Grupo criminal
Quiénes son LockBit, los piratas detrás del ciberataque que ha paralizado al Ayuntamiento de Sevilla
Un grupo internacional ataca y pide un rescate millonario al Ayuntamiento de Sevilla
Carles Planas Bou
Periodista
Periodista tecnológico entre el mundo digital y la política internacional. Centrado en capitalismo de plataformas, IA, vigilancia y derechos digitales. Excorresponsal en Berlín durante más de cuatro años, cubrió los gobiernos de Merkel, la crisis de los refugiados y el auge de la extrema derecha. También ha trabajado en Europa Central y en Canadá. Graduado en Periodismo por la URL y máster en Relaciones Internacionales por la UAB. Ha colaborado con TV3, TVE, Deutsche Welle, Catalunya Ràdio, El Orden Mundial o El Salto.
Carles Planas Bou
Este lunes, el Ayuntamiento de Sevilla vio como todos sus servicios informáticos quedaban paralizados de golpe. El consistorio había sido víctima de un ciberataque que podría exponer datos muy sensibles de la ciudadanía, una información que ahora se encuentra retenida. Esta agresión informática ha sido perpetrada por LockBit, una secretiva banda criminal considerada una de las mayores amenazas mundiales en materia de ciberseguridad.
Es también una sofisticada familia de 'ransomware', como se conoce técnicamente a los virus informáticos especializados en secuestrar datos por los que después exigen el pago de un rescate económico. Son uno de los vectores de ataque más populares. Cuanto más sensible sea la información retenido mayor será el poder de chantaje de los atacantes. En el caso que nos ocupa, están reclamando al consistorio andaluz que abone hasta 1,5 millones de dólares.
LockBit fue detectado por primera vez a finales de 2019, cuando el grupo también se conocía como 'ABCD'. Desde entonces, sus ataques se han disparado año a año hasta convertirse en el grupo de 'ransomware' más activo del panorama digital. En 2022 perpetró un total de 764 ciberataques exitosos y este año sus acciones han ido a más, sumando otros 300 en el primer trimestre, según datos de la plataforma de análisis de ciberseguridad SOCRadar. En total, acumula unas 1.500 víctimas en países como Estados Unidos, China, India, Alemania, Francia, Indonesia y Ucrania.
Beneficios millonarios
Los ataques de LockBit pueden desangrar económicamente a sus víctimas, tanto por la parálisis que fuerzan en sus servicios informáticos como por los costes derivados del pago del rescate o de la mitigación. Con todo, la extorsión ha demostrado ser un modelo de negocio especialmente lucrativo. "Los miembros de LockBit han obtenido, por lo menos, cien millones de dólares en demandas de rescate, y además han extraído millones de dólares en pagos efectivos de sus víctimas", alertó el Departamento de Justicia de Estados Unidos en noviembre del año pasado.
Entre las víctimas de sus métodos figuran más de mil organismos públicos, empresas privadas. infraestructuras estratégicas e individuos en todo el mundo de ámbitos muy dispares. Algunas de las más notorias han sido Royal Mail, la compañía de servicio postal del Reino Unido, hospitales infantiles en Canadá, escuelas en EEUU o un túnel en Australia.
Criminales profesionales
Estos ciberdelincuentes operan de forma altamente profesionalizada. El grupo tendría una unidad central que crea el virus informático y lo vende a 'afiliados' que lanzan los ataques contra sus objetivos. Ese funcionamiento se conoce como 'ransomware como servicio'. Si los 'afiliados' logran penetrar en las defensas de su víctima y obtener un cuantioso rescate después comparten hasta tres cuartas partes de ese dinero con los otros miembros del grupo, según la firma de ciberseguridad Kaspersky. Se desconoce cuántos 'afiliados' participan de ese oscuro negocio, pero se cree que más de 50.
Ese método organizado les permite venderse como un grupo prolífico, lo que a su vez les facilita seducir y captar a nuevos socios. "De todos los grupos, probablemente han sido los más profesionales y esa es, en parte, la razón de su durabilidad", explió Brett Callow, analista de amenazas de la empresa de antivirus Emsisoft a 'Wired'.
Otra de las claves de su éxito ha sido su capacidad de adaptación. Desde su debut en 2019, el grupo ha ido desarrollando técnicamente su 'malware' –fácil de usar– para hacerlo cada vez más dañino. Su última actualización, por ejemplo, le permite desactivar los avisos de seguridad del sistema de la víctima para que esta no sepa que está siendo atacada. Ahora, trabajan para poder dirigirlo a más sistemas operativos, afectando así no sólo a los dispositivos de Microsoft, sino también a los de Apple o a los que usan Linux.
- Cambio de horarios en los colegios de España: malas noticias para los padres
- Aparece una bebé recién nacida abandonada en el baño de un supermercado de Castellón
- La ola de calor dará paso a un cambio brusco del tiempo en Catalunya, con bajada de las temperaturas y chubascos
- Los Mossos creen que los agentes detenidos abusaron de su 'conocimiento' en 'protección de personalidades' para facilitar la fuga de Puigdemont
- Una vaguada de aire frío amenaza con traer fuertes tormentas y una bajada de las temperaturas en las próximas horas
- Alerta alimentaria: piden retirar este pescado de los supermercados
- Incendio en la torre Godó de la Diagonal de Barcelona
- Sindicatos de Mossos instan a no iniciar una 'caza política de brujas' dentro del cuerpo a raíz de la fuga de Puigdemont