En los últimos días, el Ayuntamiento de Sevilla ha sido objeto de un considerable ciberataque orquestado por LockBit, un grupo hacker de origen holandés. El suceso dejó paralizados los servicios telemáticos del ayuntamiento, poniendo en evidencia una vez más la creciente amenaza de los ciberataques en la era digital.
Juan Bueno, concejal de Hacienda y Transformación Digital del Ayuntamiento de Sevilla, notificó a la prensa que los autores del ataque han solicitado una cantidad monetaria como rescate para liberar los sistemas informáticos. No obstante, Bueno aseguró de manera enfática que «el ayuntamiento no entablará negociaciones con delincuentes».
Ciberataque al Ayuntamiento de Sevilla
El reciente ataque a la infraestructura digital del Ayuntamiento de Sevilla se caracterizó por el secuestro de datos sensibles, exigiendo un rescate de hasta un millón y medio de dólares (1.396.642 euros) al gobierno municipal para liberar la información aprehendida.
Este modus operandi es característico de los ataques ransomware, donde los hackers bloquean el acceso a los sistemas informáticos de una organización y exigen un pago para restaurar el acceso.
Ante el secuestro digital, las autoridades del ayuntamiento sevillano han declarado una posición firme de no ceder ante el chantaje. Por su parte, el Centro Criptológico Nacional (CCN-CERT) y el Cuerpo Nacional de Policía han dado inicio a una exhaustiva investigación. Las primeras indagaciones sugieren que han logrado identificar el equipo desde donde se habría perpetrado el asalto, una máquina dentro del conglomerado de 4.000 ordenadores.
Mientras las autoridades buscan responder de manera adecuada a este suceso, la ciudadanía espera soluciones duraderas que salvaguarden la integridad de los sistemas y la información vital contenida en ellos.
Los ojos están puestos en cómo el Ayuntamiento de Sevilla, y por extensión, otras instituciones gubernamentales a nivel global, pueden fortalecer sus defensas y estrategias de respuesta ante una amenaza que sigue evolucionando y creciendo con cada ataque exitoso.
¿Cómo funciona el ransomware LockBit?
Originarios de Holanda, el grupo LockBit ha emergido como uno de los colectivos más prolíficos en el ámbito del ransomware. Fundado a finales de 2019, bajo el nombre de «ABCD ransomware», el grupo ha crecido exponencialmente, dando lugar a una estructura organizada que opera mediante un modelo de Ransomware como Servicio (RaaS).
Esta metodología implica que un equipo central desarrolla el malware, mientras otorgan licencias de su código a afiliados para ejecutar los ataques. El grupo se ha destacado por su eficacia y persistencia, aun cuando no se considera el más siniestro dentro de la comunidad de cibercriminales.
LockBit es un ransomware especializado en ataques contra organizaciones empresariales y gubernamentales, minimizando su enfoque en usuarios individuales. Trabajando bajo un esquema de RaaS, permite a los atacantes contratar ataques personalizados y compartir las ganancias con los desarrolladores de LockBit, quienes reciben un porcentaje de los rescates pagados.
Originario del ambiente de malwares «LockerGoga & MegaCortex», este ransomware ha demostrado ser una herramienta potente para realizar ciberataques dirigidos, utilizando estrategias sofisticadas y herramientas nativas de los sistemas operativos Windows para infiltrarse en las redes y evadir detecciones.
El proceso de infección de LockBit se ejecuta de forma autopilotada, desencadenándose a partir de la infiltración manual en un host. Una vez dentro, LockBit puede identificar y afectar otros sistemas conectados, extendiendo la infección de manera autónoma y rápida, una característica que lo distingue de otros ransomware que requieren intervención humana más continua.
Con el paso del tiempo, LockBit ha presentado varias variantes que se diferencian principalmente por las extensiones que asignan a los archivos cifrados y las instrucciones dadas para el pago del rescate. Es crucial estar atento a las actualizaciones y revisiones continuas de LockBit, que lo han dotado de capacidades cada vez más dañinas, incluyendo la anulación de los puntos de control de seguridad y el robo de datos.
Un fenómeno en auge
LockBit ha dejado su huella no solo en Sevilla sino a nivel internacional. En situaciones precedentes, han paralizado operaciones significativas como el servicio postal del Reino Unido, Royal Mail, y atacaron instituciones vitales como un hospital infantil en Canadá. El grupo no distingue fronteras, amenazando organizaciones globales con sus incursiones autopilotadas que buscan automáticamente objetivos valiosos para cifrar todos los sistemas informáticos accesibles en una red.
Según el Instituto Nacional de Ciberseguridad de España, los incidentes relacionados con ransomware no son aislados; solo en 2022 se registraron 450 incidentes a través de programas de ransomware en el país. Las herramientas utilizadas para estos ataques llevan nombres como Ryuk y Zeppelin, y han estado presentes en otros asaltos significativos a instituciones estatales y locales en años recientes.
El aumento de estos ataques pone en evidencia la necesidad urgente de reforzar las medidas de seguridad en las infraestructuras digitales de las organizaciones. A pesar de la amenaza que representa, es posible responder a un ataque de LockBit. La eliminación del ransomware es un paso crucial pero no suficiente, ya que será necesario utilizar una herramienta de descifrado o restaurar el sistema a partir de copias de seguridad limpias y actualizadas.
«No podemos descartar la posibilidad de que se arraigue en muchos sectores y organizaciones, sobre todo con el reciente aumento del teletrabajo. La detección de las variantes de LockBit puede ayudar a identificar exactamente a qué te estás enfrentando», aclaran los expertos de Kaspersky.
Cómo protegerse del ransomware LockBit
En una era digital donde las amenazas cibernéticas están en constante evolución, la proactividad no es solo recomendable, sino esencial. Las empresas y las instituciones públicas se encuentran en una carrera continua contra ciberdelincuentes cada vez más sofisticados, y en este escenario, el ransomware LockBit emerge como una amenaza significativa y creciente.
En respuesta a este peligro inminente, es imprescindible no solo construir barreras de defensa sólidas, sino también fomentar una cultura de seguridad que esté intrínsecamente tejida en el tejido operativo de una organización. Adoptar una estrategia de seguridad proactiva se erige entonces como una obligación vital para toda entidad que aspire a protegerse efectivamente contra incursiones malintencionadas.
Más allá de la instalación de programas de seguridad robustos, estar un paso adelante significa mantenerse continuamente actualizado, no solo en términos de software, sino también en el conocimiento y comprensión de las potenciales amenazas y los métodos más efectivos para contrarrestarlas. Un recurso fundamental en este escenario es la educación continua y la formación en mejores prácticas de seguridad, inculcando una comprensión profunda de los riesgos asociados y promoviendo una vigilancia constante.
«Los procedimientos operativos estándar se deben volver a evaluar periódicamente para mantenerlos actualizados contra las nuevas amenazas cibernéticas», señalan desde Kaspersky.
