Black Basta cumplió su amenaza y ya están disponibles en su blog de la dark web los 4,5 terabytes de datos que sustrajo a finales de abril de la multinacional sevillana de consultoría e ingeniería Ayesa, lo que confirmaría la teoría del profesor y ciberexperto Rafael López, de que un posible ataque de denegación de servicio (DDos) contra los servidores del grupo de delincuentes pudo retrasar la subida de archivos, aunque también apunta a la posibilidad de que fuera un fallo interno de su sistema.

Sea como fuera el listado que recoge Black Basta, como ha podido comprobar Viva, “da miedo”, reconoce López, al incluirse proyectos relevantes para la compañía como los de Perú o Panamá, actas de accionistas, reparto de dividendos, escrituras, revocación de poderes, infinidad de proyectos de ingeniería (puentes, carreteras, desaladoras) sin olvidar que ya se hizo pública una relación de una treintena de trabajadores, de los cuales disponía de sus DNI, pasaportes o tarjetas de identificación, incluyendo hasta un montaje con las fotografías de esa documentación. Es más, hasta hay documentación de los máximos dirigentes de la compañía, como son José Luis Manzanares y otros directivos de la compañía.

Como auguraba hace unos días este experto, Black Basta “tiene una infraestructura muy buena y por algún sitio saldrán”, en referencia a ese ataque DDos, y aunque se mostraba seguro de que Ayesa no hubiera pagado, tenía claro que “pagar no evita que el día mañana te los vuelvan a filtrar”, apunta López, porque no son transacciones comerciales, sino que son “cibercriminales que no tienen ningún tipo de honor”. Y ya están los datos en la dark web.



Sobre el ciberataque, Ayesa no se ha pronunciado oficialmente más desde aquel primer día en el que limitaba la afección a varios servidores internos y aseguraba que había conseguido limitar su expansión, aunque posteriormente reconoció a los trabajadores que se habían visto comprometidos los datos de 35 empleados, interponiendo denuncia ante la Policía Nacional comunicándolo a la Agencia Española de Protección de Datos (AEPD). Contrasta este silencio con la claridad y celeridad con la que han actuado otras grandes compañías que han sufrido ciberataques recientes, como Iberdrola, Telefónica o el Banco Santander.

Hay que recordar que el comité de empresa de la compañía está estudiando con sus servicios jurídicos la interposición de una denuncia contra Ayesa ante la AEPD por vulneración del artículo 34 del reglamento a la hora de comunicar la violación de la seguridad de los datos personales al interesado.

También se estudia “iniciar los pasos para interponer una denuncia en Inspección de Trabajo o una demanda ante la jurisdicción social contra la empresa por no poner a disposición de los trabajadores y trabajadoras de los medios necesarios para poder realizar nuestro trabajo diario”.

Además, presentarán un escrito al departamento de Recursos Humanos para reclamar los archivos de cotizaciones a la Seguridad Social (RLC y RNT) de la plantilla “tal y como lo estaban haciéndolo antes del ciberataque, pues, desde que se produjo la afectación del servidor en el que se encontraban dichos ficheros con datos sensibles de la plantilla, la empresa los había puesto en un recurso sharepoint sin posibilidad de descargarlos ni tratarlos (por ejemplo, realizar búsqueda de información dentro del fichero) y solo se mostraba una especie de "vista previa" con mala calidad”.