El ciberataque desde una dirección rusa obliga al Ayuntamiento de Gijón a revisar todos sus equipos

'Hive' ('colmena', en inglés) es el responsable de que desde hace una semana el Ayuntamiento funcione bajo mínimos, sin posibilidad de encender ni un solo ordenador. Pagos a proveedores, tramitación de expedientes, presentación de licencias... Todo se ha visto comprometido por un ataque informático cuya procedencia, según las primeras hipótesis, apunta a una dirección de Europa del Este, «probablemente rusa», si bien el uso común en este tipo de acciones de herramientas como las VPN (que encriptan los datos del usuario) podría suponer que este emplazamiento no sea más que una máscara. Lo que ya sí tienen claro los investigadores, tras el análisis del rastro que los ciberdelincuentes dejaron de su paso por la red municipal, es que el 'ransomware' utilizado es el mismo que desde mediados del año pasado se ha convertido en un auténtico quebradero de cabeza para cientos de empresas y administraciones de todo el mundo, muchas de estas últimas relacionadas con el sector sanitario. Su último gran 'golpe', a finales de marzo, estuvo dirigido contra Partnership HealthPlan of California, una entidad que presta servicio a más de 600.000 usuarios del sistema médico del estado de California.

Según un informe publicado en diciembre por el Centro Criptológico Nacional, los grupos que trabajan con 'hive' «se caracterizan por llevar a cabo ataques de forma indiscriminada contra todo tipo de industrias y sectores» y suelen acceder a los sistemas de las organizaciones gracias a archivos maliciosos adjuntos a envíos de correo electrónico. Una vez dentro, extraen datos que cifran y que posteriormente utilizan para presionar «mediante la cada vez más común doble extorsión». Por un lado, reclaman un pago a cambio del 'software' necesario para desencriptar la información sustraída. Y, por otro, como medida de presión adicional, dan a sus víctimas un plazo máximo para realizar ese desembolso, bajo amenaza de publicar si no en la denominada 'red oscura' los datos a los que tuvieron acceso durante su ataque.

En el caso de Gijón, según ha podido saber EL COMERCIO, se ha seguido el mismo 'modus operandi', si bien desde el Ayuntamiento se aboga por la discreción ante unos hechos que están siendo investigados por el Centro Criptológico Nacional. «No alentaremos de ninguna manera el cibercrimen», se limitaron a señalar la semana pasada desde el gobierno municipal. No obstante, en lo que respecta a la información que se haya podido ver comprometida durante el ataque la preocupación es relativa. El SAC, sistema de contabilidad y gestión del Ayuntamiento y las empresas municipales «está a salvo» y también se mantienen íntegras las bases de datos más sensibles, que contienen datos sobre ciudadanos y empresas que mantienen relaciones con la administración local.

Tras haber centrado el tiro durante toda esta semana en la «contención» del virus y el «análisis forense», para esclarecer con el apoyo de expertos en ciberdelincuencia de Telefónica tanto la vía de entrada de los ciberdelincuentes como el momento de entrada y los posibles daños causados en los sistemas, el Ayuntamiento anunció ayer que ya ha iniciado la «fase de recuperación». Una tarea que, según remarcó el Consistorio, será «progresiva, controlada y escalonada, tanto en lo que se refiere a los servicios como a los usuarios».

Y es que, tras un ataque de la envergadura del sufrido el pasado martes, es necesario que cualquier paso adelante se dé previa «generación de entornos seguros». Es decir, que en todo momento hay que tener garantías de que no se está conectando a la red un programa, equipo o sistema que pueda estar corrupto. «Siguiendo las premisas del Centro Criptológico Nacional, debemos garantizar que los servicios se recuperan con las máximas garantías de seguridad».

Para lograrlo, es necesario un exhaustivo trabajo de análisis de una información que supera los 30 millones de documentos. Se escanearán los discos duros de todos los ordenadores de mesa y portátiles y se pondrá un especial cuidado en asegurar que las copias de seguridad que se utilizarán para restablecer los sistemas no estén corruptas, aunque ello conlleve recurrir a las de días atrás con la posible pérdida de documentación como la que hubiera podido ser presentada por registro sin soporte documental.

La previsión es que hoy mismo se pueda empezar a restaurar la ofimática -sistemas operativos y escritorios de los ordenadores- y en los próximos dos o tres días se intentará recuperar en la medida de lo posible la maquinaria administrativa, pero poniendo especial cuidado en todo lo referente a la relación con el exterior del entramado municipal. «Se establecerá un orden de prioridad atendiendo a razones de negocio», apuntan desde el Consistorio.

Mientras esto ocurra, buena parte de la plantilla municipal sigue «esperando instrucciones» sobre posibles tareas a desarrollar ante la imposibilidad de realizar las que dependen de manera absoluta de la informática. Responsables de CC OO en el Ayuntamiento han solicitado una reunión con la Concejalía de Hacienda y la Dirección General de Servicios para conocer qué medidas se prevén adoptar en este sentido. Remarcan en cualquier caso que en servicios como la Policía Local, Obras Públicas, Parques y Jardines, inspección de Urbanismo o las escuelas infantiles se sigue trabajando, aunque sea con las dificultades derivadas de esta situación

Temas

• Ayuntamiento de Gijón
• Ciberataque