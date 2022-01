Campus de la Universitat Autònoma de Barcelona /@EP





Un ciberatac no és una qüestió de si passarà, sinó de quan. Cal conscienciar sobre els perills que hi ha a l'univers digital per intentar prevenir-los. Per això, la UAB hauria d'haver canviat abans la mirada al voltant de la ciberseguretat. Durant la investigació, moltes de les fonts s'han passat la pilota els uns als altres i no han deixat res clar.





Les declaracions de persones externes a la universitat estan convençudes que l'Autònoma ha pagat el rescat de 3,5 milions d'euros que demanaven els cibercriminals. Sobretot, després de l'ultimàtum que apareix al bloc dels segrestadors i que la Generalitat hagi destinat 3,7 milions d'euros per a la suposada recuperació del sistema. Aleshores, quina és la veritat de tot això?





Aquesta és la primera part d'un total de tres d'un reportatge d'investigació realitzat per:







Carla Miñarro





Eva Moreno





Sandra Molina





L'encriptació i el "tallafocs"





El dilluns 11 d'octubre van saltar les alarmes a la Universitat Autònoma de Barcelona (UAB). El sistema de monitorització 24/7 va detectar una activitat irregular i agressiva sobre la una i mitja de la matinada. De sobte van veure que els fitxers estaven xifrats de forma massiva. Es tractava d'un greu atac informàtic que va afectar els sistemes centrals de la universitat, deixant-los totalment sense servei i fora de combat.





La reacció ipso facto del personal tècnic va ser desconnectar els servidors i les aplicacions corporatives per evitar la propagació del ciberatac, fent com una mena de “tallafocs”. Gràcies a això, l’extensió de l’atac no va arribar a la globalitat de la infraestructura informàtica. Tot i això, no es tenia constància encara del calibre ni de la magnitud del problema. El que sí que se sabia era que calia actuar ràpidament per evitar que la universitat visqués, si encara era possible, el seu pitjor malson.





Per tant, es palpava a l'ambient molta incertesa i ambigüitat. La complexitat de la situació girava al voltant de l'origen de l'atac i de com solucionar-ho. D'aquí en sorgien moltes preguntes que, fins ara, estaven sense resposta: Quin ha estat l'objectiu dels ciberdelinqüents? Quin tipus de programari maliciós han utilitzat? Qui hi ha darrere aquest ciberatac? La UAB ha pagat finalment el rescat? S'acabaran filtrant dades? La universitat ha fet una bona estratègia de comunicació?





Un objectiu econòmic al pont del Pilar





Pot semblar curiós que escullin un dia festiu per perpetrar l'atac. A primera vista, el dany hauria estat més gran i més ràpid si hi hagués hagut més usuaris connectats a la xarxa. No obstant això, l’Adolfo Amo, responsable del servei d'informàtica distribuïda de la Facultat de Ciències de la Comunicació de la UAB, va recalcar que potser van aprofitar el pont del Pilar perquè hi havia menys personal tècnic per aturar la intrusió.





L'elecció del dia és totalment premeditada, ja que escullen el moment més vulnerable de la víctima. El ciberatac va ser programat des de feia molt de temps. L’Adrián Ramírez, responsable de l'empresa privada de ciberseguretat Dolbuck S.L., declara que “una organització triga uns sis mesos a adonar-se que ha estat hackejada”.





Per tant, és un atac molt ben orquestrat, dirigit i organitzat amb una finalitat molt concreta. Com recalca en Lluis Azorín, tècnic informàtic especialitzat en ciberseguretat, l'objectiu d'aquest ciberatac no és cap altre que posar contra les cordes la UAB i fer que pagui un rescat o que ho perdi tot.





El dominant programa maliciós





En Carles Llorens, professor de TIC a la UAB, va comentar que havien patit un atac informàtic de ransomware. És un programa maliciós molt destructiu que utilitzen els pirates del segle XXI per segrestar arxius informàtics i demanar un rescat econòmic per alliberar-los. Ransom vol dir rescat en anglès. En Nico Castellano, consultor de ciberseguretat d'Andubay, va treure a la llum que els atacants de la universitat reclamaven un pagament de 60 bitcoins, equivalent a uns 3,5 milions d'euros, per alliberar les dades segrestades. Segons l'últim informe anual sobre el crim organitzat a Internet, l'Europol reconeix que el ransomware és “l'amenaça més dominant en ciberdelinqüència”.





Hi ha diferents variants de ransomware. Una d’elles és PYSA, un programari intrusiu que justament és el que es troba darrere del ciberatac de la UAB. Sota les sigles Protect Your System Amic, el senyor X, militar i expert en ciberseguretat, explica que el modus operandi d'aquest grup es caracteritza per fer una doble extorsió, és a dir, l'amenaça no només consisteix a perdre els arxius, sinó que aquests poden ser publicats si no es paga el rescat, ja que compta amb la peculiaritat de robar la informació filtrada.





