El experto que asesora al Ayuntamiento de Calvià, Miguel Lubián: «Los ciberataques se están incrementando, son la segunda mayor pandemia tras la covid»

Miguel Àngel Lubián es socio fundador de CIES, grupo que asesora al Ayuntamiento de Calvià, víctima hace una semana de un ciberataque, avanza que lo que sí se puede afirmar es que «nos encontramos ante ataques de oportunidad, no son ataques dirigidos contra el Ayuntamiento, aunque sí están bien estructurados»

«Buscan ponerte entre las cuerdas para que estés dispuesto a pagar por ello. Lo que nunca se contempla en la hoja de ruta es pagar»

¿Cómo se trabaja en la restauración del Ayuntamiento de Calvià tras ser blanco de un ciberataque?

Hay varios equipos que trabajan en paralelo. Los equipos que se llaman de análisis forense encontraron los ejemplares del código dañino del malware que se ejecutó y eso es lo que se analiza por unos equipos de especialistas que se llaman de ingeniería inversa con el objetivo de caracterizar la amenaza, de ver exactamente lo que hace. Esas piezas se mandan y se remiten al Centro Criptológico Nacional (CCN) con el que trabajamos de forma coordinada.

¿Cuál es el elemento clave en un proceso de investigación?

En cualquier proceso de investigación hay un elemento muy importante que es fijar cuál es el punto, el día D, que es el día que se puede restaurar de forma segura asegurado que has expulsado al enemigo, que no quede ningún artefacto, ningún tipo de puerta trasera. Este tipo de análisis está siendo posible debido precisamente a la existencia de diversas herramientas. El momento de restauración, cuando llegue, también va a ser posible porque el Ayuntamiento tiene diferentes sistemas de copia de seguridad. Esa parte está tranquila, el sistema que permite la recuperación no ha sido afectado. Cuando llegue el momento de conocer el punto adecuado de restauración, se recuperarán los sistemas con las suficientes garantías. Pero es importante determinar ese punto porque si ese punto no se determina bien puede que siga dentro, por ello, hay que analizar esta parte de manera detallada. Otra de las ideas de investigación es que hay que analizar todos los equipos que han sido afectados, que no han sido todos, para evaluar si hay algún tipo de potencial compromiso de confidencialidad. Es algo muy habitual en ese tipo de ataques de Ransomware. Hay que ver si hay tráficos anormales para mantener la hipótesis de que pueda haber salido información del Ayuntamiento. Hay que analizarlo en detalle. Es uno de los puntos de inflexión.

Ciberataque en Calvià: El Ayuntamiento espera recuperar el lunes 29 de enero el 90% de la normalidad en gestión tributaria y recaudación

Y cuando se concluye todo este análisis forense, ¿cuál es el siguiente paso?

Cuando se concluye todo este análisis forense, lo que se hace es que se le remite un informe a las Fuerzas y Cuerpos de Seguridad para facilitarles el proceso de investigación sabiendo que es un proceso complicado porque los ciberatacantes se enmascaran en una red de forma que es muy difícil de encontrarlos. Es un reto.

¿Se sabe qué tipo de ataque ha sido?

Lo que sí podemos afirmar es que nos encontramos ante ataques de oportunidad, no son ataques dirigidos, aunque sí están bien estructurados. Es decir, no es un ataque dirigido contra el Ayuntamiento de Calvià. Es un ataque de oportunidad que sufrimos y que está hecho por diferentes actores que colaboran de una manera muy coordinada para conseguir doblegar la seguridad de entidades públicas o privadas.

Es decir, ha sido Calvià en este caso como pudiera haber sido otro Ayuntamiento...

¡Exacto!

¿Cuáles son los siguientes pasos?

Tenemos una hoja de ruta del proceso de recuperación. El Ayuntamiento irá retomando la normalidad de forma progresiva en las siguientes semanas pero de forma segura. Es decir, no vale solo con restaurar, sino que hay que incrementar las medidas de seguridad. Hay que tener claro que el riesgo cero no existe. Siempre debe haber un equilibrio razonable entre el riesgo, el control y el beneficio. Ese equilibrio hay que ponerlo y luego también hacer las inversiones en función de los recursos y capacidades que tiene cada Ayuntamiento. La clave es que este equilibrio razonable intente romper la viabilidad entre todos de lo que hay detrás de todo esto que es un negocio. Detrás del ciberataque, hay un negocio y tenemos que buscar ponérselo lo suficientemente difícil para que ellos no sigan ganando negocio con este tipo de situaciones. No olvidemos que estamos ante un delito penal y que el Ayuntamiento ha sido atacado, como puedes ser atacado en tu casa un día por la noche. No hay garantías absolutas. Su puerta estaba cerrada y alguien la abrió de forma ilícita.¿No había una brecha de seguridad en el sistema operativo o en la red del Ayuntamiento? La brecha de seguridad es la consecuencia. El motivo por el cual ha sucedido es el que se está analizando ahora en detalle.

