Quiénes son LockBit, los piratas detrás del ciberataque que ha paralizado al Ayuntamiento de Sevilla

Este lunes, el Ayuntamiento de Sevilla vio como todos sus servicios informáticos quedaban paralizados de golpe. El consistorio había sido víctima de un ciberataque que podría exponer datos muy sensibles de la ciudadanía, una información que ahora se encuentra retenida. Esta agresión informática ha sido perpetrada por LockBit, una secretiva banda criminal considerada una de las mayores amenazas mundiales en materia de ciberseguridad.

LockBit es también una sofisticada familia de 'ransomware', como se conoce técnicamente a los virus informáticos especializados en secuestrar datos por los que después exigen el pago de un rescate económico. Son uno de los vectores de ataque más populares. Cuanto más sensible sea la información retenido mayor será el poder de chantaje de los atacantes. En el caso que nos ocupa, están reclamando al consistorio andaluz que abone hasta 1,5 millones de dólares.

Este grupo es particularmente activo y agresivo. Se calcula que en 2022 perpetró un total de 764 ciberataques exitosos. Este año sus acciones han ido a más. Entre las víctimas de su método de extorsión figuran organizaciones de ámbitos dispares como Royal Mail, la compañía de servicio postal del Reino Unido, un hospital infantil en Canadá, escuelas en Estado Unidos o la infraestructura de un túnel en Australia.

Beneficios millonarios

LockBit surgió a finales de 2019, cuando el grupo se hacía llamar 'ABCD'. Desde entonces, han perpetrado ataques en países como EEUU, China, India, Alemania, Francia, Indonesia y Ucrania. En algunos lugares también se les describe de forma menos común con el nombre 'Bitwise Spider'.

Su método de secuestro digital es el pilar de un negocio tan oscuro como lucrativo. "Los miembros de LockBit han obtenido, por lo menos, cien millones de dólares en demandas de rescate, y además han extraído millones de dólares en pagos efectivos de sus víctimas", alertó el Departamento de Justicia de Estados Unidos en noviembre del año pasado. Más de mil organismo, empresas y personas en todo el mundo.

Criminales profesionales

Estos ciberdelincuentes operan de forma altamente profesionalizada. El grupo tendría una unidad central que crea el virus informático y lo vende a 'afiliados' que lanzan los ataques contra sus objetivos. Ese funcionamiento se conoce como 'ransomware como servicio'. Si los 'afiliados' logran penetrar en las defensas de su víctima y obtener un cuantioso rescate después comparten hasta tres cuartas partes de ese dinero con los otros miembros del grupo, según la firma de ciberseguridad Kaspersky.

Ese método organizado les permite venderse como un grupo prolífico, lo que a su vez les facilita seducir y captar a nuevos socios. "De todos los grupos, probablemente han sido los más profesionales y esa es, en parte, la razón de su durabilidad", explió Brett Callow, analista de amenazas de la empresa de antivirus Emsisoft a 'Wired'.