L'onze d'octubre del 2021, la Universitat Autònoma de Barcelona va patir un atac informàtic de tipus ransomware que va aturar tota la infraestructura digital de la institució. L'incident, perpetrat per un grup de cibercriminals que actuen sota el nom de PYSA (sigles de Protect Your System, Amigo), va aprofitar les nombroses febleses del sistema de la UAB per encriptar una quantitat molt elevada de fitxers i serveis, segons informa el rectorat. Presumptament, es va demanar un rescat de 60 bitcoins, uns tres milions d'euros, per a poder-los recuperar.

La ciberseguretat, la tasca pendent

El nombre de ciberatacs registrats en els darrers mesos arreu del món no ha fet més que créixer. Si bé tothom és susceptible de patir-ne un, el cas de les administracions públiques és diferent al de les empreses i organitzacions privades. Escoles, hospitals i universitats són un dels objectius més habituals entre els delinqüents a causa de la importància que tenen en la societat, la deficiència generalitzada dels sistemes i la necessitat imperiosa de recuperar les dades davant d'un atac, sumat a la garantia de disposar de fons econòmic de l'erari públic. Per aquest motiu, els assaltadors acostumen a guanyar en la balança cost-benefici. La Universitat de Castilla-La Mancha (UCLM), per exemple, va ser atacada l'abril de 2021 amb el ransomware Ryuk i va trigar mesos a recuperar la normalitat informàtica. En general, tant empreses com institucions no sempre son conscients dels riscos que pot comportar un atac informàtic i sovint no es prenen les mesures necessàries per prevenir-los, ja que el cost de la implementació és elevat i moltes són reticents a fer una despesa d'aquest tipus.

Radiografia del sistema informàtic de la UAB

Abans de preguntar-nos com es va dur a terme l'atac a l'Autònoma, cal saber l'estat de les instal·lacions informàtiques el dia de l'incident. Per Jordi Hernández i Sánchez, comissionat del rector per a les TIC de la UAB, l'estat de la infraestructura "ha estat una peça clau que ha permès als hackers poder fer el màxim de mal possible. Les seves condicions són un mal endèmic que la universitat arrossega des de fa molts anys, sobretot per la falta de finançament públic".

Per una banda, molts dels servidors i ordinadors han quedat obsolets. Segons les xifres facilitades pel mateix Rectorat, aproximadament la meitat dels dispositius del parc d'ordinadors del campus tenen més de cinc anys. Aquesta situació comporta que una part de les màquines no siguin compatibles amb les darreres versions dels sistemes operatius i del programari instal·lat i que, per tant, hi hagi forats de seguretat que no es poden corregir. De fet, la universitat confirma que, puntualment i per manca de recursos, alguns centres s’han vist obligats a utilitzar de nou dispositius que s'havien retirat del servei.

 

Gràfic de l'antiguitat (en anys) de tots els ordinadors corporatius de l'Autònoma. Font: Rectorat de la UAB.

 

Sumat a això, el gestor que valida les credencials corporatives d'inici de sessió no estava dotat de les eines de seguretat suficients. Una de les capes més bàsiques, l'autenticació en dos passos, només estava activada pel sector d'alumnat, i no pas per al personal acadèmic docent, d'administració i de serveis. Si una persona disposava d'una contrasenya corporativa podia entrar directament al sistema sense ser validat com a usuari real.

Una de les principals vulnerabilitats era que la infraestructura no estava prou protegida ni segmentada amb els permisos pertinents. És a dir: amb la pandèmia i fruit del teletreball, es va impulsar l'accés remot a sistemes de la universitat per a moltes persones treballadores, però amb permisos d'administrador comuns.

El pas previ al ciberatac

Pocs dies abans de l'atac, la Direcció de Tecnologies de la Informació i la Comunicació (DTIC) de l'Autònoma va enviar una circular a tota la comunitat del campus informant d'un augment de suplantacions d'identitat i de fitxers maliciosos a través d'adreces electròniques corporatives. Aquesta tècnica és coneguda amb el nom de pesca de credencials (en anglès, phishing), i la manera com es duu a terme és cada cop més sofisticada.

 

Avís tramès el vuit d'octubre a tota la comunitat universitària de la UAB. Font: UABmèdia.

