El ataque informático sufrido por el Ayuntamiento de Sevilla, por el que los responsables han pedido un millón de euros de rescate, y que ha obligado a un apagón digital preventivo en el Consistorio, ha sido perpetrado por Lockbit, un grupo muy conocido y peligroso en el mundo de la ciberdelincuencia y con una larga lista de damnificados. Pero, ¿quiénes son estos hackers y cómo actúan?

El grupo nació a finales del año 2019. En cuanto a su origen, el propio Ayuntamiento hispalense ha señalado que son holandeses y lo cierto es que es allí donde ellos aseguran tener su sede, aunque son muchas las dudas que hay al respecto y hay, dentro de este mundo, quienes los ubican en China, en EEUU e, incluso, en Rusia.

La banda se creó bajo el nombre inicial de ABCD ransomware. Este último término hace alusión a un software malicioso que está diseñado para, a través del cifrado, bloquear el acceso de los usuarios a los sistemas informáticos. Es precisamente el que utiliza Lockbit para chantajear a sus víctimas, a las que exige el pago de un dinero (rescate, en su traducción al inglés ransom) para proporcionarles la herramienta de descifrado, que permite recuperar la normalidad en los sistemas.

Normalmente, son los propios usuarios quienes, sin ser conscientes de ello, infectan los ordenadores al descargar y ejecutar el malware, que suele llegar a través de un correo electrónico con archivos adjuntos o enlaces.

Se diferencian así de otros ciberdelincuentes que lo que suelen hacer es acceder a los sistemas de una empresa o institución para robar datos personales, como ocurrió recientemente en el Hospital Clínic de Barcelona, donde se sustrajeron 4.000 gigabytes de datos que, tras la negativa de la Generalitat a pagar el rescate, fueron publicados en gran parte en la llamada deep (profunda) y dark (oscura) web.

Alerta sobre las extensiones para el navegador: el 12,5% pueden robar tus contraseñas en Chrome, Firefox y Safari

Damnificados

Lockbit atacó a principios de este año a un hospital infantil de Toronto (Canadá), que se quedó sin acceso a sus sistemas, lo que retrasó los diagnósticos y tratamientos de los niños enfermos. Los ciberdelincuentes pidieron disculpas y facilitaron al centro sanitario de forma gratuita la herramienta para recuperar la normalidad.

También el servicio postal de Reino Unido, Royal Mail, sufrió un ataque de esta banda, lo que obligó a paralizar sus envíos internacionales. Así como a una cadena de concesionarios de coches británica.

Precisamente a finales del pasado agosto, la Policía Nacional alertaba de una campaña de distribución de este "sofisticado" ransomware, que encripta los equipos informáticos. En este caso, los agentes de la Unidad Central de Ciberdelincuencia detectaron una oleada de correos electrónicos a empresas de arquitectura, sin descartar su ampliación a otros sectores.

La Policía aconseja en este sentido no abrir correos ni descargar archivos procedentes de remitentes desconocidos, así como tener siempre actualizado el sistema operativo y el antivirus y realizar periódicamente copias de seguridad independientes.

El Ayuntamiento de Sevilla, que ha creado un grupo de trabajo para abordar esta situación, no ha puesto aún fecha para la recuperación de los sistemas. En opinión de Luis Corrons, Security Evangelist de Avast, para volver a ser operativo el Consistorio necesita "analizar el origen del ataque para cerrar las puertas y evitar que pueda volver a suceder". Además, "deberá restaurar la información desde las copias de seguridad que tenga a su disposición. Hasta que no se lleven a cabo todos estos pasos, todos los ordenadores que estén conectados a la red estarán en peligro". 

Por su parte, el CEO de la empresa tecnológica española Pandora FMS, Sancho Lerena, explica que "el nivel de ciberseguridad que hay en España sigue siendo inferior al requerido. Hay casi un 90% de empresas que tienen alguna medida de seguridad, pero apenas el 5% utiliza todas las que recogen organismos como el Ontsi".