadores y a toda la gestión tributaria, paralizando prácticamente todos los programa externos. El ataque lo protagoniza Lockbit y exige a cambio de liberar todos los datos que fueron robados y encriptados una determinada cantidad en bitcoins, que el Concello no va a pagar. Amenazan con vender los datos para que puedan ser utilizados en una página Tor (web oscura). En estos momentos, la administración municipal trabaja con el Centro Nacional de Inteligencia (CNI) para liberar los datos, una labor que puede durar meses. Según un primer informe, el ciberataque pudo producirse por una VPN que facilita el teletrabajo, a pesar de que en esos ordenadores donde trabajan los funcionarios desde sus casas se instalan antivirus.

El ciberataque se produjo a la 01.30 horas del viernes 19 de mayo. Fue detectado en las dependencias de la Policía Local de Cangas. Los agentes tenían un detenido y querían saber datos sobre el mismo. Cuando se intentaban abrir, las máquinas no respondían y daba error.

La Policía Local llamó al encargado municipal que se ocupa de estas gestiones de informática y a las 07.00 horas estos profesionales que trabajan para el Concello comenzaron a trabajar para hacer frente al ciberataque. A día de hoy, el problema no está resuelto todavía. Los servidores de dominio están desconectados, confirman desde el Concello de Cangas, y no funcionan los programa externos, como el de contabilidad, gestión tributaria y elaboración de nóminas. No obstante, el 80% del trabajo que se realiza en el Concello se lleva a cabo a través del programa Gestiona, desde lo que entra por registro de entrada al trabajo en secretaría y en el departamento de Urbanismo.

Como es natural, desde el ayuntamiento no se pusieron en contacto con los responsables del ciberataque y se sigue colaborando estrechamente con el CNI para recuperar las claves y desencriptar los datos. No hace mucho, un ataque parecido se llevó a cabo en el Servicio Estatal del Empleo (SEPE) y también en el Concello de Carballo. Acostumbran a atacar con más frecuencia a empresas de telefonía, para después vender datos a otras empresas del sector.

Lockbit es un nuevo ataque de ransomware en una larga línea de ciberataques de extorsión. Con el tiempo se convirtió en una amenaza única en el campo de estas herramientas de extorsión. Lokbit, según distintos expertos, es una subclase de ransomware conocido como “virus de cifrado”, que exige como rescate el pago de dinero a cambio de descifrar archivos. Se centra más en las empresa y organizaciones gubernamentales y no tanto en los particulares. Entre sus objetivos estuvieron organizaciones de Estados Unidas, China, India, Indonesia y Ucrania. Además, varios países europeos, como Alemania, Francia o Inglaterra. Más avanzado y con demanda de mayores rescates. Los cibercriminales modernos emplean técnicas refinadas para sortear los mecanismos de detección tradicionales del ransomware y se vale de los procesos habituales para infiltrarse en los sistemas. Así se desplazan por la red buscando robar y cifrar datos. Cuando obtienen lo que buscan, amenazan con comercializar o filtrar los datos sustraídos o la información de acceso si no se satisface el rescate.

FUERTE INVERSIÓN EN SEGURIDAD EN EL FUTURO

Aunque los concellos son reacciones a invertir en seguridad informática, cada vez son más los que consideran que está bien gastado este dinero. En este sentido, se anunció que Cangas tendría que multiplicar la seguridad para garantizar que los programas que maneja el Concello y, con ellos, los datos de los contribuyentes están a salvo. Los ciberataques a la Xunta baten récord y rondan los 60 millones en un año, que los intentos de robar datos o bloquear información de la administración crecían un 50% en 2022 y aceleran su ritmo 2023. El auge de estos ciberataques es intenso en las administraciones publicas como la Xunta. Algunos buscan secuestrar datos, pero otros tratan de conseguir información económica o suplantar a la propia administración y estafar a empresas. De hecho, en la propia plataforma de contratos públicas de la Xunta avisan del envió, por parte de cibercriminales de correos haciéndose pasar por ella y pidiendo el ingreso de fianzas de contratos en una cuenta del extranjero.

En el caso del Concello de Cangas, será el próximo gobierno local que salga de las urnas quien tenga que esforzarse en la seguridad informática, con una fuerte inversión, según los expertos, que sea capaz de detectar los ciberataques, que están convencidos que se repetirán. La seguridad actual no vale para luchar contra los ciberdelincuentes, se necesitan nuevos programas y también más personal cualificado. Es cierto que la CNI, ante estos ataques, también activa unos determinados protocolos.