Son incontables los episodios de bloqueo de redes y secuestro de datos con el propósito de cobrar un rescate. Aunque no siempre las victimas ponen la voluntad suficiente para informar a la opinión pública, por temor al daño que pueda sufrir su reputación. Merece contarse el ataque que el año pasado por estas fechas sufrió la Universidad Autónoma de Barcelona (UAB), que Gonçal Badenes ha calificado como “experiencia devastadora” pese al final feliz. El mecanismo empleado por los hackers fue típico en esta práctica delictiva: bloquearon los sistemas de la UAB y trataron de inhabilitar las copias de seguridad para exigir un pago a cambio de liberar los datos tomados como rehenes.
Gonçal Badenes
En su conversación con este blog, Badenes, director de Tecnologías de la Información y la Comunicación de la UAB, pone de relieve el papel clave que en la resolución del incidente jugó la empresa Dell Technologies, su proveedora de equipos de almacenamiento y de servidores, a la hora de recuperar la fuente del backup de datos. Asimismo, el de la compañía de ciberseguridad Fortinet, que ofreció medios técnicos para que pudiera reanudarse prontamente el servicio sin perturbar el análisis forense.
¿Por qué final feliz? La Universidad no llegó a responder al chantaje de los atacantes, entre otras razones porque – dice Badenes – el esfuerzo de recuperación habría tenido que hacerse incluso en el caso de pagar. Claro está que el asunto tiene otros matices que justifican la prolijidad de la conversación [luego hay gente que cree informarse por Twitter].
A diferencia de una empresa, que no deja de ser un entorno cerrado y controlado, toda universidad tiene por definición que prestar servicios a una masa de individuos volátiles, no vinculados a ella por una disciplina de uso. ¿Qué implica esto para la seguridad de sus redes?
Lo ha clavado: esa es la gran diferencia que distingue a cualquier entorno corporativo y otro de investigación o de docencia […] Tenemos que poner a disposición de nuestros usuarios herramientas que les dan posibilidad de hacer cosas que en otro contexto deberían estar vetadas […] Encontrar el equilibrio entre la ciberseguridad y la flexibilidad que necesita los usuarios es siempre materia opinable.
Algo tendrá que ver la herencia tecnológica […]
En toda universidad hay gente que pone el state-of-the-art por encima de todo, pero también hay quienes tienen que trabajar con máquinas que se instalaron hace mucho tiempo y que, por distintas razones, no se pueden reemplazar o a veces no son actualizables […] Sustituir las redes de un campus como el de la UAB es como si una ciudad decidiera cambiar todas sus calles de una ciudad en un verano. De esta magnitud es, realmente, la capacidad dañina de un ataque de ransomware.
[…] A eso iba
Para nosotros ha sido una experiencia devastadora, pero al mismo tiempo reconozco que nos ha dado una oportunidad inesperada. Cuando tienes el soporte adecuado, en mi caso el rector y el gerente, puedes echar mano de la hoja de ruta que habías trazado con anterioridad y, partiendo de esa disfunción, completar en dos meses un proyecto que nos hubiera llevado dos o tres años.
¿Eso es lo que ocurrió?
Tal cual. Por ejemplo, en la gestión del parque de ordenadores personales, que suma unos 10.000 equipos, teníamos un método que se fue al traste con el ataque […] De pronto, tuvimos que actualizarlo todo y hacerlo con un método nuevo, automatizado. Así fue como pudimos hacerlo en ocho semanas.
¿Por dónde pasa la frontera en la conexión entre la informática personal de los estudiantes, o de los visitantes ajenos al campus alumnos y la que está bajo control de este departamento?
Frontera es una palabra apropiada. Años atrás, cuando se comenzaba a instalar redes en las universidades, la ciberseguridad no era un problema: podíamos conectar con sitios de la propia universidad o quizá de alguna extranjera, pero no mucho más […] Eran redes amigas. No se te pasaba por la cabeza que alguien pudiera bloquearlas, ni mucho menos exigir un rescate.
