¿Pueden los ciberataques contra ciudades afectar a los servicios públicos?

En los últimos años se han producido ciberataques contra ciudades que evidencian la necesidad de que los ayuntamientos inviertan en ciberseguridad

5.000 equipos informáticos afectados y 40 días para restablecer la normalidad y permitir a los ciudadanos volver a realizar trámites online. Este fue el resultado del ataque de ransomware que sufrió el Ayuntamiento de Sevilla en septiembre y octubre de 2023, uno de los ciberataques contra ciudades más importantes que se han producido en España hasta el momento.

Durante más de un mes, los sevillanos no pudieron hacer trámites de forma telemática y abonar, por ejemplo, impuestos como el IBI.

Hasta ese momento, la inversión del ayuntamiento en ciberseguridad era mínima. Por ejemplo, sus equipos estaban protegidos con antivirus básicos y los atacantes fueron capaces de persistir en los sistemas municipales durante meses hasta que desplegaron un ransomware que les permitió encriptar los datos del ayuntamiento.

Tras el incidente, Sevilla ha invertido 12 millones de euros en diseñar e implementar una estrategia de ciberseguridad, pero aún muchas ciudades españolas no cuentan con un nivel de protección de adecuado.

En pleno verano, Elche también sufrió un ataque de ransomware que provocó la parálisis de la administración electrónica durante semanas y, además, se descubrió que la última copia de seguridad de los expedientes municipales era de febrero.

Estos casos nos permiten contemplar los riesgos a los que se enfrentan las autoridades locales y ponen en valor la importancia de que los ayuntamientos cuenten con una estrategia de ciberseguridad que les permita resistir frente al creciente número de ciberataques contra ciudades que se producen en todo el mundo.

1. El caldo de cultivo que propicia los ciberataques contra ciudades

¿Por qué los ciberataques contra ciudades suponen ya una amenaza de primer nivel para las administraciones locales? Existen una serie de causas que propician que los actores hostiles pongan a las instituciones y servicios municipales en su punto de mira y puedan llegar a tener éxito:

1. Las administraciones locales almacenan datos y documentos extraordinariamente sensibles sobre ciudadanos y empresas: documentos de identidad y fiscales, datos de facturación, información de contacto… Por ejemplo, en junio de 2025, el ayuntamiento de Oxford sufrió una brecha de datos personales de trabajadores municipales.
2. A diferencia de otras administraciones públicas, los ayuntamientos no han situado a la ciberseguridad como una prioridad estratégica.
3. Muchos cargos municipales con capacidad de tomar decisiones carecen de formación sobre ciberseguridad y no están concienciados sobre los riesgos a los que se exponen las ciudades que no invierten en ciberseguridad.
4. Las plantillas de los ayuntamientos están formadas por un gran abanico de profesionales que tampoco tienen formación en ciberseguridad y pueden convertirse en vectores de entrada para ataques de malware.
5. Muchas ciudades tienen una infraestructura informática obsoleta y no cuentan con políticas de seguridad robustas. Numerosos dispositivos y servidores están desactualizados y pueden presentar vulnerabilidades para las que ya existen parches de seguridad.
6. La colaboración entre administraciones es deficiente. No existen canales de comunicación y colaboración entre los ayuntamientos y los organismos o equipos especializados en ciberseguridad a nivel nacional es fundamental. Lo cual es de vital importancia tanto a la hora de prevenir los incidentes como de gestionarlos con la máxima eficacia.
7. Los actores hostiles tienen una motivación económica clara: exigir el pago de un rescate a cambio de devolver información encriptada o vender los datos personales obtenidos. Pero, además, también puede haber una motivación política. No podemos pasar por alto el creciente número de ciberataques lanzados por grupos delictivos asociados a países como Rusia o Irán contra instituciones públicas occidentales.

2. Los grandes grupos de ransomware, una amenaza que se cierne sobre el sector público y privado

Hace tan solo unas semanas, se produjo uno de los ciberataques contra ciudades más relevantes de lo que va de año. El objetivo de los actores hostiles fue la ciudad estadounidense de St. Paul.

El grupo delictivo de Interlock fue capaz de colarse en los sistemas municipales e infectarlos con un ransomware. Los profesionales a cargo de la infraestructura tecnológica de la ciudad tuvieron que desconectar múltiples sistemas para minimizar el impacto del incidente. El ataque fue de tal calibre que:

• La ciudad declaró el estado de emergencia y el estado de Minnesota desplegó al equipo de ciberseguridad de la Guardia Nacional para contribuir a la respuesta al incidente.
• La banda criminal demandó el pago de un rescate a cambio de devolver los datos robados y no hacerlos públicos.
• Muchos servicios municipales se vieron interrumpidos o lastrados por problemas de acceso.
• Los pagos online no estuvieron disponibles durante días.
• Se tuvieron que habilitar canales alternativos para abonar las facturas de la recogida de basuras.
• Las bibliotecas públicas tuvieron que pasar a funcionar de forma analógica y se quedaron sin WiFi.
• No se pudo pagar las facturas del agua a lo largo de varias semanas de ninguna forma, ni siquiera de manera presencial.
• Se ha procedido a analizar uno a uno los dispositivos de 3.500 trabajadores municipales y a realizar un reseteo de sus credenciales.

