Agentes del Equipo Arroba de la Guardia Civil de Mallorca: «Si los piratas encriptan su ordenador, no pague nunca»

Agentes de la Policía Local de Calvià fueron los primeros en percatarse, en la noche del pasado 13 de enero, de que sus ordenadores habían quedado bloqueados. En los monitores aparecía un documento de texto: «Sus datos han sido encripados. No llame a la Policía. Si quiere recuperarlos, pague diez millones de dólares en criptomoneda». El informático del Ayuntamiento comprobó poco después que la situación afectaba a todos los ordenadores. Habían sido víctimas de un ransomware, un ataque informático en el que los piratas secuestran todo el sistema de una empresa o institución, lo dejan inoperativo y piden un rescate por liberarlo. En las semanas siguientes se repitieron incidentes similares en el Ayuntamiento de Sant Antoni, en Eivissa, y en otras ciudades de España. Los ataques paralizaron la actividad de los ayuntamientos, al tiempo que la venta de los datos sensibles de los ciudadanos pueden provocar graves perjuicios.

LockBit

Los responsables de estos ataques informáticos son una organización denominada LockBit, considerado el grupo de hackers más peligroso del mundo. A mediados de febrero la Agencia Nacional contra el Crimen británica anunció que LockBit había sido desarticulada en una operación internacional en la que habían participado diez agencias estatales, que habían tomado el control de sus servidores. La banda no tardó en desmentirlo en un comunicado. «No somos una organización, somos un imperio», respondieron.

¿Quién está detrás de Lockbit, el grupo criminal autor del ciberataque al Ayuntamiento de Calvià?

Agentes del Equipo Arroba de la Guardia Civil de Mallorca, integrado en la Unidad de Delitos Tecnológicos (Edite), analizan para Diario de Mallorca cómo se producen estos ataques. Estos investigadores, expertos en informática, destacan las enormes dificultades para localizar a los autores de un ataque, que pueden estar en cualquier lugar del mundo donde haya conexión a internet.

Crime as a service

La complicación es mayor, explican, por la existencia de bandas que subarriendan las herramientas para cometer estos delitos. El concepto se conoce como Crime as a service. Estas organizaciones alquilan sus servicios, desde servidores, herramientas o mulas para ingresar el dinero que han estafado otros delincuentes, con los que no tienen relación, salvo los contactos en la «web oscura». Los investigadores han detectado que incluso utilizan chats especializados en videojuegos para comunicarse. «En la dark web está todo en venta, como paquetes en los que figuran nombres de personas con sus teléfonos, sus bancos y números de cuenta. Toda la información que necesita una banda para intentar estafarte», comenta un agente del Edite.

El Ayuntamiento de Calvià detecta que el ciberataque ha podido afectar a datos confidenciales de vecinos y funcionarios

Los casos de ransomware no son raros, pero representan una minoría de las cerca de 1.500 denuncias por delitos informáticos que recibió la Guardia Civil de Balears el año pasado. «Podemos tener una decena al año, y no todos son tan espectaculares como el de Calvià, que dejó paralizado el Ayuntamiento. En muchos casos las víctimas son empresas, a los que piden un rescate modesto, de apenas unos 1.000 euros, para que les devuelvan el control en sus ordenadores». Muchos se plantean pagar.

«No lo hagan nunca, no paguen», afirman tajantes los agentes del Equipo Arroba. «Primero porque si pagas fomentas este tipo de delitos, pero también porque no hay nada que te garantice que, una vez has pagado, te van a devolver el control de tus ordenadores. Por lo general te exigen un segundo pago, y otro después. Además, el negocio que hacen con la venta de tus datos, ya lo han hecho».  En el caso de los ayuntamientos los delincuentes han podido acceder a una cantidad ingente de datos, como domicilios, vehículos, propiedades, empadronamientos o impuestos.

Medidas de seguridad

En el caso del Ayuntamiento de Calvià, se pudo recuperar la normalidad en cuestión de días gracias a que tenían una copia de seguridad (back up) inmutable, lo que les ha permitido recuperar toda la información encriptada. Esta es la primera recomendación que hacen los expertos. «Es curioso, pero la gente suele invertir mucho en seguridad física, con puertas blindadas y alarmas, y descuida la virtual, pese a que tenemos todos nuestros datos sensibles y el dinero de nuestras cuentas bancarias», comentan los expertos de la Guardia Civil.

Por lo demás, las recomendaciones de seguridad son conocidas. Además de tener copias de seguridad, no acceder a enlaces de desconocidos, utilizar contraseñas largas, con caracteres alfanuméricos y cambiarlas periódicamente, tener el wifi apagado en parques y aeropuertos, no acceder a redes abiertas y utilizar los datos móviles cuanto sea posible. Y denunciar siempre que sean víctimas de un delito. «Mucha gente es reacia a denunciar, porque cree que puede afectar al prestigio de su empresa, pero tienen la obligación legal de hacerlo en menos de 72 horas, porque han dejado expuestos los datos de sus clientes. Y de no hacerlo se enfrentan a una multa».

Cae el grupo de hackers que atacó al Ayuntamiento de Calvià

Los casos de ransomware registrados en las últimas semanas han alcanzado gran notoriedad, pero organizaciones como LockBit lleva meses enviando masivamente emails engañosos, que al abrirlos provocan el encriptado de los ordenadores. Y no solo los han sufrido ayuntamientos, sino también empresas hoteleras, inmobiliarias, negocios grandes y pequeños. Air Europa sufrió un ataque el pasado mes de octubre que expuso los datos de las tarjetas de crédito de miles de sus clientes.

Sin embargo, estos casos no dejan de ser una minoría entre los cerca de 1.500 delitos informáticos que fueron denunciados ante la Guardia Civil de Balears el año pasado. Entre los más frecuentes está el Man in the Middle, en el que los delincuentes suplantan el correo de una empresa para cambiar el número de cuenta donde deben recibir un pago, o el spoof telefónico, en los que envían falsos mensajes al cliente de una entidad bancaria donde le piden las claves secretas, que utilizan para vaciar sus cuentas.