[…] otros tiempos
Sí, pero en el fondo la red de un campus universitario es plana: no podías concebir que esa red te condujera a un entorno hostil o delictivo. ¿Qué ha cambiado? Una parte de nuestros servicios están expuestos en Internet y a esa red abierta pueden acceder los ciudadanos, obviamente también los estudiantes desde sus casas: el campus virtual, las páginas web de la universidad, el portal de trámites administrativos. En la UAB tenemos tres niveles de acceso: el público (campus), el que está reservado al personal y el de los técnicos informáticos.
¿Por dónde entraron los atacantes? ¿Cuál fue el vector de acceso?
Partamos de la premisa de que cualquier usuario es potencialmente una fuente de vulnerabilidad. El vector de entrada fue un usuario, como puede imaginar: sin entrar en los detalles que conocemos, tenemos muy claro que fueron comprometidas las credenciales de ese usuario concreto, con un típico mensaje de phishing que acabó desvelando su identificación y su contraseña.
Hasta ahí, como ha dicho, de lo más típico ¿Por qué pudieron penetrar más profundamente?
Sabemos a ciencia cierta que fue una conjunción de cosas improbables y que fuimos víctimas del crimen organizado. Fueron a por nosotros, no llegaron a la UAB por casualidad […] Con las credenciales de un usuario – que no tenía privilegio específico – se metieron en la VPN, lo que denota un esfuerzo, porque hay docenas de VPN y tenían que averiguar cuál usa la UAB, buscar el cliente, instalarlo y configurarlo de la manera adecuada, poner las credenciales y finalmente penetrar en el sistema. Ya dentro de la VPN accedieron a la red del campus abierta a usuarios normales.
Y les quedaba por encontrar un agujero, lo más difícil.
Se tomaron tiempo para hacer un análisis de lo que había en la red, qué tipos de dispositivos se conectaba, qué servicios proporcionaba y sobre qué clase de servidor, estas informaciones no son transparentes. Pero, con una herramienta que los hackers usan habitualmente, podían detectar en qué máquina encontrar un agujero que no estuviera debidamente actualizado […] Lo atacaron y, una vez dentro de esa máquina, un servidor, usar otras herramientas para ver si un administrador de esa máquina haya entrado, dejando un hash de su contraseña. Sólo con el hash no se puede entrar, hace falta fuerza bruta y un poco de suerte… recuperas la contraseña y así llegas al administrador para lanzar otro ataque. En nuestro caso, todo lo que he descrito les llevó tres semanas de trabajo.
¿Cómo se sabe?
Gracias a un equipo de especialistas forenses: todo lo que se hace en un ordenador deja huellas. Intentaron borrarlas, pero cometieron errores. Y, por nuestra parte, teníamos sistemas que mueven esas huellas a sitios distintos para que no se puedan borrar. Sabemos que trabajaban en horas de madrugada, cuando los sistemas no estaban activos. La verdad es que llegaron a conocer bastante bien cómo está montada nuestra red y cómo se interrelacionan las distintas estructuras, para atacarlas en sitios que les permitieran saltar de una a otra.
¿Por qué ha dicho ´fueron a por nosotros`?
No se ataca una red como esta por casualidad. En realidad, todos los sistemas informáticos son vulnerables en mayor o menor medida. Cuando hablo con compañeros de otras universidades o de empresas, somos conscientes de que no somos inexpugnables. Son vulnerabilidades conocidas o desconocidas, pero ahí están: a los grupos de delincuentes no les faltan capacidades para descubrir las vulnerabilidades que llaman ´de viajero`, que no son conocidas todavía o no tienen un parche publicado. Lo que no sabemos es cuánto dinero habrían pedido […]
¿No llegaron a ese punto?
