Así operan en la 'dark web' los piratas que atacaron al Ayuntamiento de Sevilla

Este tiempo transcurrido da una idea, como admiten varios expertos en ciberseguridad consultados por ABC, de la gravedad del hackeo que encriptó miles de datos a través de un rasomware conocido como lockbit. Al poco de producirse el ataque, el Consistorio confirmó que detrás de él estaba un grupo de ciberdelincuentes llamado de la misma manera. ¿Son la misma cosa ese software malicioso y esa organización de hackers? En parte sí. ABC ha accedido a información extraída de la dark web para conocer mejor quien o quienes están detrás de un golpe que ha dejado en evidencia el nivel de seguridad de los sistemas informáticos del ayuntamiento de la cuarta capital de España en número de habitantes.

Adrián Ramírez, CEO de la empresa sevillana especializada en seguridad informática, explica cómo un grupo de hackers creó en septiembre de 2019 un potente rasomware capaz de cifrar medio centenar de GB en menos de cinco minutos. Lockbit se hizo famoso en poco tiempo en el universo hackers y en especial en la deep web, donde se vende y compra de todo con las bitcoins como principal moneda de pago. Tal fue el éxito, detalla Ramírez, que además de ejecutar sus propios ataques, empezaron a ofrecer ese rasomware que habían creado a otros hackers mediante sistema de suscripción que incluye además soporte técnico disponible todos los días del año.

Por eso Lockbit no es sólo un grupo de hackers. «Bajo esa firma hay muchos franquiciados que realizan sus propios ataques de encriptado que al descubrirse llevan el nombre del rasomware que usan. Es habitual que se confunda, por tanto, al grupo original con alguno de esos franquiciados. En el caso del Ayuntamiento no está del todo claro la autoría».

Este periódico ha accedido al portal de lockbit 3.0, la última versión mejorada de este potente secuestrador de datos. En su página se informa de las empresas que han sido hackeadas y a cada una de ellas se le incorpora un contador que marca el tiempo que les queda antes de que sus datos queden expuestos si no pagan antes un rescate. Así les ha ocurrido a corporaciones como Kendrion, con sede social en Países Bajos, dedicada al desarrollo y comercialización de componentes electromagnéticos.

A finales de agosto, la compañía informaba de un incidente que había comprometido a la seguridad de sus sistemas, admitiendo que se había producido un acceso no autorizado. A través del portal de lockbit se puede descargar centenares de archivos con información contable e industrial. Es sólo un ejemplo de la forma de actuar de estos hackers.

También de color verde -es la forma que tienen de identificar a las empresas vulneradas cuya información está expuesta- hay compañías de distintas partes del mundo como cochraninc, con sede social en Seattle (Estados Unidos) del sector de la electricidad. Los piratas publicaron un primer paquete de datos a finales de septiembre y lo justificaron de la siguiente manera: porque «esta compañía» valorada en un millón de dólares «no quiere cooperar».

En la clear web, que es el internet que usa todo el mundo con navegadores populares como el Google Chrome, hay blogs especializados que van publicando las empresas que han sido atacadas y cuáles tienen sus datos expuestos sin difundir la información. ABC ha podido constatar que el Ayuntamiento de Sevilla no aparece en la web de los piratas informáticos entre las próximas víctimas que están en plena cuenta atrás antes de ver información confidencial al alcance de cualquiera.

Pero lo cierto es que encriptaron datos de la web municipal por la que pidieron un rescate de millón de euros. Desde el Gobierno municipal se dijo que no se iba a pagar ningún rescate; pero la información encriptada no está circulando en la deep web. Algunos de los expertos en ciberseguridad consultados por ABC, y que prefieren guardar el anonimato, dudan de que no se haya pagado, aunque tampoco tienen pruebas de ello.

Hay otros expertos, como Sancho Llerena, CEO de Pandora FMS que en una entrevista concedida a este periódico al poco de trascender el ataque de lockbit, que aseguraba que a los piratas no les interesa difundir información de ciudadanos como datos personales, sino presionar a las instituciones hackeadas bloqueándoles y obligándolas a interrumpir todos los servicios. O pagas o no descifran la información codificada.

Un millón de euros es lo que perdió el Consistorio en el ataque informático que se produjo en 2021 en el que los piratas informáticos consiguieron engañar a una funcionaria de la tesorería municipal haciéndose pasar por la empresa que había montado el alumbrado de Navidad un año antes. A través de un correo electrónico, solicitaron un cambio de cuenta para el pago de la factura pendiente. No fue un engaño burdo, ya que presentaron documentación falsificada que hizo picar el anzuelo a la trabajadora que autorizó tres transferencias a una cuenta nueva que controlaban los piratas. Ese millón de euros se perdió y la Policía Nacional no pudo dar con los autores del engaño, ya que se dio la voz de alarma tarde. Cuando los agentes intervinieron, el dinero ya había volado de la cuenta a la que se había transferido, perdiéndose en una maraña de operaciones bancarias fuera de España. Lo ocurrido en 2021 puso sobre aviso a los hackers que el Ayuntamiento de Sevilla era vulnerable y dos años después lo volvieron a demostrar.