Los piratas rusos que robaron miles de datos a Euskaltel publican una parte como chantaje

En primera instancia, la fecha límite para dar a conocer esa información era el 5 de junio, pero se fue retrasando hasta el 15. En ese momento, según pudo confirmar ayer este periódico de fuentes solventes, la organización mafiosa empezó a exponer parte de esa información en lo que se conoce como 'dark web' o web oscura, una capa de internet de difícil acceso. En concreto, unos 29 gigas (GB) de los citados 3 TB. Movimiento del que se hizo eco la cuenta de Twitter elhacker.net. El movimiento de 'Lockbit' es un claro mensaje a los responsables de Euskaltel, una manera de elevar la presión para que se haga efectivo el chantaje y se pague lo solicitado. Aunque nunca se dan a conocer los importes pretendidos por los 'malos' de internet, los rescates suelen ser cantidades millonarias.

En este caso, sin embargo, cabe resaltar que Euskaltel no perdió nunca la citada información, ya que los ciberdelincuentes tan solo la copiaron pero no la hicieron desaparecer. El robo, en sí, afectó a diez servidores de los mil que tiene la teleco; en concreto, a unos alojados en Galicia y con una cierta antigüedad.

Según las mismas fuentes, la información recabada por los piratas informáticos estaría relacionada tanto con clientes particulares (sin afectar a datos bancarios) como con empresas, así como también con cuestiones puntuales de la política o las acciones de recursos humanos de la teleco naranja. Y solo de la teleco naranja, lo que resulta cuando menos curioso.

Y es que la inmensa mayoría de lo copiado se refería al universo R, la teleco gallega que Euskaltel incorporó hace ahora ocho años en el proceso que antecedió a su salida a Bolsa y que también contempló la adquisición de la asturiana Telecable, y no a la empresa con sede en Derio, de la que se habría captado una cantidad de información de mucho menor volúmen que la compañía gallega. En el momento del ataque y en las jornadas posteriores, Euskaltel mantuvo en funcionamiento todos sus sistemas, sin que la operativa diaria de voz y datos de sus clientes se viera afectada. Eso sí, los responsables de la compañía decidieron suspender –por precaución y para comprobar el alcance definitivo de la acción delictiva– durante 48 horas el servicio de atención al cliente, que pasado ese tiempo se retomó sin contratiempos. Euskaltel no quiso el miércoles entrar a valorar ni el ataque ni esa primera publicación de datos por parte de los ciberdelincuentes. Eso sí, la compañía ha elevado sus niveles de seguridad informática muy recientemente, actualizando lo que se conoce como 'parches' y sus sistemas de vigilancia y reacción.

En este sentido, el pasado día 16, tan solo 24 horas después de esa vuelta de tuerca en el intento de chantaje, Euskaltel comunicó a algunos clientes que se había actualizado el servicio de correo electrónico, ofreciéndoles instrucciones para cambiar las pertinentes contraseñas. Fuentes del sector de la ciberseguridad aclararon que los datos publicados no son accesibles al usuario medio de la red. Ni siquiera de la 'dark web', que no deja de ser una capa de internet en la que prima el anonimato y no funcionan los buscadores tradicionales. Y es que, apuntaron los expertos, esos primeros datos filtrados están perfectamente «encriptados», lo que complica su lectura.

'Lockbit' es uno de los grupos de ciberdelincuencia internacional más temidos del planeta. Desde el punto de vista práctico, sus ataques se suelen producir a través de lo que se conoce como 'malware', una suerte de virus que selecciona, roba y encripta datos de sus víctimas exigiendo un elevado rescate para liberarlos y que en la mayoría de los casos bloquea el funcionamiento de la firma atacada, lo que no ha sucedido en este caso. Este grupo suele actuar por encargo de un tercero con el que comparte el botín.