No, no contactamos porque teníamos clarísimo que no era éticamente correcto y, además, porque pagar tendría inconvenientes adicionales. Los especialistas en ciberseguridad nos han explicado que, una vez que pagas, tu nombre aparece en una lista que te deja marcado como atractivo para otros hackers y otros ataques. Otra razón fue que todo el esfuerzo que hicimos para recuperarnos, invirtiendo energías y dinero, hubiéramos tenido que hacerlo igual incluso después de pagar el rescate.
Interesante, pero el razonamiento no impide que los hackers sigan haciendo de las suyas y recaudando rescates […]
En una empresa privada a la que han destrozado toda la información y que no tiene forma de recuperarla, uno puede entender que ceda ante el chantaje. En nuestro caso, comprobamos que una de nuestras copias de seguridad estaba impoluta. Las máquinas atacadas mostraban mensajes de rescate, que llegaron a filtrarse a la prensa, pero no por nosotros. La universidad tomó la decisión de no pagar.
Quizá porque no llegaron tan profundamente […]
Llegaron hasta la cocina, como suele decirse. Durante el tiempo que duró el ataque los intrusos consiguieron información muy detallada de cómo estaba montada nuestra red y hasta la copia de backup: como es habitual en este tipo de ataques, no solo comprometieron la información en las máquinas con las que trabajas sino también trataron de hacerlo con la copia de seguridad.
¿Por qué no consiguieron lo segundo?
En parte, nos favoreció el hecho de que teníamos cuatro niveles de copia, de los que uno está en cinta fuera del campus, por tanto a salvo del ataque.
Ahí está la intriga: ¿cómo se resolvió el ataque? ¿Qué ayudas externas tuvo la universidad?
Una de las primeras cosas que hicimos, como es obligado, fue denunciar el ataque ante la Agencia de Protección de Datos, por si pudieran haber sido comprometidos datos personales durante el tiempo en el que los hackers estuvieron trajinando con la red. Hicimos la correspondiente denuncia ante los Mossos d´Esquadra y nos pusimos en contacto con la Agencia Catalana de Ciberseguridad [ …]
¿Tenía la universidad un plan de respuesta preparado?
Una de las pesadillas reside en que estas incidencias suelen saltar los lunes y el ataque final lo concretan un fin de semana o en vacaciones […]. A las 4 de la madrugada de un lunes de puente recibí una llamada telefónica y dos horas después ya estábamos todo el equipo de respuesta en el campus; inmediatamente empezamos a estudiar el problema con una empresa que teníamos contactada para esta eventualidad, S2 Grupo, que se portó de maravilla pese a que no teníamos todavía un contrato formal. La respuesta de la Agencia Catalana de Ciberseguridad fue ejemplar: nos ayudaron a rastrear el vector de entrada y a identificar qué herramientas había usado los hackers.
[…] ¿Habían dejado alguna sorpresita, como suele pasar?
Uno de los peligros es que no sólo te hayan cifrado los datos, sino que en las copias de seguridad de días anteriores te hayan inoculado alguna vulnerabilidad, de manera que cuando otra vez levantes el sistema, les resulte sencillo volver a atacar. Por esto era importante hacer un análisis forense a fondo: aun teniendo esas copias de seguridad, tardamos más en asegurarnos de que todo quedaría realmente limpio.
Aparte de los organismos públicos, ¿qué otra ayuda permitió superar la situación?
Para empezar, ha habido quien se ha portado bien y quien ha tratado de aprovechar nuestra situación para vendernos algo. Dentro de la primera categoría, tengo que destacar el comportamiento excepcional de Dell, nuestro proveedor de almacenamiento y de una parte de servidores. Puso a nuestra disposición sus mejores técnicos de Estados Unidos y Europa, en régimen de 24/7 durante dos o tres días para ayudarnos a recuperar la copia de seguridad y asegurarse de que estaba prístina.
Hacerlo en dos o tres días puede verse como una proeza […]
El primer objetivo de un hacker es cargarse no sólo los datos sino la copia de seguridad, en la medida que pueda acceder a ella. Lo que hicimos, con la ayuda de Dell, fue recuperar los datos de la fuente de backup. Porque, al final, todo tiene que ver con los datos: comprobar que el servidor de restauración no estaba comprometido. Otro que nos prestó ayuda fue nuestro proveedor de servicios de ciberseguridad, Fortinet.
