Ciberataque a la Secretaría de Seguridad de Medellín: qué es el grupo Lockbit, que se adjudicó el delito

Lockbit, un grupo de ciberdelincuencia reconocido a nivel mundial, declaró en su portal de la Deep Web ser el autor del ciberataque que el pasado 1 de febrero sufrió la Secretaría de Seguridad y Convivencia de Medellín. En medio de este ataque, se habrían publicado pantallazos con información delicada de las 11 agencias del Sistema Integrado de Emergencias y Seguridad (Siesm).

En la publicación, el grupo hace una muestra de algunos de los archivos que tendría secuestrados, entre los que se encontrarían reportes de homicidios, informes sobre los casos de suicidio, información personal de al menos 30 funcionarios y colaboradores de la Secretaría de Seguridad, entre otros sensibles datos.

Así lo dio a conocer el fundador del portal muchohacker.lol, Camilo Andrés García, a través de su cuenta de Twitter y su página web, en donde compartió detalles del ataque. En total, serían 99 gigabytes de información que el grupo terrorista amenaza con hacer públicas si la Alcaldía no accede a sus requerimientos.

La fecha límite interpuesta por los extorsionistas es el 27 de febrero a las 9:59 horas UTC (Tiempo Coordinado Universal), es decir, 4:59 de la mañana en Colombia. En el portal no se da a conocer cuánto dinero pide exactamente Lockbit para no publicar la información, “nunca se sabe cuánto piden. Lo que se sabe es que el grupo pone un contador y dice cuánto falta de plazo para divulgar la información. El contador funciona como método de presión”, le explicó García al diario El Colombiano.

El experto informático indicó además que el modus operandi del grupo de hackers para reportar los cobros es enviar un correo electrónico o un vínculo a un funcionario en particular. “A alguien de la Alcaldía ya se le informó mediante estas alternativas para que ellos sepan cómo hacerlo y cómo lo pagan”, le dijo al medio mencionado.

Por su parte, Germán Fernández, director de Cyber Threat Intelligence de CronUp Ciberseguridad, una empresa que se encarga de rastrear amenazas de ciberataques para diferentes empresas de América Latina, le explicó a la emisora Blu Radio que los ataques como el de Lockbit se caracterizan por disminuir la defensa de sus víctimas para apropiarse del usuario y extraer su información.

“Con los usuarios que logran recuperar los atacantes, pueden desactivar las defensas y después de eso se hacen administradores de la red, y cuando son los administradores de la red todos los equipos de red están con las defensas abajo”, le dijo Fernández a la emisora.

Después del ciberataque, el Siesm no ha podido operar con normalidad, y los casos, que son reportados por los ciudadanos de Medellín mediante la línea 123, debían ser registrados por los funcionarios en libretas, según reportó El Colombiano.

Aquel medio también indicó que las cámaras de la ciudad operan con normalidad, pero hay inconvenientes para controlarlas debido a que los computadores de las dependencias del Siesm permanecen apagados a la espera de que se recuperen los sistemas.

“Cuando se detectó el problema, pudimos blindar el sistema de esta situación. Con esto buscamos minimizar lo ocurrido porque es grave que afecten el sistema de emergencias de una ciudad. En estos momentos estamos en la estabilización y dándoles prioridad a las agencias”, dijo José Gerardo Acevedo, secretario de Seguridad.

Este caso es diferente al sufrido por EPM o a la EPS Sánitas, pues en este caso no se publicaron archivos con la información completa, sino únicamente pantallazos, por motivos que solo el grupo que perpetró el ataque cibernético conoce.

Es de recordar que Lockbit ofreció disculpas en enero de 2023 y entregó su herramienta para desencriptar datos luego de haber atacado a un hospital infantil en Toronto, Canadá.