La compañía española Ayesa, proveedora global de servicios de ingeniería y tecnología con sede en Sevilla y presencia en 23 países, ha sido víctima de un ciberataque de ransomware que ha afectado a sus servidores internos y le ha obligado a cortar las comunicaciones con sus clientes.
Así lo ha reconocido la propia empresa este mismo jueves, declarando, según recoge Viva Sevilla, que el día anterior por la mañana su equipo de ciberseguridad detectó un "incidente de seguridad" que ha comprometido su "infraestructura tecnológica", alcanzando un número "limitado de servidores corporativos", pero que no ha causado "ningún impacto en los equipos de los usuarios ni en dispositivos personales". No obstante, el ataque provocó la caída de todos los servidores de Ayesa, que se vio forzada a cortar todas las comunicaciones, incluso con sus clientes, incluidos muchos departamentos de la Junta a los que se les restringió la VPN de forma preventiva, aunque aseguran que "no hay ningún servicio público afectado" ni tampoco "datos de los ciudadanos", como han confirmado fuentes del Gobierno andaluz, informa el citado medio.
Según estas fuentes gubernamentales, "al detectar el ataque se cortaron las comunicaciones" para evitar cualquier propagación e insisten en que "no hay servicios al ciudadano afectados", a excepción del 012 y una extensión en concreto. "Solo cuando uno llama al 012 y quiere que te atienda 'Servicios Generales' no funciona, el resto de los servicios, sí", puntualizan.
Por su parte, fuentes de la Consejería de Educación indicaron que, tras el ciberataque contra Ayesa, "de forma preventiva se restringió la VPN en toda la Junta", añadiendo que "ya se está abriendo" y que "no ha afectado a los centros educativos", extremo que también ha sufrido el Servicio Andaluz de Salud (SAS), con restricción de acceso a la VPN y problemas en determinadas aplicaciones.
Internamente, según Viva Sevilla, el ataque también ha afectado al departamento de Ingeniería y Obra Públicos, cuyos trabajadores han recibido una comunicación interna de Ayesa en la que les reportan una "excepción" relacionada con los diseños de ingeniería, ya que "actualmente existe un acceso parcial a estos archivos, estamos trabajando diligentemente para resolver este problema a lo largo del día".
Ayesa asegura que consiguió contener el ciberataque
Según Ayesa, sus expertos en ciberseguridad lograron contener "la propagación tanto interna como externa" del ciberataque, gracias a que nada más detectarlo tomaron "todas las medidas necesarias para manejar la situación con el mayor rigor y urgencia".
"Gracias a este protocolo y a los avanzados sistemas de detección de vulnerabilidades de la compañía – compuestos de sondas y equipamiento especializado-, Ayesa ha podido tomar las medidas oportunas, limitando la afectación del incidente", ha afirmado la compañía en declaraciones para Diario de Sevilla.
La multinacional española también ha destacado que los sistemas de respaldo han permitido restablecer en poco tiempo un entorno de seguridad para la actividad de sus profesionales y todos sus clientes. Además, ha apuntado que su infraestructura de ciberseguridad está diseñada con un enfoque vertical integral que abarca desde la arquitectura de protección hasta la monitorización y respuesta rápida ante amenazas.
De acuerdo con la información de Viva Sevilla, Ayesa ha informado a "las autoridades pertinentes", con las que colabora "estrechamente", y ha puesto en marcha el protocolo de "plan de continuidad de negocio para la restauración de los sistemas y aseguramiento de redes" con la confianza de que podría recuperar "la completa normalidad de forma progresiva a lo largo de las próximas horas".
Este ciberataque ha tenido lugar una semana después de que Ayesa anunciara que va a desarrollar una plataforma capaz de desarrollar criptografía avanzada resistente a ciberataques cuánticos como parte de un proyecto, financiado por el INCIBE a través de fondos europeos, que trata de adelantarse a la próxima generación de ataques que las máquinas cuánticas harán posible en unos cinco años.
El grupo de ransomware Black Basta, el principal sospechoso
Aunque Ayesa no ha atribuido públicamente este ciberataque a ningún hacker o grupo concreto, elDiario.es afirma que las pruebas internas que maneja indican que el responsable es Black Basta, uno de los grupos más peligrosos y temibles que ejecuta ataques de ransomware.
Esta organización, asociada a Rusia, lleva operativa desde la primavera del 2022. Surgió en los inicios de la invasión a Ucrania y de forma simultánea a la desaparición de Conti, una circunstancia que ha propiciado muchas especulaciones con que el primero sea una rama del segundo, especialmente teniendo en cuenta que se dirigen a los mismos sectores objetivo: empresas de manufactura, construcción/ingeniería, venta mayorista/minorista, servicios financieros y transporte y logística.
Black Basta también destaca como una de las pandillas más activas, habiendo superado los 100 millones de euros en ingresos en su primer año y medio de actividad. Según estimaciones de Corvus Insurance, el grupo ha recibido al menos 107 millones de dólares en pagos de rescate, obtenidos entre más de 90 víctimas. Entre ellas se encuentran empresas como Capita, firma británica que ofrece servicios al gobierno del Reino Unido, la tecnológica ABB, y la compañía germana Rheinmetall, propietaria de la española Expal, si bien se desconoce cuáles son las que accedieron a pagar el rescate.