"Varón, 86 años, quiere suicidarse con lejía". El hackeo más grave a un ayuntamiento español

Viernes 17 de mayo de 2019, 13:55 horas. La Policía Local de Castellón de la Plana se dirige a una céntrica calle de la localidad por un aviso de emergencia: un hombre de 86 años amenaza con suicidarse bebiendo lejía y tirándose por el balcón de su domicilio. Tras comprobar la situación, avisan a la Policía Nacional y al Centro de Información y Coordinación de Urgencias (CICU). Entre todos consiguen que el hombre cese en su empeño, lo detienen, lo trasladan al hospital para una evaluación sanitaria, localizan a su hijo y hablan con él para conocer la situación social y psicológica del afectado.

Esta información no la conocemos por fuentes oficiales, sino por uno de los ciberataques más graves de los últimos años a una administración pública española: el sufrido el pasado 31 de marzo por el ayuntamiento de Castellón, que ha visto cómo la 'Deep Web' se llenaba recientemente de 119,34 gigabytes de material confidencial que, en los cinco días que estuvo 'online', fue visto por más de 2.500 personas. Un ciberataque que evidencia dos cosas: en primer lugar, que cualquier ciudad, sea cual sea su tamaño, puede sufrir un incidente idéntico; y, segundo, y mucho más importante, que este tipo de ataques no afecta solo a los archivos internos de un ayuntamiento, sino también a los propios ciudadanos, cuyos datos privados y personales quedan expuestos a la vista de cualquiera y del uso delictivo que otros quieran darle. Se trata, en definitiva, de un asunto mucho más grave que un 'simple hackeo'.

Víctimas de maltrato, informes policiales...

El Confidencial ha tenido acceso a dos de los 246 archivos del Ayuntamiento de Castellón filtrados. Pese a haber examinado menos del 1% de la información total, el material comprobado ya incluye un sinfín de archivos confidenciales que afectan gravemente tanto a las operativas internas del ayuntamiento de Castellón como a los datos personales de los ciudadanos de esa localidad. Entre el material al que ha accedido este diario se encuentran los siguientes elementos:

• Datos completos de víctimas de violencia de género.
• Atestados policiales.
• Datos personales de agentes de policía.
• Datos de ciudadanos sometidos a controles de drogas.
• Fotografías de ciudadanos heridos o fallecidos en accidentes de tráfico.
• Historial de intervenciones de asistencia sanitaria.
• Datos de menores con absentismo escolar.
• Correos internos del consistorio.
• Contraseñas de servidores del ayuntamiento y de cámaras de seguridad.
• Nóminas del ayuntamiento.
• Información de seguros de accidentes.

Los datos personales de víctimas de violencia de género se pueden consultar por dos vías. La principal es un archivo en formato PDF en el que aparecen los datos completos de las víctimas (nombre y apellidos, DNI, teléfono, dirección física) y el policía que cada una de ellas tiene asignado para su protección. El archivo está protegido por contraseña, pero un ataque de fuerza bruta puede romperla.

Hay otra forma de acceder a los datos de víctimas o denunciantes de violencia de género. En los archivos filtrados hay diversos documentos de atestados policiales, muchos de ellos relativos a esta materia. En uno de los consultados por este diario se incluye los datos (nombre y DNI) de una mujer de 25 años que el 31 de enero de 2019 apareció en el asfalto de la calle sangrando. Pese a que ella aseguró que no se trataba de un caso de violencia de género y su pareja aseguró no estar presente en el lugar de los hechos, en la intervención de los cuerpos policiales y sanitarios se sospechó que en realidad sí fuera una agresión machista hacia la mujer, que fue trasladada al hospital para su posterior examen. En otro atestado también se incluye el nombre completo y DNI de un hombre que tenía una orden de alejamiento hacia dos personas.

La información relativa al absentismo escolar entre menores también es completa en este sentido. En el material al que ha accedido este diario se observan informes con el nombre completo del menor, su DNI, el nombre completo de los padres, la dirección familiar y el centro escolar al que está adscrito. También se pueden ver fotografías de ciudadanos de Castellón heridos o fallecidos en accidentes de tráfico, así como test de drogas realizados en controles rutinarios. Los agentes de la Policía Local, de hecho, también son víctimas directas del ciberataque. Entre el material filtrado están las fichas de cada agente con todos sus datos personales.

Para Vicente Delgado, detective privado, 'hacker' y experto en cibercriminalidad informática, el ciberataque y la difusión en internet de toda la información robada abren el abanico de los delitos que podrían cometerse con todos estos datos: "Se podrían abrir cuentas bancarias, dar de alta líneas telefónicas, luz, agua, gas, etc. aprovechando que en algunas ocasiones las empresas dan de alta servicios solo aportando por internet una copia del DNI, y hay muchos DNI entre la documentación filtrada". También "se podría chantajear a personas con algo de su historial policial, acosar a víctimas de violencia de género, conocer identidad de policías de Castellón, proveedores y clientes, números de cuenta...".

Las contraseñas del ayuntamiento, expuestas

El robo ocasionado por el ciberataque afecta sobre todo a las operativas estratégicas del ayuntamiento de Castellón. No en vano, hay información y ficheros relativos no solo a los correos electrónicos internos del consistorio, sino también a la propia seguridad del mismo. En un documento consultado por este diario se pueden ver las contraseñas de acceso a varios servidores municipales y a los equipos de acceso remoto. La brecha va mucho más allá. En otros documentos incluso se puede ver la contraseña para acceder a las cámaras de videovigilancia del propio ayuntamiento. Incluso las nóminas de los trabajadores municipales han quedado expuestas.

Delgado tiene claro que estamos ante uno de los mayores ciberataques sufridos por una administración pública española. "Hasta ahora nunca hemos visto un ataque de estas dimensiones y una puesta a disposición de forma libre de una cantidad de datos personales, de especial protección, en España", explica.

Y es que no hay que olvidar, además, que la información robada permite a cualquiera tener "conocimiento de domicilios de personas de todo tipo, teléfonos fijos, móviles, privados, lugares de trabajo de personas, ayudas que hayan solicitado a distintos organismos (para conocer incluso solvencia de un particular, empresa o similar)".

"Con los datos robados se puede abrir cuentas bancarias, chantajear con historiales policiales, acosar a víctimas de violencia de género..."

En este caso, asegura Delgado, "los cibercriminales han debido de pedir un rescate y el ayuntamiento no ha pagado, así que han ido a hacer el mayor daño posible. En resumen: ¿no quieres pagar por recuperar tus datos? Pues los publicamos en internet".

Habrá que ver si, pasado un tiempo, la información robada sigue trascendiendo o dando lugar a nuevos delitos. Por lo pronto, en Castellón han aprendido que un ciberataque de estas características no solo afecta de forma directa a la institución que sufre un ciberataque, sino también a los ciudadanos de a pie. Ahora, los 174.264 de Castellón ya saben que gran parte de sus datos personales han estado en internet de manera gratuita y a disposición de quien quiera usarlos para todo tipo de delitos.