Según el ayuntamiento de Amberes, los datos robados por los piratas informáticos no han causado ningún daño grave a los ciudadanos. Se referiría principalmente a datos administrativos. Los expertos tienen sus reservas sobre esta explicación.
“Por lo que los expertos han podido determinar hasta la fecha, actualmente no hay indicios de que se hayan robado datos personales que puedan dañar gravemente a los particulares”. Eso es lo que dijo el alcalde de Amberes, Bart De Wever (N-VA), en una conferencia de prensa el lunes por la mañana sobre el ataque del colectivo de hackers Play.
El lunes era, por tanto, Deadline Day, el día en el que la ciudad debía pagar un rescate a cambio de los datos que el colectivo de hackers había captado hacía unas dos semanas. De Wever reafirmó lo que ya había dicho: que la ciudad no pagó ningún rescate y no negoció con el colectivo hacker. La ciudad en sí no explicó por qué Amberes ya no figura en el sitio web de Play.
Es una historia que Pieterjan Van Leemputten, periodista de TI en Noticias de datospero difícil de creer. “Me parecería muy extraño”, dice. “Si todo lo que dice la ciudad es correcto, estamos ante un milagro navideño. Entonces, ¿qué creo que pasó? Eso es pura especulación. ¿Quizás otro partido o empresa ha pagado en nombre de la ciudad y será reembolsado después? Yo no sé.»
Seguir migas
Sin embargo, la ciudad proporcionó explicaciones adicionales sobre lo sucedido. El asalto abierto de Play a los servicios de la ciudad comenzó el 6 de diciembre. “Descubrimos a través de una investigación forense que los piratas informáticos habían estado en los sistemas de la ciudad desde el 24 de noviembre”, dice Youri Segers, director digital y director ejecutivo de Digipolis. Segers no pudo o no quiso decir cómo Play obtuvo acceso a los sistemas de la ciudad.
Cuando el ataque salió a la luz, la ciudad entró rápidamente en un bloqueo digital. Como resultado, muchos servicios de la ciudad no estuvieron disponibles por un tiempo. Este sigue siendo el caso de algunos servicios. Hay una buena razón para este reinicio lento: la ciudad no quiere reiniciar los sistemas hasta que esté segura de que el riesgo de un nuevo ataque no es demasiado grande. Puede tomar hasta finales de enero antes de que todos los servicios vuelvan a funcionar. Mientras tanto, la ciudad también está construyendo una nueva infraestructura digital con mejor seguridad.
Casi inmediatamente después del ataque, la propia Amberes también fue en busca de qué datos lograron robar los piratas informáticos. Para ello, siguió los rastros dejados por Play y comprobó ella misma los datos más sensibles. “Si reunimos todas las migajas que encontramos, terminamos con un paquete de datos que es aproximadamente del tamaño de lo que los propios delincuentes en la web oscura afirman haber capturado”, dice Bart Bruelemans, director de resiliencia.
Por lo que Amberes puede determinar, los piratas informáticos pudieron acceder principalmente a datos administrativos. Esto se refiere a datos de personal, correos electrónicos, planos de construcción, archivos de seguros o datos contables. Aunque la ciudad está teniendo un duro golpe. “Estos grupos se especializan en pasar desapercibidos”, dice Segers.
“¿Qué tan bien pueden rastrear exactamente lo que ha sido robado? Esa es y sigue siendo la pregunta”, dice el profesor de seguridad informática Bart Preneel (KU Leuven). “Si los piratas informáticos borraron los rastros, la ciudad no lo sabe. Por eso la redacción de la ciudad es tan cuidada. Ahora no puede decir con absoluta certeza qué información se filtró. Un mensaje de ‘podemos dormir tranquilos’ no sería apropiado aquí”.
Información sensible
Por otro lado, según Preneel, es posible que los hackers no busquen específicamente información sensible, sino que simplemente intenten apoderarse de la mayor cantidad posible. “Esos piratas informáticos no son flamencos”, dice. “Tal vez no saben qué buscar. Por ejemplo, podría ser que hayan golpeado sistemas que son menos sensibles. Aunque los datos del personal o las aplicaciones de construcción también pueden contener información confidencial”.
Eso es lo que preocupa al informático Jeroen Baert sobre la comunicación de la ciudad de Amberes. “Parece que Amberes está cometiendo un error al estimar cuántos problemas pueden causar incluso los datos secundarios, como una dirección de correo electrónico, un nombre o la hora de una reunión. suplantación de identidad. Ahora supongamos que un hacker sabe cuándo hemos acordado. Si ese hacker le envía un correo electrónico en mi nombre preguntándole si puede «verificar este documento después de nuestra reunión de la semana pasada», rápidamente asume que solo el verdadero Jeroen Baert puede saber que hubo un acuerdo a través del cual abrió ese documento. Puede ser que todo esto sea parte de una estrategia de comunicación para decir lo menos posible, pero el hecho de que no se tenga en cuenta la posibilidad de que se hayan filtrado muchos datos sensibles no me inspira confianza”.
Quizás la ciudad de Amberes no muestra el dorso de su lengua. Aunque todos los expertos son muy conscientes de por qué es así. “Lo entendería”, dice Van Leemputten. “Como periodista prefiero ver toda la información sobre la mesa. Pero cuando se trata de ransomware, sé que las empresas y los gobiernos no pueden compartirlo todo. No quiere dar a los delincuentes la señal de que está dispuesto a pagar un rescate, por ejemplo”.
La ciudad de Amberes también contribuiría indirectamente a otros ataques contra otros objetivos. Ese riesgo no puede subestimarse. La investigación de la ciudad mostró que otras ciudades como Lovaina, Hasselt y Genk también pueden estar en riesgo. La Asociación Flamenca de Ciudades y Municipios (VVSG) confirmó a la agencia de prensa Belga que estaban tomando medidas.