Un ciberataque dirigido a una empresa subcontratada por la Guardia Civil y el Ministerio de Defensa podría haber comprometido los datos personales de miles de agentes de dichas fuerzas, entre ellos el número de la tarjeta de identificación personal, teléfono móvil o puesto de trabajo.
La empresa de reconocimientos médicos Medios de Prevención Externos Sur SL, radicada en Sevilla, ha informado recientemente por carta a los afectados de que un ciberataque sufrido el pasado 22 de marzo podría haber comprometido los datos del personal empleado en los cuerpos de la Guardia Civil y Policía Nacional, así como a funcionarios y personal adscrito de la Dirección General de la Guardia Civil.
En concreto, los datos a los que podrían haber accedido los hackers son: número de la tarjeta de identificación personal (TIP), número de teléfono móvil, fecha de nacimiento, sexo, puesto de trabajo, resultados de reconocimiento médico y certificado de aptitud.
El ataque utilizado es del tipo ‘Ransomware Lockbit 3.0’, que según recoge el portal del Incibe, presenta «métodos de cifrado más robustos, tácticas avanzadas de exfiltración de datos y una estructura de ransomware como servicio (RaaS) más refinada», que anteriores variaciones de este ransomware.
La carta enviada por la empresa sevillana, a la que han accedido varios medios, señala que «se está trabajando conjuntamente con Telefónica para tratar de revertir, solucionar e investigar los hechos mencionados». Por otro lado, se ha solicitado a los funcionarios afectados que modifiquen su contraseña. La Guardia Civil ha redirigido esta comunicación a todo el cuerpo de agentes mediante su sistema de comunicación interna.
Estudian el alcance del ciberataque
Como indican en la carta, que firma el director general de la empresa, «hasta el momento no hay evidencia de que se haya producido una fuga de dicha información y se han adoptado las siguientes acciones correctoras», enumerando medidas «técnicas e informáticas» para erradicar el ciberataque, «análisis forense del impacto y alcance», y un «proceso de restauración de la información».
La infiltración no ha impedido que la empresa continúe prestando sus servicios, señalan, ya que cuenta con copias de seguridad. Un usuario de X ha compartido una imagen del documento. Actualmente se especula sobre si el grupo o individuo criminal ha intentado chantajear a la empresa con hacer públicos los datos a cambio de dinero, y se desconoce si puede haber en marcha un proceso de negociación.
«Lanzado a finales de junio de 2022, LockBit 3.0, se consolidó rápidamente como uno de los más dañinos de su generación. Desde su lanzamiento, ha dirigido sus ataques a infraestructuras clave de todo el mundo, especialmente EE. UU. y Europa, incluyendo entidades gubernamentales», recoge la web del Incibe, el Instituto de Ciberseguridad Nacional.
Esta noticia llega solo unos días después de que un usuario afirmase en un portal de la deep web estar en posesión de datos de millones de ciudadanos españoles, que el hacker estaba vendiendo por 10,000 dólares.
Fuente: adslzone
