La investigación maneja que 'Devman' habría sustraído hasta 120 gigas de archivos municipales de Níjar

El ataque digital se habría configurado a través de programas maliciosos diseñados específicamente para robar credenciales de acceso, contraseñas, cookies de sesión y otra información sensible del usuario, incluso sin que este lo advierta. Fuentes cercanas a la investigación apuntan a que habrían sustraído en torno a 120 gigas de archivos. Sin embargo, se desconoce la tipología de los mismos. Lo que sí aseguraron es que desde el primer momento se han seguido todos los protocolos establecidos por el Esquema Nacional de Seguridad y el Instituto Nacional de Ciberseguridad (Incibe) así como se tomaron «todas» las medidas necesarias de prevención para evitar posibles ataques.

Los hechos, según confirman desde el Consistorio nijareño, se produjeron durante la madrugada del sábado al domingo y la denuncia de este ataque de ransomware se interpuso este martes, 27 de mayo, en la Guardia Civil para dar con los posibles responsables. Este grupo, conocido mundialmente por vulnerar información a administraciones y pedir rescates a sus víctimas, no habría solicitado ninguna petición económica al ayuntamiento para la recuperación y restitución del sistema. Sin embargo, Níjar confirmaba a primera hora de este miércoles que «ya se está trabajando con normalidad» y los servicios se encontraban totalmente restituidos. «Afortunadamente estamos bien protegidos», manifestaban ayer.

Por su parte, la Diputación de Almería avisaba el lunes a última hora por comunicación interna a las instituciones de la provincia adheridas a la Red Provincial para aconsejarles cómo actuar en el uso de la misma trasladándoles lo ocurrido en Níjar y advirtiéndoles de la extrema vulnerabilidad que suponen algunas actividades comunes en otros equipos como abrir correos electrónicos desconocidos o descargar programarios sin los permisos oportunos. Este aviso, al que ha tenido acceso IDEAL, consideraron el ataque de tipo 'infostealer', donde el malware espía, o virus informático, habría robado credenciales de acceso, contraseñas, cookies de sesión y otra información sensible del usuario. «Estos infostealer se instalan tanto en ordenadores personales como en dispositivos móviles», indicaron desde la Institución Provincial, los ciberdelincuentes pueden «infiltrarse en redes institucionales y cifrar archivos críticos, como ha ocurrido en este caso».

Toda vez que en el comunicado han recordado la importancia de cumplir estrictamente con las normas básicas de ciberseguridad en todos los dispositivos conectados a la Red Provincial. Como ejemplo, recuerdan, no abrir correos electrónicos sospechosos ni hacer clic en enlaces o archivos adjuntos no verificados, usar contraseñas seguras, únicas y cambiarlas de forma periódica; activar el doble factor de autenticación, mantener los sistemas y aplicaciones actualizados, no instalar software no autorizado o de origen dudoso y desconfiar de mensajes urgentes o alarmantes que soliciten credenciales.

También apuntan a la importancia de no utilizar «las credenciales corporativas» en páginas web dudosas y conexiones a internet públicas. Así, consideran que hay que utilizar «de forma responsable» las conexiones remotas por VPN. Desde la Diputación de Almería siguen «reforzando las medidas de protección» en la Red Provincial de Comunicaciones, «pero la seguridad también depende del uso responsable por parte de cada usuario». Anuncian que ante cualquier comportamiento sospechoso o incidente de seguridad, hay que contactar «de inmediato» con el Servicio de Infraestructura Tecnológica, Seguridad y Atención a Usuarios.

Acceso a archivos «críticos»

No obstante, y pese a la certificación de que el ciberataque no ha conseguido «contagiar» al resto de consistorios de la provincia de Almería, la preocupación al respecto de lo ocurrido es máxima. Primordialmente porque los agentes de la Guardia Civil quieren dar con los cibercriminales siguiéndoles el rastro. Y por otro porque gracias a este sofisticado ataque los ciberdelincuentes habrían podido infiltrarse «en redes institucionales y cifrar archivos críticos».

De momento, el ciberataque sufrió Níjar este fin de semana no ha causado, así lo certifican los servicios técnicos de la Diputación de Almería, ninguna afectación a otros ayuntamientos que se benefician de la Red Provincial de Comunicaciones de la Diputación Provincial de Almería. Esto es: al menos, según los primeros indicios e investigaciones internas, el ataque cibernético no habría conseguido adentrarse en las profundidades de la red provincial, lo que habría supuesto la multiplicación de los problemas a al menos un centenar de municipios de Almería.

La utilización de la red provincial es vigilada por técnicos de la Diputación que lanzan a menudo avisos sobre cómo utilizarla para evitar riesgos innecesarios y ciberataques que puedan desestabilizar la prestación de servicios o, incluso, como en este caso, dejar al descubierto datos sensibles de la población que debieran quedar bajo recaudo de las administraciones públicas. En este caso -apuntan fuentes cercanas a la investigación- el ataque digital se habría configurado a través de programas maliciosos diseñados específicamente para robar credenciales de acceso, contraseñas, cookies de sesión y otra información sensible del usuario, incluso sin que este lo advierta.

Según trasladan a IDEAL fuentes oficiales de la Institución Provincial, el ciberataque se ha circunscrito «exclusivamente» al sistema informático con el que trabaja el cuarto municipio de la provincia por población, Níjar, sin más extensión. Por el momento, se desconocen los datos a los que habría tenido acceso el grupo Devman así como la calidad de los mismos, si bien el hecho de que los investigadores los hayan definido como «archivos críticos» da una proyección elocuente sobre la magnitud del ataque. Desde el Consistorio nijareño no se pronunciaron más allá del comunicado sobre la situación y pidieron «dejar actuar» a las autoridades policiales en la caza y captura de los cibercriminales y defienden que «afortunadamente» en el Ayuntamiento se está «bien protegido» y se trabaja «con normalidad».