 

En el seu informe de diagnosi, el Rectorat explica que durant la setmana del 20 de setembre els cibercriminals van aconseguir l'accés als sistemes de la UAB mitjançant aquest mètode. Tot apuntaria que una persona amb privilegis suficients als serveis d'administració informàtica hauria estat víctima de phishing a través d'un altre compte corporatiu vulnerat. En conseqüència, el grup de hackers va poder accedir i analitzar tota la infraestructura, a través de fitxers maliciosos, d'una manera totalment sigil·losa, a l'ombra dels tècnics i dels mateixos usuaris. Segons Jordi Serra i Ruiz, professor de la UOC i la UAB i expert en ciberseguretat, "els hackers sempre realitzen un mapa de tot el sistema i poden estar setmanes a la recerca de possibles vulnerabilitats en ordinadors i servidors".

El dia D

La infecció dels sistemes de la universitat es va produir a dos quarts de dues de la matinada de l’onze d'octubre, un dilluns enmig del pont del Pilar. En aquell moment, les eines de control de la infraestructura van donar el senyal d'alarma i van permetre l'actuació immediata dels tècnics. Això va contenir parcialment l'atac i alguns sistemes van quedar intactes, tot i que bona part dels servidors ja estaven afectats.

A primera hora del matí, la DTIC informava a través de Twitter d'una incidència generalitzada que afectava la majoria d'eines corporatives de la universitat, sense donar-ne detalls concrets. Diversos usuaris feien palesa la confusió que hi havia al campus durant el matí a través de les xarxes socials, ja que la connexió a internet i els serveis digitals estaven completament desactivats.

 

Avís: Incidència general afectació als serveis corporatius.
⚠️ Gran part de les aplicacions corporatives no estan accesibles.
#AvisUAB_DTIC @UABBarcelona

— TIC UAB (@tic_uab), 11 d'octubre del 2021

La piulada de la DTIC va ser la primera comunicació oficial de l'incident.

 

També es van detectar un conjunt de fitxers xifrats amb extensions poc habituals a molts ordinadors del campus. Com tots els dispositius corporatius estan connectats als servidors de la UAB, on es fa una administració centralitzada del programari i de la seva configuració, els ciberatacants van poder xifrar els ordinadors que estaven engegats i connectats a la xarxa en el moment de l'ofensiva a través de l'accés al nucli.

En els seus atacs, PYSA sol crear un fitxer anomenat README ("llegeix-me" en anglès), on s'inclouen instruccions per efectuar un pagament i poder recuperar els arxius afectats. Alguns membres de l'Autònoma van confirmar la presència d'aquests documents a través de les xarxes socials, tot i que la UAB no ha confirmat mai l'exigència de cap rescat.

A partir d'aquell moment, van començar a aparèixer missatges en cadena a WhatsApp informant de la situació. Al cap d'una estona, el compte oficial a Twitter de l'Autònoma va fer oficial que s'havia patit un ciberatac i que la majoria d'eines estaven fora de servei. La impossibilitat d'accedir als sistemes informàtics dificultava el correcte funcionament de les classes i va provocar-ne la cancel·lació en algunes facultats, com la de Ciències de la Comunicació. Altres centres, com la Facultat de Dret, van limitar-se a ajornar entregues i pràctiques fins a la resolució de la incidència.

 

La Facultat de Comunicació @FccUab de la @UABBarcelona anul·la totes les classes, teòriques i practiques del dilluns 11 octubre per no poder fer funcionar hardware i software el que afecta la docència. Lamentem les molèsties que això ocasiona a tota la comunitat.

— Maria José Recoder (@MJoseRecoder), 11 d'octubre del 2021

La llavors degana de la Facultat de CC. de la Comunicació, Maria José Recoder, informant de la cancel·lació de les classes.

 

Posteriorment, l'Autònoma va advertir l'Agència de Ciberseguretat de Catalunya (ACC), l'organisme depenent de la Generalitat que s'encarrega de vetllar per la seguretat informàtica de l'administració pública. També va presentar una denúncia als Mossos d'Esquadra i va contractar una empresa experta en el camp de la ciberseguretat, la identitat de la qual encara no ha estat revelada, i que s’ha encarregat de recuperar progressivament els sistemes juntament amb els tècnics de la UAB i de l'ACC.

