El Ayuntamiento de Cangas, en la provincia de Pontevedra, sufrió un ciberataque que provocó la parálisis de su actividad contable, la gestión tributaria y las nóminas, afectando de forma grave a su actividad diaria, al no poder acceder a programas externos.

El ataque se produjo el 19 de mayo y fue detectado por personal de la Policía Local. Los responsables del ataque informático, Lockbit, exigieron el pago de un rescate económico, a través de la entrega de bitcoins, para liberar los datos sustraídos y encriptados. La administración municipal derivó el caso al Centro Nacional Criptográfico (CNC), órgano adscrito al CNI (Centro Nacional de Inteligencia).  

Según las investigaciones, el ciberataque se produjo a través de una conexión VPN, que facilita el teletrabajo. Los indicios recabados pusieron en evidencia que algún trabajador accedió a un correo electrónico malicioso que permitió la entrada de los hackers en la red municipal. El análisis realizado por el CNC, en colaboración con los técnicos informáticos del Ayuntamiento, ha demostrado que los hackers sólo pudieron encriptar los datos, pero no robarlos. Así, el virus pudo ser “aislado” y se salvaguardó la información contenida en los programas externos de contabilidad, elaboración de nóminas y de gestión de tributos.

Consecuencias del ciberataque

El Ayuntamiento de Cangas no pudo pagar las nóminas de mayo en la fecha habitual a sus más de 220 empleados, de los cuales 43 son funcionarios y 186 personal laboral, entre fijos y contratados eventuales. El virus informático causó la destrucción de miles de archivos y copias de seguridad. Los trabajos realizados desde el gobierno municipal, formateando sistemas y creando sistemas en paralelo para trabajar de igual forma, permitieron el pago de las nóminas a partir del 5 de junio.

Tras este suceso, la corporación municipal anunció el incremento de la inversión en seguridad informática para combatir este tipo de prácticas cada vez más habituales. Y es que nadie se salva de los ciberataques, que cada vez están más en auge entre las administraciones públicas. En algunos casos, buscan secuestrar datos, pero, en otros casos, tratan de recopilar información económica o suplantar a la propia administración para estafar a empresas y particulares.

La banda que se atribuye el ataque, LockBit, utiliza un tipo de ransomware para extorsionar a las víctimas. Según distintos expertos, es una subclase de ransomware conocido como “virus de cifrado”, que exige como rescate el pago de dinero a cambio de descifrar archivos. Se centra más en las empresa y organizaciones gubernamentales y no tanto en los particulares. Entre sus objetivos estuvieron organizaciones de Estados Unidos, China, India, Indonesia y Ucrania. Además, varios países europeos, como Alemania, Francia o Inglaterra. Según las últimas estadísticas, se recibe un ataque cibernético cada tres horas, con una media de 2.000 al año. Los cibercriminales modernos emplean técnicas refinadas para sortear los mecanismos de detección tradicionales del ransomware y se valen de los procesos habituales para infiltrarse en los sistemas. Así se desplazan por la red buscando robar y cifrar datos. Cuando obtienen lo que buscan, amenazan con comercializar o filtrar los datos sustraídos o la información de acceso si no se satisface el rescate. No obstante, el tipo de datos más buscado por los hackers son datos sensibles financieros o de salud que después pueden vender en el mercado negro.

El equipo de seguridad informática de la corporación municipal continúa trabajando para cerrar posibles agujeros, recuperar toda la información y hacer las copias de seguridad precisas.