Roberto Lara es el director del Centro de Operaciones de Seguridad de BeDisruptive, una empresa tecnológica especializada en ciberseguridad, que cuenta con el nivel Gold de la Red Nacional de SOC (RNS) del Centro Criptológico Nacional (CCN). Lara es experto en ciberseguridad, con 17 años de experiencia, por lo que ha visto muchos ataques como el que acaba de sufrir el Ayuntamiento de Calvià, dentro y fuera de España.
Hablamos con él sobre el ciberataque tipo 'ransonware' que el grupo LockBit ha perpetrado en el sistema informático del Ayuntamiento de Calvià.
Lo primero de todo es conocer qué es un ataque 'ransonware'. Roberto explica que se trata de un secuestro de la información de una entidad para luego extorsionarla si quiere que le sean devueltos los datos.
"Los ciberdelincuentes meten un ransomware que es un tipo de malware que se introduce por falta de seguridad. Este virus se expande y cifra los datos, pero la clave de descifrado sólo la tiene el grupo criminal. Si tú quieres recuperar tu información, que es muy valiosa para ti, pues te exigen una determinada cantidad de dinero, normalmente en criptomonedas, en este caso parece ser que 10 millones de euros".
Ahora bien, hay varios tipos de extorsiones. "Como los datos te los han robado previamente, luego juegan con ellos. O no te dan la clave real de descifrado, o sí que te la dan, porque tú pagas, pero, aun así, a pesar de eso, cogen esa información que han robado, como le pasó al Hospital Clínic de Barcelona, y la cuelgan en la Deep Web. Te puedes encontrar informes clínicos que los venden a 1.000 dólares en la Dark Web. De este modo, venden la información en sí, que es lo habitual, y además de eso, te extorsionan para devolverte esa información que te han cifrado y que te puede paralizar la actividad total de tu compañía, en este caso de un ayuntamiento".
"Es más que probable que el 80 o el 90 por ciento de los equipos y servidores del Ayuntamiento de Calvià tenga la información secuestrada"
Roberto estima que "es más que probable que el 80 o el 90 por ciento de los equipos y servidores del Ayuntamiento de Calvià tenga la información secuestrada”. Y asegura con contundencia: "Quienes están en poder del control de la información de los sistemas, los que hayan sido atacados, es LockBit, no es el Ayuntamiento. El Ayuntamiento tiene acceso a esa información, pero ya no pueden visualizarla, porque está cifrada".
¿Qué solución tiene esta crisis?
"La única solución es que tengan sistemas duplicados y copias de seguridad. Es un principio básico de ciberseguridad. Existe la posibilidad de llegar a un acuerdo con un grupo criminal, pero no es lo más aconsejable. He visto ocasiones donde se ha llegado a negociar con grupos donde el intercambio se ha realizado dando notoriedad o publicidad al ataque, sin darles el dinero y nos han facilitado la clave de cifrado. Aunque en este caso, estando LockBit detrás, dudo que esa negociación se lleve a cabo porque quieren dinero", opina Lara.
"La única solución es que tengan sistemas duplicados y copias de seguridad"
Así, según este experto, la solución pasa por la prevención: "Ya no es que te protejas a nivel de ciberseguridad y tengas tu perímetro controlado, tus medidas de seguridad con un antivirus moderno, todas tus actualizaciones bien controladas para que esto no suceda. Además de eso, la recomendación básica es que tengas una copia de seguridad de toda tu información. Si tú no te preocupas de tener una seguridad básica y protegerte de un ataque ransom, dudo que te gastes el dinero en hacer copias de seguridad de todo".
"Yo soy el director del Centro de Operaciones de Seguridad. Mi servicio principal es la monitorización, un servicio de detección y respuesta. Monitorizamos todas las empresas privadas y públicas que tienen contrato con nosotros para vigilar su seguridad. Con una serie de alertas que hacemos con ciertas herramientas tecnológicas de seguridad, lo que hacemos es monitorizar todos sus sistemas y si salta una alerta de un intento de ataque, investigamos con analistas especializados si ese ataque es real o no es real. Eso es nuestro día a día", explica Roberto Lara.
¿Es casualidad que esto se haya producido un sábado?
"No es casualidad, pero si hubiera gente, hubiera dado igual, porque es posible que el Ayuntamiento de Calvià no tenga un servicio de monitorización y gestión de la seguridad como el que podemos ofrecer nosotros en nuestra compañía", explica Lara.
LockBit, una cooperativa de cibercriminales
Roberto explica que LockBit "es un grupo de ciberdelincuentes de origen ruso, cuya principal motivación casi siempre suele ser económica. Este grupo tiene una forma de trabajo un poco peculiar porque trabaja con afiliados. Imagina que tú eres un delincuente que está fuera del grupo criminal y dices que eres muy bueno. Entonces te hacen una serie de pruebas, donde además tienes que ir recomendado por alguien que ya forma parte del grupo. Además, tienen una forma de pagos donde LockBit te ponen los medios y ellos se llevan un 20 por ciento del dinero que tú consigas y tú te quedas el 80 por ciento. No es un grupo cerrado, sino que es un grupo que poco a poco va creciendo. De hecho, a finales del 2022, salió un estudio del CCN, del Centro Criptológico Nacional, donde decía que uno de cada tres ataques de ‘ransomware’ en el mundo es de LockBit. Estoy seguro de para este 2024, dos de cada tres incidentes o casi los tres, más que probable, el 70 o el 90 por ciento de los incidentes de ransomware, son suyos. Se han especializado mucho en este tipo de ataques".
