En la madrugada del jueves 1 de febrero se detectó una actividad anómala en los sistemas municipales de la Policía Local de Sant Antoni de Portmany. Tras realizar una verificación de estos se concluyó que se trataba de un ciberataque del tipo Ransomware, en concreto del grupo LockBit.
Se trata de un tipo de secuestro, en este caso es una situación particular pues es un «secuestro tecnológico», derivado de cifrar la información municipal. Por tanto, se gestiona esta situación de la mano de las Fuerzas y Cuerpos de Seguridad del Estado.
Por otro lado, con ayuda de una empresa especializada en ciberseguridad y cumplimiento normativo (CIES), el Ayuntamiento inició la gestión de este incidente, dando los pasos ordenados para retornar lo antes posible a la normalidad. Para ello, se creó un Comité de Crisis, instrumento que permite la coordinación del proceso de recuperación, formado por un equipo multidisciplinar. El comité está formado por el propio alcalde, implicando al equipo de gobierno, el departamento de Nuevas Tecnologías del Ayuntamiento, nuestros habilitados nacionales como secretario e interventor, el departamento de comunicación, así como otros puestos de responsabilidad necesarios para la toma de decisiones. En particular, hasta la fecha se han dado los siguientes pasos:
El primer día, a primera hora de la mañana, el Ayuntamiento se puso en contacto con nuestro CERT de referencia en la Administración Pública, el Centro Criptológico Nacional (CCN).
Se inició el proceso interno de valoración del incidente para notificar a la Agencia Española de Protección de Datos, comunicando la brecha de seguridad tal y como establece la ley, en el plazo no superior a las 72 horas.
El viernes se puso la denuncia ante la Guardia Civil.
Se han realizado comunicados, informando de lo sucedido a través de nuestras redes sociales y correo electrónico.
Se ha trabajado en la primera fase el incidente, en la contención, realizando una desconexión de los sistemas afectados.
Se han habilitado los primeros servicios mínimos.
Aunque es pronto para conocer el impacto, varios de los sistemas del Ayuntamiento siguen funcionando, ya que se encuentran alojados en Cloud externos. La herramienta que permite la gestión de expedientes administrativos y el correo electrónico están operativos. También se han reestablecido servicios básicos como el registro de entrada y salida y la tramitación del certificado de empadronamiento y de residente, que ya están operativos desde el viernes.
La respuesta inicial a cualquier ciberataque comienza en la denominada fase de contención, por lo que con carácter preventivo se decidió detener todos los sistemas para que puedan ser analizados en detalle y minimizar el impacto del ataque.
Desde un inicio se crearon dos equipos de trabajo, uno especializado en realizar un análisis forense, con el objetivo de conocer aspectos como más detalles sobre la intrusión. En paralelo, otro equipo trabaja en el proceso de recuperación, con el objetivo de poner en funcionamiento los servicios, con la mayor rapidez posible e incrementando sus medidas de seguridad.
Respecto a la petición de rescate, está en manos de las Fuerzas y Cuerpos de Seguridad del Estado. Se trata de un supuesto secuestro y nuestra labor es denunciar la situación para que los cuerpos de seguridad puedan realizar la investigación bajo sus protocolos. Con independencia de ello, desde el Ayuntamiento nunca se pagaría ningún rescate, ya que sería la forma de alimentar este tipo de actividades.
Esta semana ya se ha restablecido la práctica totalidad del funcionamiento de los Servicios Sociales, con la creación de una nueva red provisional e instalación de equipos informáticos totalmente limpios en sus dependencias .
Los siguientes pasos, pasan por continuar con el proceso coordinado a través del Comité de Crisis. Nuestros equipos están diseñando un plan de recuperación basado en restablecer nuestros servicios en Cloud, algo que nos permitirá agilizar el proceso de recuperación.