“Te escribo desde el portátil por no desesperarme con el retraso de mi tren. Cuanto está ocurriendo con los ordenadores del Ayuntamiento de Sevilla es grave. Tenlo claro, han entrado hasta en la cocina porque estos piratas son los más listos de la clase. Sabes que los conozco bien. Cómo será lo que te cuento que he oído en Canal Sur Radio que el propio alcalde reconoce con buen criterio que lo más importante ahora no es el restablecimiento de los ordenadores, sino saber qué ha pasado exactamente para que no haya un segundo ataque. Así se lo ha dicho dos veces en una entrevista con Jesús Vigorra. Conozco perfectamente al grupo de Ransomware LockBit, al que en el sector nos referimos como Bitwise Spider. Es el típico invitado que entra sin llamar a la puerta, con nocturnidad y alevosía. Todos sabíamos que se podría presentar un día u otro, porque alguna vez ha merodeado por la Plaza Nueva, vamos a decirlo así y no me preguntes más. Y sabíamos que es uno de los piratas más reconocidos en el mundo en estas malas artes entre 2022 y 2023”.

Esperemos que no llegue para quedarse. Porque tengo claro que se quedará mucho tiempo en la Plaza Nueva. En el mismo Ayuntamiento o en un piso turístico, no dejemos nunca el buen humor, para hacer otra de sus giras turísticas y ampliar sus ataques, que siempre están en constante evolución. Esta gentuza va de ordenador a ordenador usando una amplia gama de técnicas malvadas para llegar a comprometer a los objetivos y, al mismo tiempo, tomar las medidas necesarias para deshabilitar las soluciones de seguridad de punto final de los equipos seleccionados que intentan acceder para dejar riendas sueltas a sus acciones más macabras.

LockBit, que no es el nombre de un grupo musical, opera bajo el modelo de negocio Ransomware-as-a-Services (RaaS) como la mayoría de grupos similares. Ya sé que te horrorizan estos términos, pero es necesario el rigor. Este grupo llegó a nuestras vidas por primera vez en septiembre de 2019. Desde entonces se ha convertido en la cepa de ransomware más dominante, superando a otros grupos conocidos como Conti, Hive y BlackCat. El ransomware LockBit se ha convertido en la ciberamenaza más activa en todo el mundo. Y se ha ha intensificado a raíz del conflicto en Ucrania, lo que refuerza la hipótesis de que se trata de un actor de amenazas ruso que no tiene su sede en Europa como algunos se atreven a decir.

Los operadores de LockBit han publicado anuncios para su programa de afiliados en foros en los que apuntan que no operarán en Rusia ni en ningún país de la Comunidad de Estados Independientes, ni trabajarán con desarrolladores de habla inglesa a menos que un «garante» de habla rusa responda por ellos. Normal y obvio.

Los vectores de ataque de LockBit incluyen ingeniería social de última generación, como phishing, phishing selectivo y compromiso de correo electrónico empresarial, explotación de aplicaciones públicas, y contratación de intermediarios de acceso inicial. Pero también utiliza credenciales robadas para acceder a cuentas válidas, como el protocolo de escritorio remoto, así como ataques de fuerza bruta. Es decir, son los más listos de la clase y si no les pone freno son capaces de llegar hasta la cocina y dejarte el frigorífico vacío. Es el gran temor del Ayuntamiento de Sevilla. Eso sí, dejan un reguero de moho para invadir cualquier comida que vuelvas a introducir en la nevera.

LockBit ha centrado sus ataques en entidades gubernamentales y empresas en una amplia variedad de sectores, como el sanitario, servicios financieros y bienes y servicios industriales en todo el mundo. No obstante, ha proliferado más en Estados Unidos, China, India, Indonesia, Ucrania, Francia, Reino Unido y Alemania. España, por desgracia, es ahora víctima de estos señores. Sevilla, por desgracia, ha caído en sus redes.

Mi vecino, que es policía, ya me advirtió hace poco de que no abriera la puerta a desconocidos. Y mucho menos que dejara el frigorífico abierto. La Policía y la Guardia Civil llevan meses de campaña informativa advirtiendo de estas prácticas. Era cuestión de tiempo que llegaran a Sevilla.

¿Y ahora qué? Lo más importante es localizar el vector “0” y su trazabilidad. Además, resulta importante saber hasta dónde han llegado. La pregunta de siempre. Difícil saberlo. Si en estos dos días del ataque el Ayuntamiento no ha sido capaz de restaurar el sistema habría que pensar si han conseguido llegar hasta lo más profundo del sistema. Entonces sí que habría un problema muy serio. Pagar o no pagar. Es el dilema. No es posible que con dinero público se libre una partida para abonar el campo de unos delincuentes. Esperemos que a nadie se le pase por la cabeza. Por otro lado, pongámonos en lo peor: que no se consiga restaurar el sistema o que veamos las credenciales en el marcado negro de las subastas piratas en los mercados clandestinos. Al mejor postor. Hay que tener la cabeza fría. Analizar bien el vector “0”. Hay que dedicar tiempo de estudio a su trazabilidad maligna, sacar experiencias positivas y apoyar a los técnicos del Ayuntamiento de Sevilla que tienen un reto difícil ante un grupo criminal del otro lado de los Balcanes”.