¿En qué consistió esta ayuda?
Puso de inmediato sus técnicos a nuestra disposición, además de equipos para que pudiésemos montar un sistema paralelo sin tocar el anterior. Quienes han pasado antes por esta experiencia nos han dicho que en los primeros días después de un ciberataque recibes presiones para levantar servicios cuando antes, pero no puedes ignorar a quienes están haciendo el trabajo forense y que, lógicamente, no quieren que nada se toque ni se reinstale nada hasta que ellos hayan acabado […] Un tercer proveedor involucrado fue Microsoft, que nos prestó soporte para poner en marcha el entorno cloud que tenemos con Office 365 y añadir capas de seguridad que ofreció sin ningún coste.
¿Alguna lección que destacar?
Muchas. Esto ha sido una lección tras otra. A quien no quiera pasar por este trance, le diría que despliegue el doble factor de autenticación. Ya lo estamos desplegando en la Autónoma para todos los alumnos en todos los equipos y para la plataforma de correo. Hay que hacerlo, pero si no lo haces para que cubra toda la población el esfuerzo será insuficiente. En nuestro caso, antes del ataque no se usaba doble factor para entrar en la VPN, lo que sin duda era un problema: de haberlo implantado antes, el vector de entrada no les hubiera funcionado, o al menos habrían tenido que esforzarse más […]
¿Cómo asegurarse de que ha mejorado la disciplina de los usuarios, especialmente entre los estudiantes?
Este es un entorno complicado, por razones evidentes. Pero hemos hecho una serie de cambios radicales: por ejemplo, la reinstalación de todos los equipos obsoletos. Aún servían, con el razonamiento de que, si no los podíamos actualizar a Windows 10 daba un poco igual: funcionaban con Windows 7 […] Eso se acabó: ahora todo tiene que estar actualizado; no sólo Windows, sino también Mac OS […] Hemos procedido a una revisión del parque de servidores porque, en fin… una máquina que se instaló hace bastante tiempo es difícil o tal vez imposible de actualizar. Y como de todos modos va funcionando…
¿Han tenido que actuar sobre la red?
Estamos segmentando más los tres niveles de los que hablaba, para que a quien entra en un sitio no le sea fácil moverse lateralmente. El acceso de los administradores es ahora más restrictivo: además de la autenticación con dos factores, tienen otras limitaciones […] Por otra parte, hemos desplegado un EDR (Endpoint Detection & Response) que básicamente observa los comportamientos en correlación con todas las máquinas desplegadas.
¿Qué consecuencias ha tenido este episodio sobre el presupuesto?
Ante todo, no sólo en la UAB sino en todas las universidades que conozco, la evolución de esta cuestión ha sido continua, aunque lenta […] Si hace diez años se hubiese parado el servicio informático durante una semana o se hubiesen perdido datos, la solución habría sido pasarse no sé cuánto tiempo picando todo lo que habíamos hecho, lo que ahora no podríamos hacer porque no hay copia en papel. Desafortunadamente, los recursos en personal y en presupuesto no han evolucionado al mismo ritmo que la tecnología.
Vale, ¿cómo ha reaccionado el presupuesto de la UAB tras el ataque?
Nos ha despertado de repente. Para compensar las consecuencias, hemos tenido una primera ayuda de la Generalitat, 3.7 millones de euros que se han destinado a renovar equipos y a reforzar la resiliencia de los sistemas. Hay un compromiso firme del equipo rectoral de reforzar la ciberseguridad como prioridad de inversiones y costes recurrentes. Hasta el año pasado, el énfasis estaba puesto en la continuidad del servicio, que nos sirvió para reaccionar una vez nos atacaron, pero no para detectar que nos estaban atacando. Esto ha cambiado fundamentalmente.