Si todo esto fuese poco, ha entrado en juego una consecuencia típica de los ataques de ransomware contra empresas o administraciones públicas: el temor a que se lleven a cabo campañas de ingeniería social contra ciudadanos y trabajadores.

El grupo de ransomware Interlock asegura que ha robado más de 43 GB de datos y ya ha exfiltrado datos y documentos personales de empleados del departamento de Parques. Para evitar que sean empleados para cometer fraudes contra los trabajadores públicos, la ciudad les ha ofrecido ya un seguro contra el robo de identidad.

Además, se ha alertado a los ciudadanos que desconfían de facturas que parecen provenir de servicios municipales y que no hagan clic en enlaces sospechosos o en archivos adjuntados a emails sobre los que no se tiene una total garantía de veracidad.

Lo sucedido en St. Paul no supone un hecho novedoso, sino que la ciudad se ha sumado a la larga lista de compañías e instituciones atacadas con éxito en los últimos años.

3. Por qué los ciberataques contra ciudades pueden afectar gravemente a ciudadanos y empresas

Las administraciones municipales gestionan en todo el mundo servicios básicos para la ciudadanía y el tejido productivo. Recogida de basura, suministro de agua potable, policía local, bomberos municipales, tráfico urbano, bibliotecas y centros culturales o deportivos, parques y museos municipales, gestiones urbanísticas y administrativas clave como la concesión de licencias de apertura de actividad…

Podríamos pasarnos el día listando servicios municipales de gran relevancia. ¿Qué pasa si un ciberataque provoca que los semáforos de la ciudad no funcionen? ¿Y si es imposible abonar tramitar licencias municipales, los sistemas informáticos de las bibliotecas no funcionan o no se pueden reservar espacios en centros deportivos? ¿Podría un incidente de seguridad afectar al suministro de agua?

El gobierno polaco acaba de hacer público que frustró un ciberataque contra el suministro de agua de una de las grandes ciudades del país.

Basta echar la vista atrás para ver los efectos de ciberataques contra ciudades graves. Por ejemplo, en 2018, Atlanta, una de las grandes ciudades de Estados Unidos, sufrió un ataque de ransomware que:

• Paralizó el sistema judicial local.
• Imposibilitó el abono de las facturas del agua o la basura.
• Menoscabó las comunicaciones en áreas clave como infraestructuras y alcantarillado.
• Destruyó las imágenes grabadas por los coches patrulla.
• Obligó al departamento de policía a usar papel y bolígrafo para efectuar sus actividades diarias.
• Provocó que el aeropuerto de la ciudad, uno de los que tienen un mayor volumen de tráfico del mundo, se quedase sin WiFi gratuito para los viajeros.
• Impidió que los trabajadores municipales pudiesen trabajar con sus equipos informáticos durante una semana.

4. Los ataques DDoS contra ayuntamientos: Acciones de una Ciberguerra Fría

A Coruña, Barcelona, Bilbao, Irún, Lugo, Mérida, Murcia, Palma, San Sebastián, Santiago, Vigo, Zaragoza… Son solo algunos de los ayuntamientos que han sufrido ataques de denegación de servicio distribuido (DDoS) este año.

En la mayoría de casos, los ciudadanos no han podido acceder a las webs municipales durante cortos periodos de tiempo. Pero si un ayuntamiento no está preparado para hacer frente a los ataques DDoS, corre el riesgo de que logren dejar inoperativos durante horas o días servicios webs esenciales como las oficinas virtuales para realizar trámites, pagar facturas o abonar tributos locales.

¿Por qué los ataques DDoS contra administraciones públicas están en alza? Podemos apuntar a dos grandes motivos:

1. Algunos ataques de DDoS forman parte de una estrategia de hacktivismo o guerra cibernética en un contexto geopolítico extremadamente delicado como el actual. Por ejemplo, detrás de muchos de los ataques DDoS exitosos de 2025 estaba el grupo delictivo prorruso NoName057, que fue desarticulado a mediados de julio en una operación coordinada por la Europol y en la que participaron 12 países. ¿Por qué este grupo atacó a administraciones públicas de nuestro país? Como una forma de represalia por el apoyo de España a Ucrania.
2. Precisamente, NoName057 contaba con una plataforma de DDoS-as-a-Service, a través de la que reclutaba a actores maliciosos sin conocimientos y recursos para lanzar grandes ataques de DDoS ofreciéndoles recompensas y ponía a su disposición un software específico, conocido como DDoSia y una vasta red de servidores.