Els mesos posteriors

En contradicció amb les polítiques internes de comunicació, la UAB va haver d’habilitar nous canals per arribar a l'alumnat i al personal, com és el cas del canal de Telegram. També es va potenciar l'ús dels perfils de Twitter de les facultats i dels organismes de l’entorn de la universitat.

Inicialment, la UAB va començar a crear eines de triatge de dispositius per comprovar l'abast real de l'atac i a restablir els primers sistemes. Pocs dies després es va recuperar la connexió Wi-Fi al campus a través d'una xarxa provisional i l'accés a l'entorn Microsoft 365 on es troben, entre d'altres serveis, el correu i el núvol corporatiu. Per tal d'entrar-hi, totes les persones usuàries van haver d'actualitzar la contrasenya i configurar l'autenticació en dos passos.

Un mes després de l'atac, els Departaments de Recerca i Universitats i d'Economia de la Generalitat de Catalunya van dotar la UAB amb un ingrés extraordinari de 3,7 milions d'euros. Aquesta quantitat ha de permetre substituir 1.200 ordinadors portàtils i 1.100 de sobretaula obsolets, pagar els serveis de l'empresa de ciberseguretat contractada i adquirir nous servidors i sistemes de seguretat, tal com va informar el rector. Tanmateix, Jordi Hernández considera que la xifra és insuficient per fer la reforma estructural necessària.

Paral·lelament, l'ACC va informar que l'Autònoma havia aparegut al portal de la web fosca on els ciberatacants publiquen els fitxers extrets en les accions que duen a terme. Ara per ara, la pàgina segueix sense contingut i es desconeix el nombre de fitxers que es penjaran i el moment en què es publicaran, si és que això arriba a passar.

 

Captura de pantalla del portal de PYSA, on s'espera la publicació de fitxers extrets durant el ciberatac. Font: UABmèdia.

 

Durant el mes de desembre es va recuperar la web corporativa, el Dipòsit Digital de Documents, el Campus Virtual i el programari de gestió econòmica SUMMA. A principis d’any s’han restaurat, entre d'altres, diverses aplicacions de l’entorn de la intranet de gestió acadèmica. Actualment se segueix treballant en l'activació de la resta de serveis. Hernández confia que "en menys d'un mes s'hauran recuperat les dades restants i que abans d'acabar el curs es restabliran tots els sistemes".

Ciberatacs, la nova normalitat

El 2 de gener de 2022, també després de festiu, la Universitat Oberta de Catalunya va ser víctima d'un ciberatac similar, que va afectar l'accés al seu Campus Virtual. A diferència de l'Autònoma, aquest incident es va resoldre en poques hores. Això s'explica, segons Jordi Serra, per les diferències en el model de funcionament tècnic entre els dos centres: mentre la UAB té una infraestructura de servidors dins del mateix campus, la UOC fa servir el núvol per emmagatzemar tots els seus serveis i, per tant, gaudeix d'una major flexibilitat i marge d'actuació. Com a resultat, van poder crear servidors alternatius el mateix dia i recuperar les còpies de seguretat sense causar gaires afectacions.

I ara, què?

Si bé aquest ciberatac ha marcat un abans i un després, el Rectorat no considera que això comporti un canvi de paradigma. Tal com assegura Jordi Hernández, “els serveis centrals de la universitat ja treballaven en un pla a mitjà termini de millora en l'àmbit informàtic i l'atac només ha comportat la seva acceleració”. Entre els canvis previstos, es planteja migrar alguns dels sistemes a servidors externs.

Tot i la tasca institucional pendent en aquesta matèria, els usuaris també han de considerar el seu grau de precaució en l'àmbit digital. En un context de transformació i digitalització ràpides és fàcil acomodar-se, però cal estar alerta i tenir cura de protegir la informació del dia a dia, especialment si conté dades sensibles. Conscienciar als usuaris, tant de l'Autònoma com d'arreu, de vigilar les seves dades i de fer un ús responsable dels serveis informàtics és fonamental per viure en un món cada cop més interconnectat. Tots hi juguem un paper i, en paraules del comissionat del rector de la UAB per les TIC, "no és una qüestió de si ens atacaran, sinó de quan ho faran."