El Ayuntamiento de Sant Antoni ha relatado hoy mediante un comunicado y al detalle todo lo que ha sucedido desde que la madrugada del pasado jueves 1 de febrero detectó una actividad anómala en los sistemas municipales de la Policía Local.
Tras realizar una verificación de estos se concluyó que se trataba de un ciberataque del tipo Ransomware (un ransomware o ‘secuestro de datos’ en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción) en concreto del grupo LockBit.
Se trata pues de un “secuestro tecnológico”, derivado de cifrar la información municipal. «Por tanto, se gestiona esta situación de la mano de las Fuerzas y Cuerpos de Seguridad del Estado«, puntualizan.
Respecto a la petición de dinero por el rescate de datos (cuya cantidad no ha trascendido de fuentes oficiales), «está en manos de las Fuerzas y Cuerpos de Seguridad del Estado». «Se trata de un supuesto secuestro y nuestra labor es denunciar la situación para que los cuerpos de seguridad puedan realizar la investigación bajo sus protocolos. Con independencia de ello, desde el Ayuntamiento nunca se pagaría ningún rescate, ya que sería la forma de alimentar este tipo de actividades«, añaden.
Por otro lado, con ayuda de una empresa especializada en ciberseguridad y cumplimiento normativo (CIES), el Ayuntamiento inició la gestión de este incidente, dando los pasos ordenados para retornar lo antes posible a la normalidad.
Para ello, se creó un Comité de Crisis, instrumento que permite la coordinación del proceso de recuperación, formado por un equipo multidisciplinar. El comité está formado por el propio alcalde, implicando al equipo de gobierno, el departamento de Nuevas Tecnologías del Ayuntamiento, nuestros habilitados nacionales como secretario e interventor, el departamento de comunicación, así como otros puestos de responsabilidad necesarios para la toma de decisiones.
El primer día, a primera hora de la mañana, el Ayuntamiento se puso en contacto con el CERT (Equipo de Respuesta ante Emergencias Informáticas) de referencia en la Administración Pública, el Centro Criptológico Nacional (CCN). Se inició el proceso interno de valoración del incidente para notificar a la Agencia Española de Protección de Datos, comunicando la brecha de seguridad tal y como establece la ley, en el plazo no superior a las 72 horas.
El viernes se puso la denuncia ante la Guardia Civil y, tras comunicar públicamente lo sucedido, se trabajó en la primera fase el incidente, en la contención, realizando una desconexión de los sistemas afectados. Además se han habilitado los primeros servicios mínimos.
«Aunque es pronto para conocer el impacto, varios de los sistemas del Ayuntamiento siguen funcionando, ya que se encuentran alojados en Cloud externos. La herramienta que permite la gestión de expedientes administrativos y el correo electrónico están operativos. También se han reestablecido servicios básicos como el registro de entrada y salida y la tramitación del certificado de empadronamiento y de residente, que ya están operativos desde el viernes«, explican sobre las consecuencias del ataque.
Desde un inicio se crearon dos equipos de trabajo, uno especializado en realizar un análisis forense, con el objetivo de conocer más detalles sobre cómo fue la intrusión. En paralelo, otro equipo trabaja en el proceso de recuperación, con el objetivo de poner en funcionamiento los servicios, con la mayor rapidez posible e incrementando sus medidas de seguridad.
«Esta semana ya se ha restablecido la práctica totalidad del funcionamiento de los Servicios Sociales, con la creación de una nueva red provisional e instalación de equipos informáticos totalmente limpios en sus dependencias», añaden en un comunicado.
«Nuestros equipos están diseñando un plan de recuperación basado en restablecer nuestros servicios en Cloud, algo que nos permitirá agilizar el proceso de recuperación», concluyen.
