La ciberdelincuencia no para y esta vez ha puesto sus miras en Ayesa, la multinacional de servicios tecnológicos y de ingeniería, que sufrió el miércoles por la mañana un "incidente de ciberseguridad" que afectó a su "infraestructura tecnológica", alcanzando un número "limitado de servidores corporativos" pero que, según la compañía, no ha tenido "ningún impacto en los equipos de usuarios ni en dispositivos personales". El ataque ha provocado que cortaran todas las comunicaciones, incluso con sus clientes, con muchos departamentos de la Junta a los que de forma preventiva se restringió la VPN aunque aseguran que “no hay ningún servicio público afectado” ni tampoco “datos de los ciudadanos”.
Fuentes de la compañía han confirmado que "nuestro equipo de ciberseguridad detectó ayer por la mañana un incidente de seguridad que afectó a nuestra infraestructura tecnológica", por lo que "en ese mismo instante" se tomaron "todas las medidas necesarias para manejar la situación con el mayor rigor y urgencia, logrando contener su propagación tanto interna como externa". "El número de servidores corporativos afectado fue limitado y no ha existido ningún impacto en los equipos de usuarios ni en dispositivos personales", aseguran desde la compañía, aunque fuentes internas de Ayesa confirman que desde ayer están todos los "servidores caídos".
Según Ayesa, gracias a su "protocolo de actuación de ciberseguridad" y a los "avanzados sistemas de detección de vulnerabilidades", compuestos de sondas y equipamiento especializado, "se logró bloquear" el ataque dirigido a sus equipos internos, tomando las medidas oportunas y limitando la afectación del incidente. Los sistemas de respaldo, aseguran, han permitido "restablecer en poco tiempo un entorno de seguridad para la actividad de sus profesionales y todos sus clientes, mientras que el equipo de Ciberseguridad continúa trabajando para restaurar la normalidad al 100%", destacando que la "infraestructura de ciberseguridad de la compañía está diseñada con un enfoque vertical integral que abarca desde la arquitectura de protección hasta la monitorización y respuesta rápida ante amenazas".
Un ataque ransonware
El ataque, tipo ransonware, fue identificado en concreto en la mañana del 24 de abril por el equipo de seguridad, cuando detectó “el cifrado no autorizado de varios archivos dentro de nuestro sistema”, apuntando que fueron capaces de “contener la propagación tanto interna como externa del ransomware, aunque un número limitado de servidores corporativos se ha visto afectado”. Aún así, insisten en que “no ha existido ningún impacto en los equipos de usuarios ni en dispositivos personales”, según han informado a sus clientes.
Entre las medidas que ha adoptado Ayesa se encuentra el aislamiento de los sistemas afectados, cortando las comunicaciones para prevenir cualquier propagación adicional”, y se ha puesto en marcha el protocolo de “plan de continuidad de negocio para la restauración de los sistemas y aseguramiento de redes”.
Están trabajando en la restauración de los servidores afectados “desde nuestras copias de seguridad más recientes”, algo que ha sido posible por las “políticas de copias de seguridad implementadas y segmentadas”, mientras que se ha informado “a las autoridades pertinentes”, con las que se colabora “estrechamente”.
Además, desde el inicio de la detección del incidente “se activaron los equipos forenses (internos y externos) para realizar los análisis pertinentes”, lo que les ha permitido “obtener de forma muy temprana los ICOs (indicadores de compromiso), acelerando la modernización y optimización de las contramedidas de defensa”, estimando que se podría recuperar la “completa normalidad de forma progresiva a lo largo de las próximas horas”.
Internamente, según ha podido saber Viva, el ciberataque también ha afectado al departamento de Ingeniería y Obra Pública, a cuyos trabajadores se les ha comunicado una “excepción” relacionada con los diseños de ingeniería, ya que “actualmente existe un acceso parcial a estos archivos, estamos trabajando diligentemente para resolver este problema a lo largo del día”, decía una comunicación interna de Ayesa.
Ayesa también ha apuntado que, en principio, no se han visto comprometidos los servidores externos, que dan múltiples servicios a empresas privadas y a administraciones públicas, como es el caso de la Junta de Andalucía. Fuentes del Gobierno andaluz ya han confirmado que “no hay ningún servicio público afectado” ni tampoco “datos de los ciudadanos”.
