BlackCat, el ataque multinivel que amenaza a la ciberseguridad del Municipio de Quito

“El Municipio está bajo ataque”. Esta fue una de las frases más contundentes que Franz Enríquez Pozo, director de Tecnologías e Informática del cabildo quiteño, dijo la mañana de este 22 de abril del 2022.

El funcionario presentó un informe preliminar sobre el ciberataque que ha causado problemas en los sistemas informáticos de la ciudad.

Ante la Comisión de Conectividad, él determinó que el malware que ha inhabilitado varios servicios es de tipo BlackCat. Se trata de un ransomware que empezó a circular desde finales del 2021 a escala mundial y que se encuentra entre los más agresivos de este año.

En su exposición, Enríquez explicó que el “direccionamiento de este ataque era dejar inservible la infraestructura y dejar inservible la información” con la que cuenta el Municipio. Añadió que BlackCat “estaba orientado a encriptar la información; a encriptar las máquinas virtuales”.

A breves rasgos, las máquinas virtuales permiten ejecutar programas como si se tratara de una computadora real. De esta manera, los usuarios acceden a la información que está en una base de datos.

“El foco del ataque fue la consola del administrador de virtualización”, dijo Enríquez. Esta permite monitorear todos los servidores virtuales de la infraestructura. “Acceden a esta máquina virtual y la bloquean. Entonces tienen visibilidad más adentro para poder gestionar la infraestructura”, añadió.

De acuerdo con Kaspersky, “los creadores del ransomware BlackCat ofrecen sus servicios bajo la estrategia ransomware como servicio (RaaS por sus siglas en inglés). En otras palabras brindan a otros atacantes acceso a su infraestructura y código malicioso y, a cambio, obtienen una parte del rescate”.

Este ransomware puede cifrar los datos en entornos Windows y Linux (software de código abierto). Paralelamente, extrae información de la estructura afectada para amenazar a la entidad de revelarlos si no cancelan un valor.

En su intervención, Enríquez dijo que varios intentos del ataque se identificaron “desde servidores ubicados en otros países”, los cuales trataron de acceder a la infraestructura, según información que les habría proporcionado el Centro de respuesta a incidentes informáticos del Ecuador (EcuCert). A pesar de ello, él no descartó que la operación se haya podido realizar desde el país mediante triangulación.

“La plataforma que fue atacada fue la que es basada en software libre. La de software propietario no fue atacada”, añadió el funcionario. También expuso que nunca se dijo que se perdió información, “sino que se comprometió información del 15 al 18%”. “Hasta el momento no tenemos evidencia de que haya data que haya perdido su integridad”, enfatizó.

Al momento aseguró que han aislado las máquinas comprometidas y que incluso las tienen conectadas a la internet, pero no a la red informática del Municipio, hasta que la Fiscalía desarrolle su peritaje.

Entre las formas de contener el ataque y de restaurar los servicios, el equipo informático está “desconectado”, dijo Enríquez.

El Municipio no se ha pronunciado sobre si los ciberatacantes han solicitado algún monto para liberar a los sistemas comprometidos. 

En los más recientes hackeos de este tipo en el extranjero, los delincuentes informáticos han llegado a pedir hasta USD 14 000 000 para restaurar las máquinas y devolver la información sustraída.

El actual presupuesto de ciberseguridad del Municipio para este 2022 es de USD 1 155 000. Para este año está planificado adquirir nuevas herramientas para este tipo de conflictos informáticos.

• ¿Qué es ransomware? Especialista analiza ataque informático a Municipio de Quito
• Municipio de Quito denuncia en Fiscalía el hackeo a sus sistemas informáticos
• Municipio de Quito suspende trámites digitales por ataque de hackers
• Anonymous revela nombres de soldados rusos que luchan en Ucrania
• Las estafas y el robo de datos se hacen también vía WhatsApp