La Guardia Civil cree que el ciberataque sufrido buscaba pedir un rescate tras encriptar datos

Encriptar información confidencial en el sistema y pedir un rescate a cambio para desbloquear esos datos. Este habría sido el objetivo de los autores del ciberataque que sufrió una empresa médica subcontratada por la Dirección General de la Guardia Civil y el Ministerio de Defensa el pasado el pasado 22 de marzo, y que habría puesto en jaque datos personales y sanitarios de miles de agentes y miembros de las Fuerzas Armadas, según señalan a THE OBJECTIVE fuentes próximas a la investigación, a cargo de la Unidad Central Operativa (UCO) del Instituto Armado y de la Unidad Central de Ciberdelicuencia (UCCiber), dependiente del Estado Mayor de la Benemérita. 

Tras las primeras pesquisas, la Guardia Civil ha descartado casi por completo que el ciberataque lograse sustraer material sensible de los servicios de información de la compañía afectada, Medios de Prevención Externos Sur SL, encargada de la realización de los reconocimientos médicos en el marco de la vigilancia de la salud a los citados funcionarios. Estas mismas fuentes apuntan a un hecho clave, y es que el ataque que sufrió la firma fue «de tipo Ransonware Lockbit 3.0». Una clase de virus informático que lo que hace normalmente es encriptar información, más que robarla, para después pedir dinero a la compañía a cambio de recuperarla, es decir, de devolverla a su estado original.

Un extremo que no se habría producido, apuntan fuentes cercanas a las pesquisas, porque lo común es que la empresa atacada tenga respaldada toda la información y recupere los datos de manera autónoma. De hecho, en el comunicado que lanzó el pasado lunes, la firma, que denunció inmediatamente los hechos ante la Guardia Civil, advirtió «que contaba con copias de seguridad que habían permitido poder seguir prestando el servicio a todo el personal objetivo de los reconocimientos médicos». Y aseguró que «no había evidencia de que se hubiese producido una fuga de información». 

Los ciberataques se han extendido por toda España con suma rapidez. Los últimos datos muestran un aumento del 22% en empresas y particulares y un aumento en el cómputo total con 110.840 ataques respecto al año anterior, según la estadística que realiza la tecnológica española Pandora FMS. El problema, apunta su CEO, Sancho Lerena, es que el sector empresarial todavía no blinda lo suficiente sus sistemas. «El nivel de ciberseguridad que hay en España sigue siendo inferior al requerido. Hay casi un 90% de empresas que tienen alguna medida de seguridad, pero apenas el 5% utiliza todas las que recogen organismos como el Ontsi. El sector TIC es el más avanzado, pero tienen que acompañarle el resto de sectores», apunta.

¿Qué datos tenía la empresa atacada?

Lo que no ha quedado del todo claro es qué tipo de datos tenía la compañía de reconocimientos médicos sobre los guardias civiles y miembros de las Fuerzas Armadas. Según detalló la firma en la nota, los autores del ataque informático podrían haber tenido acceso «número de la tarjeta de identificación personal (TIP); el número de teléfono móvil; correo electrónico; fecha de nacimiento: sexo; puesto de trabajo; resultado del reconocimiento médico y certificado de aptitud». 

Ante esto, en el comunicado interno que distribuyó el lunes entre los agentes, la Guardia Civil insistió en que la empresa MPE no contaba, en ningún caso, con los nombres nombres, apellidos o DNI de ningún guardia civil ni del personal de las Fuerzas Armadas o personal civil con destino en el ámbito de la Dirección General de la Guardia Civil». Y recomendó al personal «estar alerta ante correos, mensajes sospechosos o llamadas que pudieran suplantar» a la empresa afectada. De darse el caso, proseguían, debían ponerlo en conocimiento de la unidad que investiga el ciberataque.  

Distintos guardias civiles afectados por el ataque informático, sin embargo, ponen en duda la versión que mantienen el Instituto Armado y la firma, y aseguran que esta última sí poseía datos como el nombre y los apellidos de los agentes en sus servicios de información. «El informe que te mandan, con el resultado de las analíticas y todas las pruebas, va relacionado con nuestro TIP, que está asociado, al mismo tiempo, a nuestros nombres y apellidos, y así aparece en el documento», aseguran estas fuentes. 

Análisis forense

Como prevención, MPE SL ha adoptado una serie de medidas «técnicas e informáticas» para detener la afectación del ciberataque y erradicar su capacidad, indican en el comunicado, rubricado por el director general de la compañía. Como primera solución, la empresa afectada ha realizado un «análisis forense del impacto y alcance del ciberataque», ha ejecutado un «proceso de restauración de la información» y ha iniciado un cambio masivo de contraseñas. Para ello, ha informado a los funcionarios, deben entrar a la página web y cliquear en «he olvidado contraseña». 

«Esto hará que le llegue un correo electrónico donde podrá restablecerla. Dicha contraseña deberá cumplir unos requisitos de seguridad. Tendrá varios intentos para introducir la contraseña, tras los cuales, de no conseguirlo, el usuario se bloqueará durante unos minutos», explican.