El Consejo Superior de Investigaciones Científicas (CSIC) ha sido víctima de un ciberataque masivo de tipo ransomware, un programa malicioso que ha encriptado de forma compleja parte de la información que manejan tanto la sede central como sus centros repartidos por el territorio. Se desconoce si los atacantes han pedido un rescate a cambio de liberar estos datos, como suele ser frecuente en estos casos.
Ni el CSIC ni el Ministerio de Ciencia han confirmado de forma oficial el incidente a preguntas de Crónica Global, pero fuentes especializadas en ciberseguridad aseguran que los problemas empezaron el pasado fin de semana. Fue entonces cuando la sede electrónica del centro de investigación --que tal y como ha comprobado este medio registraba incidencias este martes-- dejó de funcionar. Otros organismos que resultaron perjudicados fueron el Instituto de Ciencias del Mar, el Centro Nacional de Microelectrónica, el Instituto de Microelectrónica de Barcelona y la Unidad de Tecnología Marina, cuyas webs se encuentran inoperativas desde hace días a causa de la infiltración. Más institutos podrían haber experimentado apagones similares.
El organismo toma medidas
Para repeler este golpe, el CSIC ha desconectado, a modo de cortafuegos, la macrolan --un servicio de red privada virtual (VPN) para empresas proveída por Telefónica--. Esta maniobra ha desenchufado a los diversos centros de investigación de la sede central sita en Madrid. Es decir, desde el fin de semana, los institutos más grandes del CSIC están sin internet ni conectividad para evitar que los ciberdelincuentes continúen secuestrando archivos.
Fuentes conocedoras del caso aseguran que los trabajadores han recibido instrucciones para que apaguen los ordenadores al finalizar su jornada laboral y desconecten los discos USB externos para contener el ataque. Pero, a pesar de la adopción de estas medidas, el mal ya está hecho y algunas de las webs del CSIC siguen inactivas mientras el equipo interno, con la colaboración del Centro Criptológico Nacional --que tampoco ha hecho declaraciones--, trabajan en el restablecimiento de los servicios.
El CSIC, en el punto de mira
No es la primera vez que el Consejo Superior de Investigaciones Científicas está en el punto de mira. Tal y como informó El País al inicio de la pandemia, piratas informáticos chinos intentaron sustraer información de las investigaciones del organismo sobre el desarrollo de la vacuna contra el Covid-19. De hecho, en una reunión celebrada en verano de 2020, los científicos encargados de desarrollar los sueros recibieron directrices sobre cómo repeler un posible secuestro de datos.
Aunque entonces el CSIC salió airoso de la amenaza, esta vez ha caído en las redes de los ciberdelincuentes. En los últimos dos años, tanto agencias públicas de ciberseguridad como compañías privadas han resaltado que las bandas aprovechan la falta de actualización de los protocolos de seguridad y el relajamiento de las defensas a causa de la implantación del teletrabajo para redoblar sus campañas de ransomware.
Universidades y hospitales entre las víctimas
Uno de los secuestros digitales más sonados fue el que afectó a la Universidad Autónoma de Barcelona (UAB) y que dejó fuera de servicio a más de un millar de servidores. El malware utilizado obligó a desconectar el campus de Bellaterra, dejando sin internet, sin correos corporativos y sin acceso a las bases de datos a la comunidad educativa. Pese a que el rectorado negó reiteradamente que los autores hubieran solicitado un rescate o que ni siquiera se hubieran puesto en contacto con ellos, un mes después del ataque el Govern trasfirió 3,7 millones de euros a la universidad para sobreponerse de los daños causados.
Peor pronóstico tuvo el ataque contra el Hospital de Torrejón, en Madrid, que puso en peligro los datos clínicos de los pacientes, tras paralizar los sistemas del centro e impedir que los profesionales de la salud pudieran consultar los historiales. Esta grave situación obligó a los médicos, según pudo saber El Mundo, a realizar los informes sobre papel de calco para conservar la información e introducirla en el sistema una vez recuperada la normalidad. El virus --que entró a través de un correo electrónico en enero de 2020-- puso contra las cuerdas a los sanitarios, dificultando su trabajo y obstaculizando los servicios de las urgencias.
Las empresas tampoco se libran
Los ataques ransomware también han sido utilizados contra grandes empresas privadas como Damm o Mediamarkt. El 8 de noviembre de 2021 –a escasas dos semanas del Black Friday-- el gigante de la electrónica sufrió el secuestro de todos sus servidores europeos, un escenario que provocó problemas comerciales en los establecimientos de la marca alemana.
Apenas tres días después, el 11 del mismo mes, un ataque a los servidores de la cervecera catalana Damm provocó la paralización de su planta de producción de El Prat de Llobregat durante varios días. En esa ocasión, la brecha de seguridad colapsó los procesos automatizados de la factoría, una de las más tecnificadas del sur de Europa.
¿Qué es un 'ransomware'?
Los ransomware son uno de los instrumentos preferidos de las organizaciones de ciberdelincuentes para poner contra las cuerdas a empresas y entidades. Se trata de programas maliciosos que encriptan de forma compleja los datos de sus objetivos, de forma que no pueden acceder a los mismos. En algunas ocasiones, los piratas solicitan una compensación económica a cambio de la entrega de las claves y la consiguiente liberación de la información.
Es habitual que los delincuentes extorsionen a las víctimas con revelar contenidos sensibles de los usuarios. En caso de que se exija una cantidad de dinero a cambio de la información, los delincuentes suelen exigir que el pago se haga en criptomonedas para dificultar su rastreo. Aunque las fuerzas y cuerpos de seguridad recomiendan no ceder al chantaje y no pagar el rescate, lo habitual es que las organizaciones afectadas negocien con los atacantes para recuperar el control de sus sistemas informáticos.
También por SMS
Los principales vectores de entrada de estos malware son el phishing --un correo fraudulento que introduce el programa malicioso en los equipos a través de un enlace-- y el smishing --una táctica parecida basada en un falso SMS que incluye un enlace que redirige a los usuarios hacia una web que simula ser el espacio oficial de una empresa o entidad de confianza--.
La ineficacia de los antivirus convencionales, que funcionan con bases de datos sobre virus preexistentes, y la falta de concienciación de la sociedad contribuyen al éxito de estos mecanismos de infiltración. El último en sufrir las consecuencias ha sido el CSIC.