El Consejo Superior de Investigaciones Científicas (CSIC), ha sido víctima de un ciberataque de ransomware que lo ha mantenido dos semanas sin conexión a Internet.

Aunque el ataque se produjo los días 16 y 17 de julio, no ha sido hasta hace unas horas cuando lo ha confirmado el Ministerio de Ciencia e Innovación, al que pertenece este organismo.

Si bien el ataque se produjo en esos días, no se detectó hasta el 18 de julio, cuando se activó el protocolo que marca el Centro de Operaciones de Ciberseguridad (COCS) y el Centro Criptológico Nacional (CCN).

Esto llevó al corte de acceso a la red en diversos centros para atajar el incidente y evitar su propagación a los centros que dependen del CSIC, que no se han visto directamente afectados.

Desde el Ministerio apuntan que, a falta del informe final de la investigación, el origen del ataque procede de Rusia. Además, pese a que el ataque se detectó dos días después, señalan que no han detectado la pérdida o secuestro de información sensible o confidencial.

En opinión de Josep Albors, Director de Investigación y Concienciación de ESET España, «cada ataque tiene sus características peculiares y los objetivos de los atacantes pueden diferir de uno a otro. Es posible que la finalidad de este ataque no fuese el robo de información sino la destrucción de la misma.»

No obstante, la investigación sigue en curso, por lo que no hay que descartar novedades en este sentido. «Hasta que no sepamos más detalles, no sabremos a ciencia cierta si realmente se robó información confidencial, bien porque se descubra tras la pertinente investigación o porque se publique o utilice de alguna forma en el futuro», añade el responsable de ESET.

La amenaza del ransomware

Las medidas adoptadas tras recibir la alerta del ciberataque cortando el acceso a la red aún persiste en algunos centros. El Instituto de Ciencias del Mar, el Centro Nacional de Microelectrónica, el Instituto de Microelectrónica de Barcelona y la Unidad de Tecnología Marina, tuvieron sus páginas web inoperativas como consecuencia de las medidas tomadas para evitar la propagación del ataque.

No obstante, una cuarta parte de los centros del CSIC han recuperado esta conexión y se espera que, a lo largo de los próximos días se restablezca en toda la red de centros.

CSIC ciberataque ransomware Ministerio Ciencia y Tecnologia noticia bit life media

Algunos apuntan que se esperaba este ciberataque ya que, desde el inicio de la invasión rusa de Ucrania se llevaron a cabo acciones, como apagar los ordenadores del personal durante todo un fin de semana. Esto puso en cuestión los mecanismos de defensa implantados.

Josep Albors destaca que ataques como los de ransomware ya eran una amenaza antes del inicio de esta guerra. «Las medidas de seguridad a implementar llevan existiendo desde hace bastante tiempo y funcionan como sistemas de prevención y respuesta ante esta y otras amenazas. No haber invertido los recursos suficientes en aplicar estas medidas tiene como consecuencias situaciones como la que está viviendo ahora el CSIC», destaca.

No obstante, desde el CSIC hacen hincapié en que disponen de diversos mecanismos de seguridad que evitan cada día más de 260.000 ataques. Sin embargo, esto no ha sido suficiente para experimentar este ataque que, según el Ministerio, ha sido similar al que han sufrido otros centros de investigación, como la NASA.

La seguridad del CSIC, cuestionada

Por el momento, todo apunta a que habrá que esperar a las conclusiones finales de la investigación para conocer con detalle cómo se ha producido este ataque que ha tenido en jaque a la principal institución científica de España.

Tras más de dos semanas sin que los investigadores pudieran conectarse a la red interna. Esto a afectado a sus comunicaciones, el retraso en proyectos de investigación y la administración del CSIC bloqueada tal y como han denunciado algunos investigadores.

La solución de apagar la red privada virtual (VPN) suministrada por Telefónica sirvió como ‘cortafuegos’, pero los investigadores siguen cuestionando que se hayan tomado las medidas necesarias de prevención para evitar ataques como este.

Como apunta el responsable de ESET, «una vez los atacantes están dentro de la red, cortar la conexión VPN sirve para que evitar que se propague más, pero también se debería contar con sistemas de detección y respuesta capaces de revisar, detectar y bloquear comportamientos anómalos, aunque se utilicen herramientas legítimas para ello».

Ante amenazas como el ransomware, que cada vez proliferan más, organismos con información tan crítica como el CSIC deberían tomar todas las medidas preventivas necesarias que eviten volver a experimentar ataques como este.

«Nunca debemos subestimar la importancia de la segmentación de redes para dificultar que los atacantes se muevan libremente por la red, y aplicar medidas de cifrado de la información confidencial junto con acceso limitado a la misma y protegido por soluciones de autenticación multifactor», concluye Albors.

 

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre