El ataque de los hackers a Avalia, entidad aragonesa dedicada a facilitar avales a pymes y autónomos, no se limitó al robo de datos de cuatro expedientes de empresas. Hubo mucho más. La brecha de seguridad abierta en esta sociedad tras el ciberataque sufrido el pasado 29 de marzo permitió acceder a unos siete gigas (7 GB) de información de cientos de firmas, entre las que se incluyen todo tipo de datos y documentos, números de cuentas bancarias, direcciones, DNI y teléfonos de responsables de empresas clientes de Avalia.

La información de estos archivos, a la que ha tenido acceso EL PERIÓDICO DE ARAGÓN, está alojada en una Dark Web e incluye alrededor de 750 documentos de Excel, 8.500 documentos Adobe Acrobat (PDF), un powerpoint, un documento de texto, 1.800 documentos de Word y más de 38.000 imágenes, entre las que figuran hasta 332 DNI y 169 archivos cifrados. En los mismos aparecen nombres de clientes, deudas de empresas, información financiera, demandas y sentencias judiciales, cuentas de sociedades, facturas a proveedores, documentación para petición de avales y datos oficiales de la Seguridad Social, por ejemplo.

El robo de datos que sufrió Avalia se ejecutó a través de un virus ransomware que logró encriptar cuatro ordenadores y el servidor central de la compañía, lo que disparó todas las alarmas en la sociedad y obligó a detener su actividad durante tres días, justo antes de Semana Santa. La intrusión fue denunciada ante la Unidad de Delitos Informáticos de la Policía Nacional y trasladada a la Agencia Española de Protección de Datos (AEPD), a la que se suele notificar este tipo de ciberataques.

El director de Avalia, José Carlos Montes, que subrayó hace solo unos días que el ataque había sido «grave», rechazó hablar con este diario y se limitó a trasladar, a través del Departamento de Economía, que la afección del ciberataque se limitó a 4 expedientes, por lo que no hay «ningún indicio de que el asunto sea más grave».

Sin embargo, este diario ha podido averiguar, a través de la información que obra en su poder, que la brecha de seguridad abierta en el sistema de Avalia afecta a cientos de empresas. De hecho, el lugar de la Dark Web en el que siguen alojados los datos robados a Avalia es de acceso público y cualquier persona puede consultar esos datos, según pudo comprobar EL PERIÓDICO DE ARAGÓN.

El ciberataque detrajo datos de Avalia que se subieron a esa web en dos ocasiones distintas. El primer archivo era relativamente pequeño. Pero hubo un segundo secuestro de datos de mayor volumen que quizá haya pasado desapercibido a Avalia. Este hecho puede haber sido el motivo por el que la entidad no ha comunicado estos hechos a los cientos de empresas que han quedado expuestas por el volumen de información alojada en la Dark Web.

Los archivos recabados de los servidores de Avalia por parte de los cibercriminales, terminaron siendo publicados y puestos a disposición de cualquier persona que pudiera acceder libremente al espacio donde están alojados. Esto es algo que suele ocurrir cuando el grupo criminal no ha obtenido respuesta a sus peticiones de lograr una recompensa (una importante cantidad económica, generalmente en criptomonedas) a cambio de facilitar la contraseña de descifrado de los archivos. La última modificación de los archivos en el servidor de la Dark Web, se realizó el 3 de abril, según pudo saber este diario.

El peligro de disponer de todo ese volumen de información por parte de los cibercriminales es que pueden utilizarla en su propio beneficio o venderla a terceros grupos delincuentes. Por ejemplo, son capaces de interceptar correos electrónicos sobre negociaciones o pagos e ingresos entre compañías. Si saben que este tipo de operaciones se están produciendo, se pueden hacer pasar por el receptor de un pago cambiando el número de cuenta, por ejemplo de una factura. Así, facilitan al pagador el número de cuenta de un destinatario que ellos controlan (normalmente con ‘mulas informáticas’) para que ese dinero se desvíe incluso fuera de España.

Denuncias y comunicación

Por ello, la operativa que debe seguir la entidad atacada es denunciar el robo de datos a la Unidad de Delitos Informáticos de la Policía Nacional y dar traslado a la Agencia Española de Protección de Datos (AEPD), como así hizo Avalia. Pero también resulta fundamental comunicar los hechos a las empresas afectadas, en este caso los cientos de empresas clientes de Avalia.

No es la primera vez que esto sucede en la comunidad. Ya le ocurrió a La Zaragozana, al Instituto Municial de Empleo (Imefez) y al Instituto Aragonés de Empleo a través del ataque que sufrió el SEPE. En Aragón se llegan a producir en un solo día 178 incidentes. Según el Instituto Nacional de Ciberseguridad (Incibe), en el segundo cuatrimestre del 2020 se detectaron 21.500 problemas.

«El 90% de las empresas tienen alguna vulnerabilidad, pero el problema es que no se ha tomado conciencia de que esto es muy habitual y que las consecuencias pueden ser muy graves», subraya Vicente Delgado, detective privado, hacker y uno de los mayores expertos en cibercriminalidad informática de España. «Esta es la delincuencia del siglo XXI», afirma tajante este experto en ciberseguridad, que ha sido condecorado en tres ocasiones con tres menciones honoríficas por parte del Ministerio del Interior por su colaboración en asuntos informáticos relacionados con intrusiones.

Recomendaciones

En este tipo de ataques la seguridad total «no existe», señala Delgado, si bien se pueden adoptar medidas preventivas que permiten reducir el impacto de los daños. Este experto aconseja tener tres copias de seguridad (original más dos backups) en dos soportes diferentes (discos duros, USB, entre otros), alojando la tercera copia en un lugar físico distinto para evitar pérdidas en caso de que se produzcan incendios o robos.

Delgado, que posee la certificación C|EH de Hacker Ético, también aconseja a los empleados no abrir archivos adjuntos en emails que no son de confianza y comprobar de quién viene el correo, algo muy recomendable en el caso de las facturas, ya que «se está observando un altísimo incremento de fraude por esta vía», subraya. También se deben evitar descargas de cualquier contenido de páginas que no sean de confianza y evitar dar datos personales o información más amplia de la absolutamente necesaria.

Este experto también recomienda no usar dispositivos desconocidos en los sistemas y tener cuidado con las redes públicas wifi. Por ello, recomienda no hacer gestiones con bancos e instituciones públicas mientras se está conectado a este tipo de redes.

En cuanto a las políticas de seguridad para las empresas, Delgado señala que es importante mantener el software actualizado, usar un buen software y hardware de seguridad que englobe protección para todos los dispositivos de red, y actualizar y monitorizar estos software y hardware para detectar situaciones anómalas

Pero sobre todo, a su juicio, lo fundamental es realizar inversiones en ciberseguridad. «Es crucial que se realicen a nivel de empresa, auditorías de seguridad en forma de un equipo externo a la propia compañía, con el fin de analizar vulnerabilidades de los sistemas e informar a los equipos de soporte de la empresa de como atajar ese problema». Toda cautela es poca ante el aumento de ciberataques en los últimos meses.