Nuevo capítulo en el ciberataque a la multinacional de consultoría e ingeniería Ayesa. El grupo de ciberdelincuentes Black Basta cumplió y publicó el sábado en su blog una amenaza de publicación de los 4,5 terabytes de datos que ha sustraído de la empresa sevillana, que incluyen DNIs e identificaciones de empleados, proyectos de la compañía, planos y otro tipo de información. Sin embargo, los datos no son accesibles, una circunstancia que un ciberexperto achaca a un ataque de denegación de servicio (DDos) por parte de la propia compañía atacada, lo que otro profesional rechaza, al considerar que “Ayesa pagó y Black Basta quitó el enlace y las fotos de lo que tenía”.
Black Basta publicó este sábado en su blog de la dark web una entrada en la que cumplía su amenaza de hacer públicos los datos robados de Ayesa, entre los que se encuentran numerosos datos de proyectos, planos e internos de la empresa, incluyendo un listado con los nombres de 35 trabajadores y un montaje con sus DNIs, pasaportes y datos personales, además de los enlaces de descarga, pero no son accesibles, es decir, no ha habido transferencia de datos y los enlaces onion no funcionan, ni en la url normal ni en la red Tor.
La explicación, según el profesor y experto en ciberincidentes Rafael López, para que no se pueda descargar esos 4,5 terabytes de datos, es que “igual que ocurrió con el Clínic (el hospital de Barcelona fue atacado en marzo del pasado año), los Mossos lanzaron un ataque de denegación de servicio contra los servidores para que no se pudieran publicar los datos, con lo que los servidores (Black Basta tiene dos) se quedaron totalmente inaccesibles y nadie podía bajar datos ni el actor subirlos”.
El ataque DDos no impide, sin embargo, que los datos estén en la dark web y a disposición de terceros o de potenciales actores de amenazas, advierte López, que considera que Ayesa, además de los datos de los propios trabajadores, posee datos que se pueden utilizar para “campañas muy jugosas”, ya que la empresa actúa en sectores estratégicos, como pueden ser infraestructuras críticas, como aeropuertos o hospitales, ámbitos muy importantes “como para no vender esos datos”.
La posibilidad de que Ayesa haya emprendido un ataque DDos contra los servidores de Black Basta “dá que pensar qué clase de datos han robado”, reflexiona López, que además considera que tarde o temprano se hará pública toda la información, como ya ocurrió con el Clínic: “Tiene una infraestructura muy buena y, por algún sitio, saldrán”, advierte el profesor, que considera que la compañía no ha pagado ningún rescate porque “sería un daño reputacional enorme y gigante” para Ayesa, con la que ha sido muy crítica por la gestión pública del ciberataque, nada comparable con la que ha llevado a cabo el Banco Santander hace apenas una semana.
“Pagar no evita que el día mañana te los vuelvan a filtrar (los datos)”, apunta López, que recuerda que no son transacciones comerciales en las que se paga por unos datos y hay un fin. “Son cibercriminales que no tienen ningún tipo de honor, no hay un pacto entre caballeros”, recuerda López, que concluye dando por seguro no sólo que los datos, aunque no se puedan acceder, “están en la dark web” y como tal pueden ser vendidos a todos los actores.
No es de la misma opinión Adrián Ramírez, CEO de Dolbuck, que considera que “no hay evidencia” de un ataque DDos, ya que si se hubieran publicado los datos el contador no estaría al 0%, como aparece en la web, sino al 100%, y que la única evidencia es que “desde la URL de la red Tor y la normal, los enlaces no son correctos o no están definidos”.
Ramírez entiende que Black Basta publicó las fotografías de los datos que poseía, que son las que sí han podido descargarse, y “Ayesa posiblemente pagara para que no publicaran los datos. Y Black Basta quitó el enlace y las fotos de lo que tenía”, concluye.
La alerta de ASC
La publicación de los datos personales de 35 trabajadores, que son los que la dirección de Ayesa comunicó a la plantilla y directamente a los afectados, ha puesto en alerta a los representantes de los trabajadores y el sindicato ASC ya ha exigido a la consultora toda la información que ha sido sustraída por Black Basta. “Queremos acceder a esa información para saber a qué han tenido acceso, pues la empresa no nos ha informado de nada”, advierten desde el sindicato.
Además, desde el sindicato recuerdan que el servidor interno de la empresa que fue objeto del ciberataque se guardaban “los archivos de cotizaciones a la Seguridad Social de la plantilla”.
Ayesa presta servicios a numerosas administraciones públicas, entre ellas la Junta de Andalucía. Si se hubieran filtrado datos de ciudadanos, tendría que haber sido informado el Consejo de Transparencia y Protección de Datos de Andalucía pero, al menos hasta esta semana, la información que disponían de la Agencia Digital de Andalucía (ADA) es que no se habían visto comprometidos datos de la Junta, según la información que había facilitado la propia multinacional.