Els autors del ciberatac a la UAB amenacen amb publicar la informació
A la universitat no li consta cap filtració massiva de dades, però tampoc no la descarta
BarcelonaEls autors del ciberatac que va inutilitzar fa trenta dies els serveis informàtics de la Universitat Autònoma de Barcelona (UAB) han tornat a donar senyals de vida. Fa unes hores la pàgina de la dark web de PYSA, el col·lectiu responsable del ransomware (programari de segrest digital) amb què es va dur a terme l'atac informàtic, ha publicat una llista d'empreses i entitats a les quals amenaça amb fer pública la informació aconseguida en els seus últims ciberatacs. I hi surt la UAB, a qui avisen que "aviat" (coming soon) publicaran la informació que tenen. A la llista també hi ha una data: 10/11/21, que podria indicar quan tindrà lloc la publicació –en algun moment d'aquest dimecres–, però amb el format americà també podria fer referència a la data en què es va cometre el ciberatac –la nit del 10 a l'11 d'octubre–. Cap de les altres entitats de les quals PYSA amenaça publicar informació "aviat" té cap data al costat.
El programari maliciós va xifrar més de 650.000 carpetes i fitxers de la UAB, segons la llista de documentació afectada a la qual va tenir accés l'ARA, i els delinqüents informàtics reclamen 60 bitcoins per desxifrar-los (al preu actual, gairebé 3,5 milions d'euros). Eas tracta d'arxius com ara actes de reunions d'organismes de la universitat, avaluacions d'alumnes, currículums de professors, programes i certificats acadèmics, factures, nòmines del personal universitari, llistes d'adreces de correu electrònic, plànols d'edificis, ordres de pagament, informes i estudis, convenis amb empreses i institucions, contractes i fins i tot una relació de les incidències de seguretat al campus durant vuit anys.
Però, a més, els ciberdelinqüents de la família de ransomware PYSA practiquen la doble extorsió: no només xifren els arxius de la víctima perquè no hi pugui accedir si no paga, també acostumen a copiar-los abans de xifrar-los i amenacen de difondre'ls si no cobren. El comissionat del rector per a les tecnologies de la informació i la comunicació, Jordi Hernández, insisteix a l'ARA que no hi ha "cap evidència tecnològica" que s'hagi produït "una extracció massiva de dades" dels servidors, encara que els arxius hagin quedat xifrats. Des de la UAB també estan a l'expectativa del que pugui passar aquest dimecres. Hernández no descarta que els atacants, de qui destaca el nivell d'"expertesa", hagin pogut burlar els sistemes de detecció habitual, hagin aconseguit més arxius del que esperen i en publiquin una petita mostra per continuar exigint el rescat, seguint el "patró habitual" d'aquest tipus de delinqüència.
El comissionat garanteix que les bases de dades corporatives de la institució "no han estat vulnerades". En funció de si finalment es produeix una filtració i del seu abast, la universitat es posarà en contacte amb l'Agència de Protecció de Dades, amb qui ha treballat colze a colze durant aquest mes. "No té sentit fer un avís sobre possibilitats", diu Hernández. Fonts de la UAB insisteixen que no cediran al xantatge econòmic i expliquen que no tenen constància que s'hagi demanat cap quantitat concreta, perquè no pensen posar-se en contacte amb els atacants, com els han recomanat des de l'Agència de Ciberseguretat de Catalunya.
Un campus virtual de contingència
L'atac va fer tornar la universitat tres dècades enrere, ja que la va deixar sense accés a la xarxa ni als documents, espais i programes en línia. Ara ja s'ha pogut restablir la connexió a la xarxa, s'han recuperat la majoria de comptes de correus electrònics –amb un sistema de doble autentificació–, es poden fer classes virtuals i compartir arxius i s'accedeix a la plataforma de Microsoft. El campus virtual de la universitat continua sense funcionar, però segons avança Hernández, els tècnics tenen a punt una "alternativa" de "contingència": a través de Teams, l'aplicació que van fer servir per fer les classes de manera virtual durant la pandèmia, han pogut reproduir l'entorn del campus virtual "enriquint" el producte amb noves "funcions de treball en grup".
De moment tampoc està operativa la base de dades ni la majoria dels aplicatius per a la gestió financera de la universitat. Hernández admet que aquesta és una de les "prioritats" a hores d'ara, per la "supervivència financera" de la institució: en l'últim mes no s'han pogut incorporar fons de recerca ni algunes matrícules.
Pel que fa a la documentació i la informació, els tècnics de la universitat estan recuperant els arxius amb els seus propis mitjans, una feina que ja fa un mes que dura i que encara està lluny d'acabar-se. Hernández explica que es podrà recuperar la còpia de seguretat del dia abans de l'atac, però no es descarta que s'hagin perdut alguns documents o arxius de recerca, per exemple. De moment també estan buscant una alternativa perquè els investigadors tornin a tenir una solució que els permeti continuar treballant.
Aquesta notícia ha estat editada després de publicar-la per afegir-hi l'aclariment sobre els dos possibles significats de la data que consta a la web de PYSA.