5. El coste económico de los ciberataques contra ciudades es notoriamente superior al importe que se debe invertir en ciberseguridad

17 millones de dólares. Esa fue la cantidad que tuvo que sufragar la ciudad de Atlanta para hacer frente al ciberataque que sufrió en 2018 y cuyos efectos desgranamos antes. En un principio, la administración local había estimado que el coste de solventar el incidente y recuperar la normalidad rondaría los 3 millones de dólares.

En una cifra similar cuantificó la ciudad de Baltimore el impacto económico de un ataque de ransomware exitoso contra la ciudad: 18,2 millones de dólares. En esta cifra no solo se incluyeron los servicios de respuesta a incidentes y disaster recovery, sino también las consecuencias de la disrupción sufrida por los servicios de recaudación de impuestos.

Estas magnitudes económicas son lo suficientemente expresivas para evidenciar el desorbitado coste que pueden generar los ciberataques contra ciudades.

De ahí que no deba sorprendernos que los ayuntamientos que sufren incidentes de seguridad y descubren el impacto de los ciberataques contra comiencen a tomarse en serio la ciberseguridad.

Sin ir más lejos, el alcalde de St. Paul aseguró, después del incidente sufrido por su ciudad, que se estaban instalando en los dispositivos y servidores de la administración municipales un software de ciberseguridad actualizado. Mientras que en Atlanta o Sevilla se llevó a cabo un aumento sustancial de las partidas destinadas a ciberseguridad.

Lo que demuestran estos incidentes es que invertir en ciberseguridad no es una opción, sino una necesidad, tanto en el plano legal, como en el económico. Además, no podemos perder de vista el impacto económico derivado de un incidente de seguridad que afecta a la operatividad de las empresas locales y las consecuencias políticas que deben asumir los cargos electos por los ciberataques contra ciudades.

6. Los ayuntamientos necesitan servicios de ciberseguridad para hacer frente a los ciberataques contra ciudades

¿Qué pueden hacer las administraciones locales para prevenir los incidentes de seguridad, responder ante ellos de forma efectiva y limitar su impacto sobre los servicios públicos, la ciudanía y el tejido productivo local?

En función de su tamaño y de los recursos económicos que puedan destinar a ciberseguridad, deben diseñar e implementar estrategias de seguridad sustentadas sobre servicios de ciberseguridad esenciales como:

• Auditorías de seguridad continuas de toda la infraestructura tecnológica, combinando el uso de herramientas automatizadas con el análisis de expertos en ciberseguridad para detectar incidentes en fases tempranas, así como vulnerabilidades presentes en los activos municipales.
• Gestión de vulnerabilidades para priorizar su mitigación de acuerdo a su nivel de criticidad y a los recursos disponibles.
• Pruebas de denegación de servicio para medir la capacidad de resistir frente a ataques DDoS.
• Test de ingeniería social, de cara a formar y concienciar a todos los empleados municipales y cargos electos. A la vez que se comprueba si un ataque de ingeniería social sofisticado puede tener éxito.
• Los ayuntamientos de mayor dimensión que cuentan con servicios públicos de gran envergadura y manejan una ingente cantidad de datos pueden recurrir a servicios de ciberseguridad avanzados como el pentesting o la realización de ejercicios de Red Team de cara a mejorar su ciberresiliencia y formar a sus equipos de seguridad.
• Respuesta a incidentes. Para evitar que los ciberataques contra ciudades afecten gravemente a algunos servicios públicos críticos y que el proceso de recuperación se alargue durante semanas es fundamental contar con un servicio de respuesta a incidentes proactivo. ¿Por qué? Los profesionales no actuarán desde que se produzca el incidente, sino antes, mediante una preparación previa integral que incluya la elaboración de un plan de respuesta a incidentes que permita responder a ellos con la máxima eficacia.

Por ir concluyendo, al igual que otras administraciones y organismos públicos, los ayuntamientos no están a salvo de la actividad maliciosa. Al contrario, son un target jugoso para los delincuentes por la cantidad y relevancia de la información que poseen y porque muchos de ellos presentan posturas de seguridad débiles.

Frente a este panorama, las administraciones locales, cada vez más digitalizadas, deben situar a la ciberseguridad en el centro de sus estrategias y destinar los recursos suficientes para proteger sus activos digitales y garantizar el funcionamiento de los servicios públicos que provén.