La ‘vuelta al cole’ en la universidad ha dejado ya el primer suceso de ciberataque del nuevo curso. Fue el pasado lunes 9 de septiembre cuando la Universidad Pontificia de Salamanca (UPSA) se vio afectada por un nuevo ciberataque del que, hasta la fecha, no hay constancia de que se haya producido la exfiltración de datos ni la publicación del ataque en la dark web.
La magnitud del ataque
Aunque perduran las investigaciones policiales, todo apunta a que se podría haber comprometido información contenida en alguno de los repositorios de la UPS. Entre los datos sustraídos se encontrarían: nombres, apellidos, email, número de teléfono, estudios, situación laboral y residencia de los afectados.
Desde la UPSA se recomienda a sus alumnos cambiar la contraseña de la cuenta de usuario y no usar las cuentas de correo electrónico ‘@upsa’ en ninguna otra web que no sea la oficial del centro universitario. En todo momento, mantendrán informados a alumnos y personal docente sobre el proceso que se está siguiendo para solventar el problema, así como sobre las posibles consecuencias de este ciberataque a la universidad.
La UPSA en el punto de mira
Las entidades educativas y, especialmente la UPSA, se encuentra en el punto de mira de los ciberdelincuentes. Su prestigio y la enorme cantidad de archivos y datos personales que gestiona hace que los ciberdelincuentes destinen todos sus esfuerzos a perpetrar sus bases.
En agosto, se detectó un ataque de tipo ransomware similar al que sufrieron otras entidades educativas. Tras detectarse por parte del personal técnico de los servicios informáticos, se inició una investigación propia junto a expertos en ciberseguridad externos para conocer las causas y efectos provocados por dicho incidente. Además, se impusieron medidas de contención para detener y reparar sus consecuencias.
En aquella ocasión, la Pontifica cursó la denuncia ante la Policía Nacional y comunicó lo sucedido ante la Agencia Española de Protección de Datos y al Instituto Nacional de Ciberseguridad. Al irse conociendo datos de la investigación, se fueron implementando nuevas medidas técnicas e informando a los afectados.
El ataque se produjo por un acceso ilegítimo a informaciones ubicadas en algunos de sus repositorios. No obstante, podrían verse visto afectados datos personales de algunos usuarios, pero no de carácter sensible.
No se vieron afectados sistemas de información clave, como datos académicos, aunque se recomienda el cambio de contraseñas y contactar con un correo institucional habilitado para plantear cualquier tipo de duda o solicitar asistencia técnica.
Ciberataques en Salamanca
Precisamente en el verano de 2024, la Guardia Civil ha desvelado un entramado criminal en la denomina ‘operación Oceansx’. Entidades públicas y privadas se vieron afectadas, como los ayuntamientos de León y Salamanca, que también sufrieron un suceso similar en 2022.
Dos presuntos culpables fueron detenidos por la obtención de accesos no autorizados a redes informáticas y credenciales de accesos corporativos. Posteriormente los vendían en la dark web.
Los agentes relacionaron una serie de ciberataques con la información lograda a partir de los análisis llevados a cabo en determinados materiales intervenidos en investigaciones anteriores. Se encontraron un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas relevantes.
El actor actuaba a nivel nacional bajo el seudónimo ‘Guardiacivilx’, haciendo uso de otras 14 identidades como: ‘banz9’, ‘9bands’, ‘Crystal_MSF’, ‘TheLich’, ‘unlawz’, ‘OUJA’ o ‘teamfs0ciety’.
El objetivo de la Guardia Civil fue identificarlos y conocer el número y puntos de ataque realizados. Se publicitaba como un vendedor de credenciales de acceso a correos electrónicos corporativos y servicios remotos, vendiendo de forma privada credenciales de acceso sobre un portal de consultas de vehículos de la DGT e ITVASA.
Solicitaron un pago inicial de 13.000 dólares, siendo detenido en el instante de la venta. De hecho, intentó vender una base de datos con información correspondiente a más de 200.000 personas.
De igual modo, se encontraron cuentas de criptodivisas asociadas, destinadas o procedentes a diferentes exchangers desde los que se habrían materializado los pagos de la venta de varios paquetes de credenciales obtenidos de manera ilegal.
La investigación se saldó con la detención, en otoño de 2023, de un sospechoso en Sevilla y otro en Asturias, acusados de ser responsables directos de los hechos investigados.
En la investigación, se ha encontrado material suficiente para vincular otros ciberataques a entidades públicas y privadas como: Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, Servicio Cántabro de Salud, Banco Atlántida, Ministerio de Cultura de Argentina, Ministerio de Salud de Perú, Poder Judicial del Estado de Txascala en México, entre muchas otras. También apostaron por el robo de datos en farmacias.
En total se habrían visto afectados más de un centenar de organismos y entidades públicas y privadas, tanto a nivel nacional como internacional. Todo ello ha sido posible gracias a la investigación perpetrada en colaboración estrecha entre la Autoridad Judicial, la Fiscalía de Criminalidad Informática y el Centro Criptológico Nacional (CCN-CNI) con los investigadores.