¿El pago es una opción?
Roberto Lara es muy claro al respecto: "La recomendación es que no se pague. No dejan de ser delincuentes. Es como un secuestro de una persona, no sabes lo que te va a dar. Lo mismo te va a dar los datos, que lo mismo no te los da, pero la recomendación es que no se pague. Se crearía un precedente y hablamos de 10 millones de euros, nada menos".
"La recomendación es que no se pague. No dejan de ser delincuentes"
¿Cómo ha podido suceder algo así?
"Si tú no inviertes en ciberseguridad, obviamente te pasan estas cosas", advierte Lara. Y añade; "Si tú haces los deberes, la posibilidad de que tengas algún ciberataque es muy baja. Lo mismo te llega un ayuntamiento de 5.000 habitantes y han hecho los deberes a nivel de ciberseguridad y tienen todos sus equipos protegidos con un EDR, un antivirus de nueva generación. Todo el sistema informático está actualizado y eliminando todas esas vulnerabilidades que pueden ir surgiendo. Pero luego tú te vas a alguna Administración pública y te encuentras, ya no Windows XP, pero te puedes encontrar un sistema operativo que esté más que obsoleto desde hace muchos años. Esos son agujeros de seguridad. Si tú has hecho los deberes, es muy difícil que te entren", detalla.
"Si tú no inviertes en ciberseguridad, obviamente te pasan estas cosas"
¿Hay algún sistema 100 por 100 seguro?
"Nosotros tenemos servicios anti ransomware específicos para ofrecer a nuestros clientes. Esto lo basamos en conocimiento y en una serie de metodologías. Tú utilizas diversas metodologías tecnológicas y a nivel de experiencia. Para evitar un ransomware, además de tener, por ejemplo, los equipos actualizados, hay que tener todo el parque de equipación tecnológica informática actualizada y contar con herramientas de ciberseguridad. Y además, hay una metodología que es no confiar en los propios usuarios. Ir mejorando la seguridad, por ejemplo, con doble factor de autenticación. Que te lleve a un número de móvil o de forma biométrica, que este señor que se está conectando tiene un doble factor de autenticación y es quien dice ser. Y además de eso, tener contratado un sistema de detección y respuesta a un sistema de monitorización con una empresa, lo que te permite enterarte previamente de estos sucesos", explica Roberto. En esto, como en todo, es siempre mejor prevenir que curar.
¿Se puede evitar un ataque ransomware?
"Nosotros detectamos previamente que pueda haber estos indicios. ¿Por qué? Si yo tengo monitorizada una empresa o un ayuntamiento, yo me entero que hace un mes y medio o dos meses que nos han entrado, porque esto no ha sido de un día para otro. Seguramente LockBit lleva dos o tres meses trabajando en Calvià", sostiene Roberto.
"Esto no ha sido de un día para otro. Seguramente LockBit lleva dos o tres meses trabajando en Calvià"
"Es un ataque porque ha habido una filtración o han encontrado unas claves en la Deep Web. Estudian la situación y llegan a la conclusión de que este ayuntamiento podría ser susceptible. Se han ido preparando poco a poco, hasta que han conseguido tener cifrado todo, con el malware repartido por todo el parque", afirma con rotundidad.
"Yo he visto situaciones de no explotarlo hasta que se aprobaran los presupuestos de un ayuntamiento. Lo del hospital Clínic de Barcelona o el hospital de Bruselas, que fue más o menos en la misma época, jugaban con todos esos tiempos, y ellos actúan, claro. Yo viví un incidente en Estados Unidos, en una empresa que era española, que llevaban metidos allí muchos meses. Luego hicimos un análisis forense digital para ver cuánto tiempo llevaban y llevaban muchísimos meses. La compañía donde entonces yo trabajaba fue contratada. Empecé a desplegar herramientas, un día para otro y me fui un viernes y, cuando llegué el lunes allí, después de dos días de lanzar las herramientas, los delincuentes se dieron cuenta y empezaron a robar cuentas bancarias, a hacerse transferencias de cuentas bancarias de la gente. Llevaban muchísimos meses metidos allí. ¿Qué pasó? Que fue como el detonante, que yo fuese allí con el grupo nuestro de seguridad. Empezamos a poner orden, los delincuentes se dieron cuenta y se pusieron a robar. Ya nos han pillado, se dirían. Ellos juegan con todos esos tiempos, se tiran muchos meses trabajándolo”, explica nuestro experto.dafsdaf
La metodología es muy variada, pues a los cibercriminales no se les pasa ninguna oportunidad de hacer de las suyas: “También hay delitos telemáticos donde, por ejemplo, tú robas a alguien de banca o a una casa de apuestas y le van robando a dos euros en cada apuesta al día. Poco a poco y así no se entera nadie”.
En el caso de Calvià, existen otros riesgos adicionales, explica Roberto: “Incluso, una vez que les roban, lo normal y habitual es dejar puertas traseras y el día de mañana, vuelven a hacerlo. Te crees que ya se ha solucionado, has pagado el rescate, empiezas a meter seguridad, pero ellos se dejan algún virus en un servidor y el día de mañana, a los dos años, vuelven a actuar", alerta.
Si (
No(
![EditMaker [version]](https://www.mallorcadiario.com/imagenes/logo-cibeles-peq.gif){kind=logo}
