Black Basta cumplió su amenaza y ya están disponibles en su
blog de la dark web los
4,5 terabytes de datos que sustrajo a finales de abril de la multinacional sevillana de consultoría e ingeniería
Ayesa, lo que confirmaría la teoría del profesor y ciberexperto
Rafael López, de que un posible ataque de
denegación de servicio (
DDos) contra los servidores del grupo de delincuentes pudo retrasar la subida de archivos, aunque también apunta a la posibilidad de que fuera un
fallo interno de su sistema.
Sea como fuera el
listado que recoge Black Basta, como ha podido comprobar Viva,
“da miedo”, reconoce López, al incluirse
proyectos relevantes para la compañía como los de
Perú o Panamá, a
ctas de accionistas,
reparto de dividendos,
escrituras, revocación de
poderes, infinidad de proyectos de ingeniería (puentes, carreteras, desaladoras) sin olvidar que ya se hizo pública una
relación de una treintena de trabajadores, de los cuales disponía de sus
DNI, pasaportes o tarjetas de identificación, incluyendo hasta un montaje con las fotografías de esa documentación. Es más, hasta hay documentación de los máximos dirigentes de la compañía, como son José Luis Manzanares y otros directivos de la compañía.
Como auguraba hace unos días este experto, Black Basta “tiene una
infraestructura muy buena y por algún sitio saldrán”, en referencia a ese ataque DDos, y aunque se mostraba seguro de que Ayesa no hubiera pagado, tenía claro que “
pagar no evita que el día mañana te los vuelvan a filtrar”, apunta López, porque no son transacciones comerciales, sino que son “cibercriminales que no tienen ningún tipo de honor”. Y ya están los datos en la dark web.
Sobre el ciberataque,
Ayesa no se ha pronunciado oficialmente más desde
aquel primer día en el que limitaba la
afección a varios servidores internos y aseguraba que había conseguido
limitar su expansión, aunque posteriormente reconoció a los trabajadores que se habían visto
comprometidos los datos de 35 empleados, interponiendo
denuncia ante la Policía Nacional comunicándolo a la
Agencia Española de Protección de Datos (AEPD). Contrasta este silencio con la claridad y celeridad con la que han actuado otras grandes compañías que han sufrido
ciberataques recientes, como
Iberdrola, Telefónica o el Banco Santander.
Hay que recordar que el
comité de empresa de la compañía está estudiando con sus
servicios jurídicos la interposición de una
denuncia contra Ayesa ante la AEPD por vulneración del
artículo 34 del reglamento a la hora de
comunicar la violación de la seguridad de los datos personales al interesado.
También se estudia “iniciar los pasos para interponer una
denuncia en Inspección de Trabajo o una demanda ante la jurisdicción social contra la empresa por no poner a disposición de los trabajadores y trabajadoras de los
medios necesarios para poder realizar nuestro trabajo diario”.
Además, presentarán un escrito al departamento de Recursos Humanos para
reclamar los archivos de cotizaciones a la Seguridad Social (RLC y RNT) de la plantilla “tal y como lo estaban haciéndolo antes del ciberataque, pues, desde que se produjo la afectación del servidor en el que se encontraban dichos ficheros con datos sensibles de la plantilla, la empresa los había puesto en un recurso sharepoint sin posibilidad de descargarlos ni tratarlos (por ejemplo, realizar búsqueda de información dentro del fichero) y solo se mostraba una especie de "vista previa" con mala calidad”.