"En un atentado, la policía acordona la zona y toma el control, aquí no ha sido así": el lamento del responsable TIC de una universidad española tras un ciberataque

Hacker

Reuters

  • Andrés Prado, responsable TIC de la Universidad de Castilla-La Mancha, narra en primera persona cómo vivió el ciberataque con ransomware que sufrieron el mes pasado.
  • Contaron con la colaboración de especialistas de Telefónica para repeler el ataque y reivindica el papel de los técnicos en el sector público, como los de su equipo: "Se dejaron la piel".
  • Descubre más historias en Business Insider España.

Las administraciones públicas siguen en la diana de las mafias de ciberdelincuentes.

Desde que a mediados de 2019 se notificase un ataque con ransomware al Ayuntamiento de Jerez, el problema no ha hecho más que agravarse. Adif, la empresa pública que dispone de las líneas ferroviarias, sufrió un robo de datos en otro incidente el verano pasado. El SEPE fue víctima de un ataque con Ryuk, un ransomware, en marzo de este año. Datos de vecinos y funcionarios del Ayuntamiento de Castellón se filtraron hace unas escasas semanas. Y justo ahora se cierra el círculo: la tele municipal de Jerez ha vuelto a ser objeto de otro ciberataque.

Las universidades no se libran. El año pasado un superordenador de Barcelona fue también víctima de una serie de incidentes informáticos que se registraron por todo el continente. Y ahora, en cuestión de unas semanas, las universidades de Castilla-La Mancha y la Universidad de Córdoba han reconocido sendos incidentes de ciberseguridad en este y en este comunicado.

Lo habitual cuando una gran empresa o administración es objeto de un ciberataque es que esta cuente con el respaldo del equipo de respuesta a incidentes (CERT) del Centro Criptológico Nacional (CCN). El CCN-CERT. Cuando se trata de un incidente lo suficientemente grave, este equipo se moviliza y desplaza, como ocurrió en el caso de Jerez, en el que los equipos de sistemas informáticos de la corporación local no eran capaces de repeler el incidente.

Los atacantes del oleoducto de Colonial en EEUU habrían ganado hasta 74 millones de euros en rescates antes de cesar su actividad

Pero aunque Andrés Prado, responsable del Área TIC de la Universidad de Castilla-La Mancha (UCLM), consiguió superar el desafío que supuso el ataque con ransomware que sufrió el mes pasado, rememora lo sucedido con un regusto amargo. Un regusto que se resume en esta declaración:

"En un atentado a una infraestructura de la administración pública, sin daños personales, las Fuerzas y Cuerpos de Seguridad del Estado acuden a lugar de los hechos uniformados, lo acordonan y toman el control de la situación", recuerda. "Desgraciadamente, lo que hemos vivido aquí no ha sido así. Y estamos ante un problema de nivel nacional".

Este "planteamiento", que es la reflexión que Prado hace entre colegas del gremio, le preocupa. Sobre todo porque el especialista considera que estos ciberataques a universidades forman parte de una "oleada" de la que estamos "solo al principio". "Estamos ante un problema de nivel nacional", recuerda. "Nos pusimos en contacto con el CCN-CERT y reportamos la incidencia. Pero sinceramente, acudimos al centro de ciberseguridad que ofrece Telefónica".

Emergencia a las 2 de la mañana un domingo

Andrés detalla en conversación con Business Insider España que el ciberataque con ransomware a su universidad se detectó un domingo de madrugada. Eran, concretamente, las dos de la mañana. Fue una noche dura. "En ese momento, lo más difícil es asumir que no se tiene ni la capacidad ni los recursos para hacer frente a una situación como esa, en la que empiezas a ver cómo tus infraestructuras críticas, esenciales para el funcionamiento de la universidad, están atacadas, cifradas, y no tienes controlado el alcance del incidente".

Este ataque con ransomware fue el primer incidente que registró la UCLM en su historia. Prado trabaja en el área de TIC de la entidad desde 2008. También es el incidente más grave al que se ha enfrentado en su vida. "Hemos sufrido problemas de disponibilidad de servicios, algún incidente... pero ataques absolutamente dirigidos hacia nuestras infraestructuras críticas, y con esta virulencia, nunca".

"Fue una noche compleja y nos encontramos con una situación muy difícil. Nos tocó a todo el equipo venir aquí". Sin embargo, a pesar de que este tipo de incidentes aparejan la exigencia de un rescate, en este caso el responsable TIC de la universidad descarta que se haya pagado. También que se le haya pasado por la cabeza. "Evidentemente no nos pusimos en contacto con los atacantes en ningún momento. Ni nos lo planteamos en ningún momento".

El hackeo a una red de psicólogos en Finlandia o el reciente ataque al Ayuntamiento de Castellón demuestran lo cruel que puede ser el vínculo entre ciberseguridad y salud mental

En ese sentido, Prado recuerda que la universidad pública en España se ha tenido que acelerar su digitalización con unos tiempos de emergencia. "Somos una universidad presencial", recuerda el responsable de Sistemas de la institución castellanomanchega. Desde que estalló la pandemia, muchas de las clases que se imparten han pasado a ser en remoto.

Con ello, la universidad española depende cada vez más de su tecnología, tanto en el ámbito docente como en el investigador. Y en ese sentido, "es imposible que las universidades estemos a la altura de las organizaciones cibercriminales", que son mucho más sofisticadas. "Trabajamos con recursos propios y necesariamente contando con especialistas en este tipo de situaciones".

Reivindicando el TIC en el sector público

Prado considera que las universidades pueden ser un objetivo goloso para ciberdelincuentes no tanto por la capacidad económica sino por la dependencia que estas instituciones tienen de la tecnología.

Pero para ello sigue confiando en los informáticos y especialistas del sector público. Se trata de un sector que adolece precariedad y temporalidad en muchas instituciones. Por esa misma razón, Andrés Prado pone en valor el trabajo de su equipo, que se desplazó a la universidad el domingo de abril en el que se registró el ciberataque de madrugada y colaboraron de forma efectiva con los técnicos que envió Telefónica.

Facebook, LinkedIn o Clubhouse: los hackeos en redes sociales siguen creciendo porque son el 'petróleo' con el que los ciberdelincuentes montan sus ataques

"Una cuestión importante es la profesionalidad que hay detrás de los servicios tecnológicos de la administración pública. Cuando hablamos muchas veces de funcionarios parece que hay connotaciones despectivas. Yo tengo el orgullo de llevar un equipo de gente que estuvo conmigo de madrugada dejándose la piel con el objetivo claro de mantener el servicio público", zanja.

Prado considera que el modelo de respuesta que dieron, en el que se demostró la eficacia en la colaboración público privada, es el camino. "Nosotros tampoco podemos tener un especialista en ransomware", admite. "Pero sí estamos implicados en una sociedad que tiene unos niveles de digitalización cada vez más altos".

Otros artículos interesantes:

Así son los hackers que busca fichar los servicios secretos españoles: qué experiencia debes tener y cómo aplicar a la oferta

Tus datos están en la filtración de Facebook o LinkedIn: qué puedes hacer ahora y de qué son capaces los ciberdelincuentes con tu información

Las empresas hackeadas pagan los rescates de 'ransomware', los criminales invierten los beneficios en mejorar sus ataques, y este bucle no parece tener fin

Te recomendamos

Y además