Els autors, sense valors ni escrúpols





L’Enric Borràs, periodista que ha investigat el ciberatac de la UAB per al Diari Ara, defineix que per entendre l'entramat criminal al terreny de la ciberseguretat cal diferenciar tres grups bàsics: les persones que busquen informació dels vectors d'entrada, els que han desenvolupat el programa maliciós i les plataformes de proveïdors o empreses de servidors que són, al capdavall, les que estan implicades en activitats il·legals.





Per tant, són molts els investigadors i experts en aquest camp els que coincideixen que els autors del ciberatac no tindrien per què tenir grans coneixements d'informàtica ni ser prou hàbils tècnicament a l'hora de produir el ransomware. Però només pel que fa a la producció, ja que aquesta organització criminal no la integren “tres matats en un garatge”, tal com descriu l’Oriol Torruella, director de l'Agència de Ciberseguretat de Catalunya (ACC), sinó que es dediquen professionalment a això. No són uns simples aficionats si han aconseguit fugir de la policia després de molts anys actuant.





La seva comesa ha estat llogar o pagar per un malware (programari maliciós) ja existent, llest per usar, obtingut a la Dark Web. Així, els autors simplement el personalitzen i implementen al seu gust. Per això, es diu que el món criminal actua com les multinacionals, ja que s'externalitzen, se subcontracten i tenen relacions complexes.





Un mur “infranquejable”





Però com ho han fet els ciberdelinqüents per estendre's lateralment per tota la universitat? Per tenir una resposta cal fer una anàlisi forense. No obstant això, és complicat perquè els segrestadors amaguen el seu rastre i no solen deixar cap pista. El que està clar és que els atacants van buscar vulnerabilitats als sistemes per violar la seguretat i, en aquest cas, les van trobar. Segons Ramírez, si s'ha pogut expandir és perquè la UAB no tenia les mesures de seguretat adequades.





Tanmateix, aquesta vulnerabilitat no només la presenta una infraestructura com la de la UAB. El senyor X subratlla que, fins i tot, en organitzacions que tenen bones mesures de seguretat i altres multinacionals, els cibercriminals poden entrar i segrestar dades. Alguns dels ciberatacs més destacats en els últims mesos s'han perpetrat a empreses com Damm, MediaMarkt i la mateixa Generalitat. El més recent ha estat a la UOC. I és que segons un estudi de l'Agència de Ciberseguretat de Catalunya, es calcula que durant aquest any hi ha hagut un atac a escala mundial cada 11 segons.





En un campus com el de la UAB, qualsevol dels 40.000 alumnes pot atacar els sistemes. D'aquesta manera, el senyor X manifesta que s'hauria de pensar més en la prevenció, encara que cal tenir en compte que sempre la baula més feble en seguretat informàtica és el factor humà, atès que els ciberatacants són molt bons enginyers socials, és a dir, usen tècniques per manipular i enganyar els usuaris. Així, obtenen accés a dades que els poden comprometre seriosament. Per tot això, és molt important enfortir i invertir en una bona ciberseguretat i no fer-ho només quan es pateix un atac.





La “maduresa” quant a la ciberseguretat





La Divisió Cibernètica de l'Oficina Federal d'Investigacions (FBI) va alertar sobre l'increment de l'activitat del ransomware PYSA que ataca les institucions educatives.





En Javier Lafuente, rector de la UAB, ha explicat que, l'any 2021, abans del ciberatac, la universitat havia invertit més d'un milió d'euros en ciberseguretat, partida que ha acaparat dos terços del pressupost en informàtica dels darrers dos anys. A més, ha destacat que “el sistema no era feble, però la tecnologia avança a més velocitat”. Tot i això, en Jordi Hernández, comissionat del rector per a les Tecnologies de la Informació i la Comunicació (TIC) i cap dels serveis informàtics de la UAB, ha dit que no podien fer més quant a ciberseguretat perquè “no tenim prou diners per adquirir eines més sofisticades i potents”. Aquesta incoherència posa en evidència que ells sols s'estan desacreditant.





El senyor Y, pèrit judicial informàtic forense, malgrat el secret professional a què es deu, comenta que, en teoria, la forma de protegir-se davant aquests ciberatacs és implantant l'Esquema Nacional de Seguretat (ENS) per reduir els seus riscos i impacte. Tanmateix, exclama alterat que “ningú ha fet cas al puto Esquema Nacional de Seguretat. Ha estat una venda de fum de tres parells de nassos. Molta gent que va rebre subvencions les va dedicar per fer ximpleries, com per exemple places als pobles”.





Hernández destaca que la universitat té identificats els rols que es demanen a l'ENS i està en procés d'adquirir la certificació a través d'un examen per obtenir el document oficial, tot i que encara trigarà aproximadament dos anys. Així mateix, expressa que a Espanya només ho han implementat dues universitats: la Universitat Nacional d'Educació a Distància (UNED) i la Universitat de Múrcia (UM). S'està excusant?





Davant d'aquesta situació tan irresponsable, el senyor Y opina que “el problema que hi ha és que la gent es passa pel folre la ciberseguretat i la tecnologia”. És per això que remarca la importància de tenir coneixements bàsics quant a la ciberseguretat i actualitzar cada dia les còpies de seguretat.