Un ransomware deja sin servicio al Ayuntamiento de Cambrils, el 22 de diciembre de 2020.

 

La red del Ayuntamiento de Cambrils estuvo paralizada durante seis semanas tras recibir una infección de ransomware.

 

El ransomware afectó a los sistemas informáticos del Ayuntamiento, bloqueando el acceso a la información.

 

 

Al parecer y según explicó el propio Ayuntamiento en el pleno extraordinario, celebrado el 29 de enero de 2021, el problema fue ocasionado por una infección de ransomware.

 

Las infecciones de ransomware a infraestructuras críticas, organizaciones públicas y empresas privadas de todos los tamaños, son el objetivo diario de los ciber delincuentes.

 

Al parecer, el personal del Ayuntamiento utilizaba conexiones VPN habilitadas para acceder de forma remota a la infraestructura del Ayuntamiento.

 

Siempre según las explicaciones facilitadas por el Ayuntamiento, un usuario tenía la contraseña comprometida y dejó la puerta abierta para que los ciber atacantes pudieran acceder al sistema.

 

El siguiente paso siempre es encriptar datos, quizás robar información y solicitar un rescate para ofrecer la recuperación de los sistemas y de la información.

 

Desde el Ayuntamiento de Cambrils, negaron cualquier petición de rescate, a pesar de que en la prensa fueron publicadas informaciones contrarias.

 

A principios de mayo de 2021, el Ayuntamiento de Cambrils ha informado a la población la suspensión del servicio de elaboración de la renta 2020, como consecuencia del ransomware recibido. 

 

Según informan desde el consistorio, en la actualidad, el Ayuntamiento de Cambrils se encuentra en fase de renovación de la red informática.

 

Otros servicios ofrecidos por el Ayuntamiento, siguen todavía sin funcionar:

Cambrils_nova

Una filtración de ransomware en la red de una administración pública, puede llegar como consecuencia de tener:

  • Redes públicas obsoletas,
  • Sistemas operativos desactualizados,
  • Redes y ordenadores sin proteccion,
  • Configuraciones erróneas o no revisadas,
  • Una red sin medias técnicas, organizativas ni procedimientos de seguridad definidos ni desplegados y sobretodo,
  • Usuarios sin formación en ciberseguridad, sensibilizados y concienciados.

 

El 25/1/2019 el Ayuntamiento de Cambrils adjudicó, por un año, el contrato de mantenimiento del CPD a una empresa, por importe de 22.100 € iva incluido.

 

La fecha de finalización de este contrato era el 25/1/2020.

 

Con fecha 28/12/2020, es decir, 6 días después de recibir la infección de ransomware, adjudicaron el contrato de mantenimiento del CPD, por valor de 138.085,65 € iva incluido, por 4 años.

 

El contrato ascendió a 552.000 € iva incluido.

 

Se trata de un expediente de tramitación urgente para un contrato de suministro en modalidad de alquiler, cuyos detalles pueden verse aquí.  

 

En este caso, la empresa adjudicataria es BBVA, 😮.

 

Se trata de un contrato urgente, adjudicado a una entidad financiera que proporciona el renting de los equipos y servicios de un contrato en el que no se muestra a la empresa suministradora (el partner o distribuidor) que materializará los trabajos.

 

Cosas de las adjudicaciones urgentes 🤫

 

Leyendo los detalles de la infraestructura disponible en el Ayuntamiento en el momento de recibir el ransomware, se observa que ya disponían de dos salas de CPD, un entorno duplicado, máquinas virtuales y copias de seguridad configuradas.

 

También tenían instalados y configurados firewalls, electrónica de red, vpn para conexiones remotas y un servicio de 400 buzones de correo electrónico mediante Exchange.

 

Aunque en el pliego de requerimientos previo a la adjudicación del contrato, se hace pública la siguiente mención:

 

“Respecte a sistemes operatius, s’observa un parc força desactualitzat on actualment hi predominen sistemes operatius Microsoft WS2008R2.”

 

Es decir, algunos sistemas operativos de servidores, quizás estaban desactualizados a pesar de estar bajo un contrato de mantenimiento.

 

Cuando el entorno de red, similar al que hemos tratado, se encuentra correctamente dimensionado, gestionado y supervisado, los tiempos de recuperación de las copias de seguridad no superan nunca una semana.

 

Pero sobretodo, cuando las organizaciones, publicas y privadas, invierten en tecnología y en un curso de formación en ciberseguridad para sensibilizar y concienciar a los usuarios del sistema en el uso de la tecnología, no hay ransomware capaz de entrar.