L'atac informàtic a la UAB ha afectat més de 650.000 arxius i els delinqüents demanen 3 M€
La universitat afirma que no s'ha posat en contacte amb els atacants i que no té cap intenció de pagar el rescat per alliberar els documents xifrats
L'ARA ha pogut accedir a una llista de la documentació afectada per l'atac informàtic a la Universitat Autònoma de Barcelona (UAB), on consten més de 650.000 carpetes i fitxers. L'atac s'ha perpetrat amb un ransomware –un programari maliciós que xifra els documents de la víctima i exigeix un rescat perquè s'hi pugui tornar a accedir– anomenat PYSA. Segons el consultor de seguretat informàtica José Nicolás Castellano, i tal com ha pogut contrastar l'ARA, els atacants demanen 60 bitcoins (uns tres milions d'euros) per alliberar els documents segrestats. Fonts de la UAB asseguren que no en tenen constància perquè, seguint les recomanacions de l'Agència de Ciberseguretat de Catalunya, no tenen cap intenció de pagar, no s'han posat en contacte amb els atacants i, per tant, ningú els ha pogut demanar res. Però això no vol dir que els delinqüents no posin un preu als fitxers.
Entre la documentació afectada, segons ha pogut comprovar l'ARA a partir de la llista d'arxius que els delinqüents asseguren que han infectat, hi ha actes de reunions d'uns quants organismes de la universitat, avaluacions d'alumnes, currículums de professors, programes i certificats acadèmics, factures, nòmines de personal universitari, llistes d'adreces de correu electrònic, plànols d'edificis, ordres de pagament, informes i estudis, convenis amb empreses i institucions, contractes i fins i tot una relació de les incidències de seguretat al campus durant vuit anys. Però no hi ha cap motiu per pensar que els fitxers que surten a la llista, tot i que continuen sent inaccessibles, s'hagin filtrat fora del campus. El comissionat del rector per a les tecnologies de la informació i la comunicació, Jordi Hernández, ha explicat a l'ARA que no tenen cap constància que tota aquesta documentació hagi sortit dels seus servidors: "Tenim una xarxa informàtica que manté un registre de tot el que hi passa. Si tota aquesta gran quantitat de dades hagués sortit, n'hauria quedat constància al registre i no és el cas".
Fonts de la UAB asseguren que han comunicat l'incident a l'Autoritat Catalana de Protecció de Dades. A banda, segons l'autoritat, "si és probable que la violació de seguretat de les dades comporti un risc alt per als drets i llibertats de les persones físiques", també se les ha d'alertar "sense dilacions i en un llenguatge clar i senzill". Hernández explica que ara per ara no han vist necessari alarmar ningú. "Per precaució" no s'atreveixen a descartar del tot cap possible filtració, però de moment la veuen improbable. Assegura, a més, que segueixen "fil per randa" el protocol en aquests casos i les recomanacions de l'Agència de Ciberseguretat i l'Autoritat de Protecció de Dades.
La prioritat, ara, és anar recuperant progressivament la normalitat al campus. "L'alarma va saltar a dos quarts de dues de la nit de diumenge a dilluns i abans de les dues els tècnics ja hi treballaven", assegura el comissionat. Per això van poder tallar la infecció abans que afectés tots els equips. Mentre es posen en marxa vies alternatives per poder continuar donant servei a la comunitat universitària, la UAB ja treballa per recuperar la informació perduda a partir de les còpies de seguretat. El rector de la UAB, Javier Lafuente, ha explicat en declaracions al programa Els matins de TV3 que a la universitat hi ha 1.200 servidors però que tenen tres nivells de còpies de seguretat, i s'ha mostrat optimista pel que fa a la recuperació de les dades xifrades.
Recuperar les dades
La UAB ja analitza els equips un a un, per comprovar quins estan afectats, i aquest divendres ha comunicat que ja havia recuperat la xarxa wifi del campus. Jordi Hernández admet que donen per perduda la possibilitat de desxifrar els arxius afectats sense tenir la contrasenya, però insisteix que tenen còpies de seguretat de la informació que és als discos durs de la xarxa universitària, tot i que no concreta fins a quin punt estan actualitzades. Però la informació que només sigui als discos durs dels ordinadors personals de la universitat no queda inclosa en aquestes còpies de seguretat i "pot quedar molt compromesa", reconeix. Afegeix que l'atac "s'havia planificat amb molta antelació" i que trigaran a tenir l'informe forense que indiqui com s'ha pogut cometre, però aquests atacs solen aprofitar la resposta d'algun membre de l'entitat objectiu a un correu maliciós per entrar dins els sistemes, explorar-hi possibles vulnerabilitats per obtenir privilegis d'administrador i, una vegada aconseguits, es prepara un atac que se sol disparar els caps de setmana, quan hi ha menys capacitat de resposta.
El rector ha explicat que han trobat informació que confirma quin programari maliciós hi ha al darrere de l'atac i ha insistit que la universitat no es posarà en contacte amb els delinqüents informàtics. "No pensem pagar", ha assegurat, i ha confirmat que el ransomware atacant és PYSA. Aquest programari sovint funciona com un malware-as-a-service: els desenvolupadors el lloguen preparat per instal·lar a les víctimes, sense que qui el vulgui fer servir l'hagi de programar pel seu compte. Segons un avís que va emetre l'FBI nord-americà el mes de març, és capaç de copiar i treure les dades de les víctimes abans de xifrar-les i afecta sobretot institucions educatives, com per exemple universitats. El consultor en seguretat informàtica José Nicolás Castellano alerta que els atacants que fan servir PYSA sovint exerceixen una doble extorsió: si no se'ls paga el rescat, no només no alliberen els documents xifrats, sinó que també els publiquen, amb totes les dades personals incloses, en un blog a la dark web. També alerta de l'auge creixent d'aquesta mena d'atacs de ransomware.