Un correo falso a un funcionario posibilitó el inicio del ciberataque al Concello de Cangas
GALICIA
La alcaldesa confía en que se pueda ingresar hoy el dinero de las nóminas
03 jun 2023 . Actualizado a las 00:27 h.Un correo falso a un funcionario habría sido la puerta de entrada de un virus que dejó sin funcionar la mitad de los ordenadores del Concello de Cangas y que afectó a la gestión y pago de las nóminas. Desde el gobierno local esperan poder dar hoy la orden de abono e ingresar el dinero en los bancos de los 229 funcionarios y personal laboral. Lo habitual es hacerlo el día 27 de cada mes, pero esta vez no fue posible por el ataque del virus informático LockBit 3.0 que encriptó los datos de los discos duros.
Los pagos pendientes de los empleados del Concello suman más de medio millón de euros. «Foi unha infección coma o covid», explica la alcaldesa en funciones, Victoria Portas. El ataque también ha paralizado otras gestiones, como los pagos a las 92 trabajadoras del Servicio de Atención ao Fogar, los programas de becas o el pago de tasas y a proveedores.
El virus entró en el sistema sobre las cinco y veinte de la madrugada del día 18 de mayo. A las siete de la mañana, cuando se encendió un ordenador del Concello, una pantalla en negro con un mensaje en inglés anunciaba que se trataba de un ataque informático y que si querían recuperar la información debían enviar un rescate.
Alfonso Sestay, responsable de Informática del Concello y coordinador de los trabajos con las empresas proveedoras externas de los servicios, asumió la emergencia. «Ás sete da mañá comunicámolo ao CNI, que nos dixo o que tiñamos que facer seguindo un protocolo», explica Portas. Tampoco interactuaron con el chat, que les daba instrucciones y que no se puede rastrear, señala Sestay. Inmediatamente lo pusieron en conocimiento de la Guardia Civil y del Centro Nacional de Criptografía, que pertenece a los servicios de Inteligencia, y el informático activó todos los cortafuegos «para evitar a fuga de información». Y lo consiguieron, según explica: «Non roubaron datos, conseguimos atallar o roubo de información».
La alcaldesa lanza un mensaje de tranquilidad a los vecinos: «Os datos dos cidadáns están seguros, non saíu nada». «Abrimos a incidencia ante o Centro Nacional de Criptografía. A Administración pública non acepta chantaxes», señalan los responsables municipales.
Pero el virus se extendió rápidamente, a pesar de los cortafuegos puestos en marcha por Vodafone y las compañías de informática y protección de datos con las que trabaja el Concello de Cangas: RB y Savia. «A metade dos ordenadores do Concello non funcionaban», señala Victoria Portas, que ha estado trabajando mano a mano desde ese día con el teniente de alcalde, Mariano Abalo, y con los técnicos y funcionarios para resolver los problemas derivados del ciberataque. «Haberá un pouco de atraso nos pagos, pero a xente debe entendelo: non foi culpa nosa», señala la regidora.
El pago de las nóminas de mayo se hará mediante una reconstrucción de las del mes anterior, pero con correcciones, ya que cada pago es diferente según las jornadas de los contratados. Asimismo, explican desde el ayuntamiento, hay que aplicarles la subida aprobada por el Gobierno. Este jueves al mediodía habían logrado recuperar la funcionalidad de todos los ordenadores, pero no los datos, que habrá que reconstruir de nuevo porque las copias de seguridad quedaron dañadas. «Xa se recuperou o 70 % de información», dice Portas.
La misma red que pudo actuar contra la operadora R y también en Cambados
El jáquer ético vigués Antonio Fernandes identificó el ciberataque de Cangas como un ransomware y sospecha que la banda criminal que se atribuye la acción maliciosa, LockBit, puede estar implicada en más intrusiones en otros municipios pontevedreses. Da por hecho que son los mismos que a mediados de mayo robaron datos a la operadora R, también de origen gallego. «Habría que enterarse si esto pasó también en Cambados, LockBit son los mismos que secuestraron a R», dice Fernandes.
El ciberataque de LockBit a R, Euskatel y Telecable se conoció el 16 de mayo, y las sospechas, al igual que en Cangas, recayeron en el grupo LockBit. Según fuentes del sector, a la operadora R le robó 3 terabytes (TB) de datos confidenciales de la empresa y clientes. Su amenaza es publicar todo el contenido si no pagan el rescate.
La revista tecnológica Wired atribuye a LockBit el ciberataque el 11 de enero al servicio de correos británico, la Royal Mail, y, en Navidad, al hospital infantil SickKids de Canadá, aunque luego envió un desencriptador gratuito y desautorizó al miembro responsable. Lo considera un grupo muy prolífico, de perfil bajo y profesional y una especie de franquicia cuyos miembros reciben licencias de código para usar un programa de malware tan fácil de manejar como un simple clic. Se cree que un tercio de los ataques a industrias e infraestructuras en el mundo los genera esta banda. Habrían amasado cien millones en rescates.