Cantur sufre un ciberataque masivo que bloquea miles de documentos confidenciales

El caos provocado por este sabotaje varía según a quién se pregunte. Desde la Consejería de Turismo aseguraron a este periódico que todo funciona ya con normalidad y que la gestión diaria sólo se vio afectada la primera semana. «Cantur no ha dejado de funcionar», subrayaron. Sin embargo, otras fuentes consultadas hablan de «momentos de colapso, llamadas de proveedores y empresas que no se pueden tramitar y con el servicio de contratación sin poder funcionar con normalidad».

El ciberataque comenzó cuando un empleado de Cantur abrió el archivo de un correo electrónico que estaba infectado por un virus Ransomware. Muy similar al famoso 'wannacry' que en mayo de 2017 se coló en más de 230.000 ordenadores de 150 países, provocando daños sin precedentes en empresas como Telefónica o el Servicio Nacional de Salud de Gran Bretaña.

El virus se propagó por toda la red de Cantur y, una vez en el servidor, bloqueó el sistema informático. La información, sensible en muchos casos porque contiene datos personales y números de cuenta de empleados y empresas, no fue secuestrada. Es decir, los hackers se limitaron a encriptarla, pero no llegaron a robarla.

Lo habitual en este tipo de ataques es que los piratas informáticos pidan un rescate –en bitcoins– a cambio de una clave que libere el servidor afectado. Las cantidades varían en función del tamaño de la empresa y pueden llegar, en algún caso, a millones de euros. Aunque la Consejería de Turismo asegura que no se ha pedido ningún rescate, este periódico ha podido saber que los autores sí enviaron un correo electrónico para ponerse en contacto y, presumiblemente, exigir dinero más tarde, pero desde Cantur no llegaron a responder al primer correo. Por si acaso, la Policía ya ha advertido a la empresa pública de que acceder al chantaje y pagar supone un delito. Además, nada asegura que los responsables cumplan con su parte y desbloqueen el sistema una vez recibido el dinero del rescate.

Las empresas y gobiernos suelen tener una copia de seguridad de sus servidores para minimizar los daños de estos ataques informáticos. Así, si los hackers acceden a la fuente original, el impacto es muy limitado, ya que los mismos datos se encuentran archivados en otro soporte externo y desconectado de la red principal. El Gobierno de Cantabria, por ejemplo, posee un Centro de Proceso de Datos (CPD), recién reformado hace dos años con un coste de 32 millones de euros –entre ordenadores, servidores e instalaciones–, que posee un sistema de copias de seguridad muy avanzado para que estos hackeos no paralicen la gestión.

El problema es que Cantur no está conectado a ese CPD. Tiene su propia red de seguridad, pero al ataque se unió esta vez un error humano que ha multiplicado los daños sufridos. Según ha podido saber este periódico, la copia de los dos últimos años estaba conectada al servidor principal en lugar de ser autónoma, por lo que la infección afectó a los dos por igual. Ante esta situación tan insólita, la Consejería ha decidido contratar a una empresa externa para que haga una auditoría e investigue lo ocurrido.

Cuando fueron conscientes del ataque, el director de Cantur, Javier Carrión, llamó a la Consejería de Presidencia y Justicia para informar y pedir ayuda. Además de la denuncia en la Policía, el Ejecutivo cántabro se puso en contacto con el Centro Nacional de Inteligencia (CNI), que cuenta con una división especial –el Centro Criptológico Nacional– para luchar contra una amenaza que se multiplica cada día. Sólo el año pasado gestionaron más de 38.000 incidentes, un 43% más que en 2017. Uno de los más llamativos afectó al Ministerio de Justicia el pasado noviembre, justo el mismo día que se presentaban en el Tribunal Supremo los escritos de acusación en la causa del 'procés'. El ciberataque dejó paralizada a la Abogacía del Estado durante una hora.

123

incidencias de seguridad recibe cada día el Gobierno de Cantabria, que invirtió 32 millones en renovar sus sistemas.

En aquella ocasión, el ataque fue reivindicado por un grupo que se hace llamar 'Hackers por la República' (catalana). Pero en el caso de Cantur nadie ha reclamado la autoría, según el Gobierno. Desde el CNI tampoco han podido hacer mucho. La investigación sigue abierta, no han localizado a los agresores y, de momento, los especialistas no han conseguido desencriptar los archivos.

«Son virus que cada vez tienen una capacidad de ocultación más alta. Son de última generación. A lo mejor dentro de unos meses el CNI encuentra la solución, pero de momento no se puede hacer nada», explicó una fuente del Gobierno.

Además de contratar una auditoría externa, y mientras la investigación avanza, Cantur ya se ha puesto en marcha para intentar reparar el daño sufrido. Ha contactado con empresas especializadas para revertir la encriptación que no logró desenmarañar el CNI, pero ninguna le da garantías de éxito. «Como no nos aseguran poder hacerlo bien, hemos preferido pararlo y que esos datos no anden circulando por ahí», señalaron a este periódico.

Lo que sí han contratado es una empresa que ya está digitalizando todo el archivo en papel que existe desde noviembre de 2017 hasta la actualidad, el único periodo sin copia de seguridad afectado por el ataque, según el Gobierno regional. Más de 1.500 transacciones digitales, calculan, entre contratos, nóminas, convenios, datos de proveedores y empresas...

En la Consejería de Turismo consideran «muy grave» tener una puerta abierta en sus sistemas de seguridad y abordarán «cambios drásticos», como el refuerzo del departamento de Informática y la modificación del protocolo de seguridad.

El hecho de que los piratas informáticos no hayan insistido en sus contactos, ni hayan llegado a proponer una cifra de rescate, ha llevado a pensar a miembros de la Consejería que el ataque quería entorpecer el funcionamiento de la empresa y desprestigiarla en plenos procesos electorales. El PRC, que controla las políticas turísticas de la región y dirige Cantur, logró un diputado en las Generales celebradas sólo unos pocos días después del ciberataque, y 14 escaños en las autonómicas del pasado 26 de mayo.