Ciberataques en organismos públicos de Málaga: el hacker que persuadía a las víctimas
El Consejo de Transparencia detecta casi una treintena de brechas de seguridad, esto es, ataques o errores humanos que ocasionaron filtraciones de datos en el sector público desde 2019
Los ayuntamientos son los más afectados
Los ayuntamientos de Málaga también podrían ser "vulnerables"
La Junta de Andalucía sufre 7.000 incidentes cibernéticos al año, aunque no todos graves
La Gerencia de Urbanismo de Málaga denuncia un intento de estafa
La ciberdelincuencia sigue creciendo. Y si bien muchos mantienen el foco en personas y empresas de todos los tamaños; ayuntamientos, Ministerios y entes públicos también están en el centro de la diana. El Consejo de Transparencia y Protección de Datos de Andalucía ha detectado 29 brechas de seguridad en organismos e instituciones de Málaga en el último lustro. El 70%, según consta en un informe de esta entidad, al que ha tenido acceso este periódico, corresponden a ciberataques que, en su mayoría, afectan a los ayuntamientos. De estos agujeros, 11 se descubrieron en el año 2021. Un año después, se registraron nueve. Hay casos en los que se han perdido o sustraído datos confidenciales.
La mayoría de los asuntos atañen a las administraciones locales. El ejemplo más gráfico es el del Ayuntamiento de Sevilla, que paralizó prácticamente todos los servicios e inhabilitó todos los trámites que podían realizarse on line, además de hacer caer todas las webs municipales. Pero, pese al impacto que tuvo, el de la capital andaluza no fue el único caso. Un total de 50 consistorios de toda Andalucía resultaron atacados entre 2019 y 2023.
En palabras de expertos consultados por este periódico, las administraciones públicas todavía cuentan en Málaga con sistemas de protección "vulnerables" cuando no "inexistentes". Y, pese a que no se refieren en concreto a ningún municipio, hacen extensibles sus análisis al territorio.
Asaltos "continuos" al Consistorio de Vélez-Málaga
Desde el Consistorio de Vélez-Málaga, a través del concejal de Nuevas Tecnologías, David Segura, señalaron a propósito del ataque al Consistorio sevillano que están experimentando asaltos "continuos", pero que, paralelamente, "trabajan gradualmente para mejorar sus sistemas y concienciar al personal municipal sobre las actuaciones de seguridad necesarias", especialmente en casos de phishing y malware. Segura menciona además un incidente de phishing que lograron resolver con éxito.
Del informe del Consejo de Transparencia se desprende que también sufrió 13 brechas de seguridad la Junta, 27 entidades de derecho público o privado dependientes de la administración autonómica, 16 organismos dependientes de ayuntamientos y dos el sistema universitario andaluz, entre otros. En total, fueron 111 los agujeros detectados por el Consejo de Transparencia en este último lustro. Los años 2021 y 2022 dejaron los datos más negativos, con 36 y 38 casos respectivamente.
En cuanto a la tipología de estos ataques, 107 afectaron a la confidencialidad, 32 a la disponibilidad y 15 a la integridad. Transparencia calificó como de severidad alta 12 casos, mientras que otros 27 fueron clasificados como de nivel medio y 72 bajo. Las causas más extendidas son los ciberincidentes (hacking, malware o phising), con 50 casos. Le siguen los dispositivos perdidos, robados o desechados, con 15; los datos enviados o mostrados por error, con 13; y las publicaciones indebidas, con 10.
El ransomware con cifrado de archivos es la causa que más brechas y afectados genera. Se trata de incidentes generados usualmente por un actor externo a la organización, cuyo objetivo es obtener un beneficio ilícito mediante el daño causado. Las consecuencias de estos delitos pueden conllevar el acceso a información, su exfiltración (transferencia de información no autorizada a un lugar externo) y el cifrado ilícito de la misma para impedir su uso. Además de estas consecuencias, suele provocar interrupción de los servicios durante periodos de tiempo considerables.
Los ataques de ransomware vienen en muchos casos precedidos de ataques de phising (intento de hacerse pasar por una persona o entidad de confianza para que la víctima realice alguna acción que no debería hacer) mediante correo electrónico, cuyo objetivo es el robo de credenciales de accesos a equipos como paso previo.
Un empleado de un organismo público sufrió un ataque de este tipo que le llevó a cumplimentar un formulario en el que facilitó las claves de acceso a su cuenta corporativa de correo electrónico, sin ser consciente de ello. Seguidamente, el ciberdelincuente modificó la configuración del correo para que se redireccionase a una cuenta externa. Utilizó la cuenta para el envío de mensajes fraudulentos hasta su detección, que resultó ser inferior a un día.