Según estas fuentes, "al detectar el ataque se cortaron las comunicaciones" para evitar cualquier propagación e insisten en que "no hay servicios al ciudadano afectados", a excepción del 012 y una extensión en concreto. "Solo cuando uno llama al 012 y quiere que te atienda “Servicios Generales” no funciona, el resto de servicios, sí", puntualizan.
Por su parte, fuentes de la Consejería de Educación han confirmado que, tras el ataque informático en Ayesa, "de forma preventiva se restringió la VPN en toda la Junta", añadiendo que "ya se está abriendo" y que "no ha afectado a los centros educativos", extremo que también ha sufrido el Servicio Andaluz de Salud (SAS), con restricción de acceso a la VPN y problemas en determinadas aplicaciones.
Ayesa presta servicios a numerosos departamentos de la Junta de Andalucía, desde Educación a Justicia pasando por Salud, además de numerosas agencias públicas como Amaya, Agapa o Asda. Y no es la única administración autonómica a la que presta sus servicios la consultora, sino que hay otras comunidades que podrían verse afectadas, como son Castilla La Mancha, Canarias o Extremadura, por ejemplo. Otras grandes empresas que trabajan con Ayesa, como Endesa, han confirmado que no se han visto afectadas por el incidente.
El ciberataque a Ayesa, según fuentes consultadas, es muy similar al que sufrió el Ayuntamiento de Sevilla el pasado mes de septiembre y que bloqueó los servicios telemáticos municipales durante tres meses y por el que llegaron a pedir un rescate de hasta cinco millones de euros que luego rebajaron a millón y medio. La puerta de acceso en aquella ocasión fueron los ordenadores de la Policía Local.
Compra de Emergya y criptografía avanzada
El ataque se produce días después de que la empresa anunciara la compra de Emergya, partner líder de Google en España, reforzando su apuesta por la IA, la Inteligencia Artificial, su sexta operación corporativa de Ayesa tras la entrada de A&M Capital Europe (“AMCE”), que ha casi triplicado el tamaño del grupo en dos años, incluyendo la compra de la vasca Ibermática.
Además del desarrollo de productos digitales basados en la nube, Emergya está especializada en grandes implantaciones tecnológicas y servicios gestionados. La computación en la nube es una de las tecnologías emergentes con mayor proyección actualmente, por lo que Ayesa amplía así sus capacidades en este ámbito con soluciones de Google y refuerza su posicionamiento como proveedor integral de servicios tecnológicos, fortaleciéndose en IA, gestión del dato, y desarrollo de software.
La compra incluye a Proxya, la otra compañía del Grupo Emergya, focalizada en externalización de servicios IT, factoría de software y soporte, tanto para la Administración Pública como para grandes organizaciones. Está especializada en proyectos complejos y de gran magnitud con una metodología propia.
Y precisamente la semana pasada, Ayesa anunciaba que iba a desarrollar un proyecto de criptografía avanzada resistente a ciberataques cuánticos, una iniciativa que estaba financiada por el Instituto Nacional de Ciberseguridad de España (INCIBE) a través de fondos europeos Next Generation, tratando de adelantarse a la próxima generación de ataques que las máquinas cuánticas harán posible en unos cinco años.
Ayesa, a través de la UTE creada por sus filiales Ibermatica e ITS y financiado por el INCIBE, a través de la Iniciativa Estratégica de Compra Pública de Innovación (IECPI), está trabajando en una plataforma capaz de desarrollar criptografía avanzada resistente a esta tipología de ciberataques, que podrían ser una realidad en unos cinco años.
Esta suite de software y servicios conexos permitirá inventariar, evaluar, planificar, desplegar y validar la migración ágil de los actuales sistemas de seguridad pre-cuánticos a escenarios post-cuánticos realistas, en concreto, en el sector industrial.
Para ello, el objetivo funcional principal del proyecto es el desarrollo, integración y despliegue de un conjunto de herramientas de gestión de claves y algoritmos de resistencia cuántica para facilitar la migración a un contexto protegido de posibles ataques cuánticos.
