AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataque paraliza servicios en los ayuntamientos de Kensington y Westminster: análisis técnico del incidente**

admin

### 1. Introducción

El 5 de junio de 2024, los ayuntamientos del Royal Borough of Kensington and Chelsea (RBKC) y Westminster City Council (WCC) en Londres notificaron interrupciones significativas en sus servicios públicos tras detectar un grave incidente de ciberseguridad. Este evento pone de manifiesto la vulnerabilidad de las administraciones locales frente a ataques cibernéticos cada vez más sofisticados, así como la necesidad de enfoques proactivos en materia de protección de infraestructuras críticas y datos personales.

### 2. Contexto del Incidente

Ambos consistorios, que gestionan servicios esenciales para cientos de miles de ciudadanos en el corazón de Londres, informaron de caídas generalizadas en sus sistemas de TI a raíz de lo que han calificado como «un incidente de ciberseguridad». Las primeras evidencias sugieren la posible implicación de un ataque de ransomware dirigido, siguiendo una tendencia creciente en la explotación de vulnerabilidades en el sector público británico durante 2024.

Cabe recordar que en Reino Unido, los organismos públicos están sujetos a estrictas obligaciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2. Incidentes de esta naturaleza pueden conllevar importantes sanciones y daños reputacionales.

### 3. Detalles Técnicos

Aunque los detalles completos aún no han sido divulgados públicamente, fuentes internas y análisis preliminares de firmas externas apuntan a la explotación de una vulnerabilidad crítica en la infraestructura de correo electrónico y gestión documental, probablemente relacionada con la CVE-2023-23397, una falla de elevación de privilegios previamente explotada en campañas dirigidas a entidades gubernamentales europeas.

#### Vectores de ataque

– **Phishing dirigido (spear phishing):** Se detectó un incremento en correos maliciosos enviados a empleados con archivos adjuntos que explotaban macros para desplegar cargas útiles.
– **Explotación de vulnerabilidades en Microsoft Exchange:** La CVE mencionada permite la ejecución remota de código sin intervención del usuario, facilitando el movimiento lateral y la escalada de privilegios.
– **Uso de frameworks conocidos:** Se han observado artefactos asociados a Cobalt Strike Beacon y Mimikatz para el robo de credenciales y persistencia, así como intentos de cifrado masivo utilizando variantes de ransomware como LockBit 3.0.
– **TTPs MITRE ATT&CK relevantes:** TA0001 (Initial Access), TA0004 (Privilege Escalation), TA0005 (Defense Evasion), TA0011 (Command and Control), TA0040 (Impact).

#### Indicadores de compromiso (IoC)

– Conexiones inusuales hacia direcciones IP en Rusia y Europa del Este.
– Ficheros ejecutables y scripts desconocidos en rutas temporales y de sistema.
– Modificación de políticas de grupo y cuentas de dominio elevadas.

### 4. Impacto y Riesgos

Las consecuencias inmediatas han sido la suspensión de múltiples servicios digitales y la inaccesibilidad de plataformas de gestión ciudadana, afectando a trámites críticos como registros, pagos y solicitudes urbanísticas. Según estimaciones iniciales, más del 70% de los sistemas dependientes de TI se han visto impactados, con potencial exposición de datos personales sensibles de más de 350.000 ciudadanos.

El riesgo de filtración de información amparada por GDPR es elevado, lo que podría traducirse en sanciones económicas de hasta el 4% de la facturación anual de ambas entidades. Además, la continuidad de servicios esenciales y la confianza pública han quedado gravemente comprometidas.

### 5. Medidas de Mitigación y Recomendaciones

La respuesta inicial ha consistido en la desconexión de los sistemas comprometidos, activación de los planes de contingencia, y colaboración con el Centro Nacional de Ciberseguridad (NCSC) del Reino Unido. Se recomienda a los equipos de seguridad:

– Revisar y aplicar urgentemente los parches de seguridad para Exchange y otras plataformas expuestas.
– Monitorizar logs y tráfico de red para identificar movimientos laterales y conexiones anómalas.
– Restringir el acceso privilegiado y reforzar la autenticación multifactor.
– Implementar segmentación de red y backups offline inmutables.
– Actualizar procedimientos de respuesta ante incidentes y realizar simulaciones con frameworks como MITRE ATT&CK y herramientas de Red Teaming.

### 6. Opinión de Expertos

Según David Emm, analista principal de Kaspersky, “el sector público sigue siendo objetivo prioritario de actores de amenazas por la criticidad de los datos gestionados y la frecuente obsolescencia de sus sistemas. Los ataques dirigidos mediante spear phishing y la explotación de vulnerabilidades no parcheadas son ya la norma, no la excepción”.

Por su parte, la consultora NCC Group estima que los ataques de ransomware a organismos públicos europeos han crecido un 46% en el primer semestre de 2024, con el uso sistemático de herramientas post-explotación avanzadas y técnicas de doble extorsión.

### 7. Implicaciones para Empresas y Usuarios

Este incidente es un recordatorio para todas las organizaciones, públicas y privadas, de la importancia de mantener inventarios actualizados, parches aplicados y controles de seguridad robustos. Los ciudadanos afectados deben extremar la vigilancia ante posibles intentos de phishing y fraudes utilizando datos personales filtrados.

Para los responsables de seguridad (CISOs), administradores y consultores, urge revisar la resiliencia de los sistemas críticos, invertir en formación continua y fortalecer la colaboración con organismos reguladores y entidades de respuesta a incidentes.

### 8. Conclusiones

El ataque a los ayuntamientos de Kensington y Westminster evidencia el nivel de sofisticación alcanzado por los grupos de ransomware y los desafíos que afrontan las infraestructuras públicas. La rápida identificación, contención y comunicación son esenciales para minimizar el impacto, pero la prevención sigue siendo el pilar fundamental en la protección frente a amenazas avanzadas. El cumplimiento normativo y la transparencia serán clave en la recuperación de la confianza ciudadana y la protección de los datos críticos.

(Fuente: www.bleepingcomputer.com)