Estos ataques se organizan en tres pasos: entrar en el sistema, cifrar la información y, posiblemente, exigir un rescate. En un caso concreto gestionado por Transparencia, fue el encargado del tratamiento, que manejaba datos sensibles, el que sufrió un ciberataque de ransomware. Este encargado reaccionó con rapidez y eficacia ante la brecha de seguridad. Adoptó medidas inmediatas y se comunicó con diversas entidades técnicas y la Policía.
Transparencia destaca la importancia de que los responsables contraten servicios TIC sólo con encargados cualificados y con recursos suficientes para responder ante incidentes de este tipo, especialmente en casos donde se manejen datos sensibles o grandes volúmenes.
Aislar los activos afectados, la clave en la gestión de la brecha
Durante la gestión de la brecha, algunas de las medidas que se pueden tomar son aislar los activos afectados, detectar y evitar la exfiltración de datos, recuperar la información y restaurar los servicios, notificar a la autoridad de control en cuanto se tengan datos, comunicar a los afectados y realizar un análisis forense. A posteriori, se debe aumentar el nivel de seguridad, impulsar y revisar los controles y mejorar la gestión de los incidentes.
Las brechas de tipo difusión también se han dado en Málaga. Son achacables a errores humanos, más que a ciberataques. Habitualmente se cometen a través del correo electrónico, cuando se envía información a destinatarios incorrectos. Destacan los casos en los que se emplean listas de distribución que contienen un elevado número de direcciones de correo electrónico, ya que un único error (basta con incluir la dirección de la lista) es suficiente para comunicar los datos a un elevado número de personas.
Una variante de este error es la publicación o comunicación indebida, que se produce cuando se publica en algún medio o se comunican datos personales de forma indebida y extensa. Pueden entenderse como una generalización del caso anterior. En la mayoría de los casos se trata de errores humanos. Un ejemplo es la publicación del DNI completo en un boletín oficial o listar datos identificativos completos de los participantes en procesos selectivos. También hay errores técnicos, como la configuración errónea de una aplicación que permite acceder a información de otros clientes, pacientes, estudiantes, empleados, etc. En Málaga se dio el caso de una entidad que, en la tramitación de una convocatoria, publicó datos en la web que podrían permitir la reidentificación de los participantes.
El Reglamento General de Protección de Datos define el concepto de brecha de seguridad como "violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizados a dichos datos". Los responsables del tratamiento de datos tienen la obligación de comunicar a la autoridad de control competente, en este caso el Consejo de Transparencia, cualquier brecha que se produzca en un plazo de 72 horas.
El papel del Consejo es supervisar el proceso de gestión, dando prioridad a las situaciones de mayor riesgo y asegurando una respuesta eficaz. Es fundamental realizar una notificación temprana y adecuada, ya que esto proporciona al Consejo la oportunidad de analiza las causas y exigir o recomendar las medidas apropiadas, promoviendo la transparencia y la responsabilidad en el tratamiento de datos personales por parte de los organismos públicos.
Y para poner coto a estas situaciones, Transparencia también hace una serie de recomendaciones. El Consejo asegura que es necesario garantizar un nivel de seguridad adecuado al riesgo de tratamientos, además de ofrecer información y concienciar en seguridad a las personas, que suelen ser consideradas como el elemento más débil en la seguridad de la información.
Ojo a las listas de distribución, siempre con acceso restringido
Para que no haya errores de difusión, el Consejo de Transparencia y Protección de Datos de Andalucía aconseja utilizar listas de distribución con acceso restringido a un número limitado de personas, establecer procedimientos en los que el envío de correos especialmente sensibles requiera una revisión previa de otra persona y enviar la documentación cifrada por correo y utilizar otra vía para proporcionar la clave de acceso. Una recomendación general es la figura del delegado de protección de datos, que disponga de conocimientos en la materia y cuente con independencia en sus acciones.
Para evitar el robo de dispositivos, Transparencia recomienda el anclaje de los equipos portátiles en los puestos de trabajo y la custodia bajo llave de cualquier dispositivo empleado. Igualmente, recomienda el cifrados de discos duros, smartphones y memorias USB, el uso de claves robustas y, en el caso de los sistemas operativos, que no se muestren el nombre del último usuario que inició sesión. Para los dispositivos conectados a la red, se debe habilitar la función de bloque o eliminación remota. Como recomendación general, el Consejo apunta que "lo adecuado es restringir al mínimo imprescindible los casos en los que se empleen dispositivos portátiles que contengan datos personales y disponer siempre de una copia de seguridad en lugar seguro de los mismos".
También te puede interesar
Lo último