Su empresa ya ha colaborado en ciberataques de otros Ayuntamientos españoles. ¿Hay un denominador común?

El denominador común es que siempre buscan ponerte entre las cuerdas para que estés dispuesto a pagar por ello. Lo que nunca se contempla en la hoja de ruta es pagar. No se puede pagar porque es alimentarlos. Entran buscando algún tipo de vulnerabilidad, en la tecnología o en las personas, exploran tu red, se hacen fuertes («escalado de privilegios») , buscan información para posibles extorsiones, intentan borrar sus huellas y al final detonan el Ransomware, lo que hace es el cifrado de la información imposibilitando su acceso, secuestrando el dato pidiendo a cambio un rescate. Es el modus operandi, extorsionan amenazando que publiquen información. Pero bueno, insisto, todavía no hay indicios, hay que esperar un poco a que los equipos sigan investigando y analizando posibles aspectos que nos puedan poner en la hipótesis de la filtración y su dimensión.

Una vez se dan cuenta de que un Ayuntamiento, en este caso el de Calvià, ha sido víctima de un ciberataque, ¿cuál es la principal clave a la hora de responder?

La rapidez, la inmediatez y, sobre todo, trabajar en lo que uno puede trabajar que es hacia adelante. Uno se tiene que ocupar de las cosas que puede hacer y lo que las autoridades de control establecen es la diligencia debido al proceso de recuperación: saber cuál ha sido el motivo, establecer el plan de recuperación, colaborar con las autoridades de control en el proceso de investigación. Hay que comunicar esta situación ante la Agencia Española de Protección de Datos en el plazo no superior a 72 horas, y al Centro Criptológico Nacional, hacer la pertinente denuncia antes las Fuerzas de Seguridad y lo que es más importante de todo el proceso son las lecciones aprendidas. Humildad y analizar la situación para reforzarse. Hay que recordar que estos es una de las pocas cosas que puede detener absolutamente cualquier entidad pública o privada. Hay que intensificar la inversión en ciberseguridad.

¿Cuál es la clave en ciberseguridad? ¿Anticiparse?

Siempre, evidentemente pero anticiparse no siempre es posible. Hay que intentar prevenir, pero cuando llega el incidente, porque no hay absoluta prevención, hay que ser resiliente. Hay que intentar minimizar impactos y restaurarse con el menor daño posible.

¿Se están incrementando últimamente este tipo de ciberataques?

Nos encontramos ante la segunda mayor pandemia después de la Covid 19. Los ataques de Ransomware se están incrementando y la tendencia yo creo que se incrementarán porque de cada vez tenemos una superficie de exposición mayor. Al final dependemos más de la tecnología, estamos más expuestos y a cuanto mayor exposición, mayor probabilidad de que estos ataques se materialicen. Por eso todos tenemos que invertir más en ciberseguridad porque este tipo de amenazas son impactantes.

¿Qué consejo da como experto en ciberseguridad?

Invertir todo lo posible en prevención. Eso es el máximo foco sin perder nunca de vista que la prevención absoluta no existe, siempre tienes que tener tus planes de recuperación para cuando se materialice la amenaza. La clave es prepararse para un golpe que va a llegar y el día que llegue, estar lo más preparado posible para que el impacto sea el menor posible. Hay que intentar que el golpe no llegue, pero hay que saber también que el golpe a todos más o menos nos acabará llegando, como estamos viendo en diferentes entidades.

¿Y más o menos qué plazo hay de recuperación en el Ayuntamiento de Calvià?

El impacto en lo que son los servicios a la ciudadanía no ha sido absoluto. Hay servicios que no han sido impactados. Su página web nunca se ha caído, su correo electrónico no ha sido impactado. Ahora bien, hay otros servicios que han sido impactados o bien se han detenido para evaluar si han sido impactados. No quiere decir que lo que se ha detenido haya sido impactado. En las próximas semanas el Ayuntamiento se irá restaurando de forma progresiva y empezará por aquellos servicios que considera el comité de crisis como más críticos o más importantes. Siempre hay un orden de prioridad.

Y una vez ya recuperado, ¿cuál será su consejo para evitar que vuelva a suceder?

Lecciones aprendidas. Potenciar la inversión en ciberseguridad fruto del análisis de lo que ha pasado. Tenemos que analizar bien ese informe forense y ver aquellos puntos que tienen que ser reforzados. Algunos serán de corto plazo, otros de meses y otros de largo plazo. Lo más importante es que haya una constancia. No vale de nada tomarlo en serio dos meses y luego olvidarlo. Es mejor dar pequeños pasos continuados y mejorar en el tiempo que plantearse inversiones desproporcionadas que no se puedan mantener el tiempo. Siempre acorde al presupuesto que uno pueda o deba permitirse. No podemos pensar que tenemos que invertir en esto y dejar de invertir en otras cosas. El Ayuntamiento debe dar diversos servicios a la ciudadanía y hay muchas cosas que hacer, entre ellas por supuesto, la seguridad.

Suscríbete para seguir leyendo