Ciberatac frustrat a la UPF pocs dies abans dels exàmens finals

BarcelonaUna setmana abans que comencin els exàmens finals, la Universitat Pompeu Fabra (UPF) ha patit un intent de ciberatac que ha obligat a desconnectar tots els servidors informàtics del centre fins aquest dimarts a la tarda. Durant el matí i el migdia no ha funcionat la xarxa interna ni l'accés a internet i, tot i que la direcció ho ha lamentat, ha defensat que aquestes mesures s'han pres "per evitar afectacions futures de més envergadura". Segons el secretari de Telecomunicacions i Transformació Digital de la Generalitat, Sergi Marcén, els tècnics de la UPF i de l'Agència de Ciberseguretat de Catalunya van detectar diumenge una intrusió als servidors. Els intrusos pretenien desplegar un programa de segrest de dades de tipus ransomware, que xifra la informació de la víctima, fent-la inaccessible, per exigir un rescat econòmic a canvi d'alliberar-la.

"La intenció sense cap mena de dubte era robar dades i encriptar tot el sistema informàtic de la universitat", explica Marcén. Com a mesura de prevenció, s'han desconnectat tots els serveis informàtics per evitar un incident informàtic que, en paraules de l'expert, podria haver estat "molt crític". Amb tot, fonts del Govern asseguren que s'ha pogut rebutjar l'atac sense que es robessin dades ni es xifrés informació i els servidors s'han reiniciat i han tornat a la normalitat aquesta tarda.

Els tècnics de la Generalitat, conjuntament amb els de la universitat, van adonar-se diumenge que un usuari havia intentat accedir a certs espais dels servidors de la UPF fent servir una credencial d'un treballador d'administració. Precisament, i segons ha pogut comprovar l'ARA, des del mes de febrer les credencials d’accés (usuari i contrasenya) d’un administratiu de la UPF es van posar a la venda a la dark web per 160 dòlars –negociables. 

Des de l'Agència de Ciberseguretat, però, encara no poden confirmar si aquesta és una de les vies que s'han fet servir per intentar atacar els servidors de la universitat perquè la investigació acaba de començar. "No és descartable perquè la dark web funciona així", admet Marcén. La Unitat Central de Delictes Informàtics dels Mossos d'Esquadra ja ha obert una investigació per intentar identificar els autors de l'atac.

"Un procés de manteniment tindria el mateix impacte"

Cada dia l'Agència de Ciberseguretat de Catalunya gestiona 4,5 milions d'intents de ciberatacs a l'administració, i després que en els últims anys se n'hagin produït alguns de greus, com el que encara afecta la UAB i el que va noquejar l'Hospital Clínic, la Generalitat està reforçant els sistemes de vigilància per detectar "moviments estranys" i avançar-se a potencials problemes. "Això és el que hem fet aquest cap de setmana amb la UPF i ha estat un èxit: no s'ha executat el ransomware, per tant, hem pogut actuar abans que s'efectués el robatori de dades", afirma Marcén.

Fonts de l'Agència mantenen que el sistema de protecció amb què treballen ja bloqueja aquesta mena d'atacs de manera automàtica i normalment només un parell requereixen l'atenció d'algú perquè són persistents o podrien implicar un risc alt. L'atac de la UPF forma part d'aquest grup. Per resoldre-ho, els tècnics van crear un perímetre de seguretat que permetés conèixer els moviments de l'atacant i identificar quines portes intentava travessar. "Hem desconnectat els servidors per netejar tot el que potencialment podia estar infectat i, així, recuperar els sistemes", explica Marcén.

Ara bé, i segons el secretari de Telecomunicacions i Transformació Digital, en tot moment s'ha seguit el procediment estàndard: "Un procés de manteniment habitual hauria tingut el mateix impacte que la resolució de l'intent d'atac", ha dit, encara que aquesta mena de processos no s'acostumen a fer al mig d'una jornada laboral.

"La celeritat en la presa de decisions ha estat clau per minimitzar els riscos i les potencials afectacions en la vida universitària", ha valorat l'equip directiu de la UPF, que en un comunicat ha agraït la "comprensió" de tota la comunitat universitària, tenint en compte "el moment del curs acadèmic". Fonts de la universitat també destaquen que en tot moment s'ha mantingut l'activitat docent prevista malgrat la limitació de connectivitat a la xarxa.