Los detalles secretos del grave hackeo que sufrió la Universidad Nacional

El 18 de marzo los servidores de la Universidad Nacional de Colombia fueron víctimas de ataques informáticos. Hasta el momento las directivas de la Universidad y las autoridades judiciales investigan a quién abrogarle el hecho.

Las directivas le confirmaron a SEMANA que, en efecto, hubo un ataque, según indicaron, en próximos días se pronunciarán de manera oficial a la comunidad universitaria para explicar lo que pasó. Hasta el momento, el centro educativo indica que no se vieron afectadas las bases de datos, ni la infraestructura de pagos y recursos.

El ataque afectó la infraestructura de la universidad, es todo lo que se puede decir, mientras se adelanta la investigación. Las directivas indican que pudo ser a través de un correo, o un enlace que alguien abrió sin tomar las precauciones pertinentes, pero aún falta que la investigación entregue un veredicto.

Según cuenta el director nacional de estrategia digital de la Universidad Nacional, Sebastián Eslava, en diálogo con SEMANA, el ataque se originó el sábado 18 en horas de la noche.

“Detectamos la indisponibilidad de unos servicios y unos comportamientos extraños. Cuando fuimos a mirar, y a revisar qué era lo que estaba sucediendo, empezaron a identificar que algunos de los servidores estaban inaccesibles. Llamamos a los operadores, a los proveedores, e identificamos que había un ataque. Así que comenzamos con la fase que llamamos contención del ataque, identificamos en qué parte está alojado el virus y lo aislamos”, dijo el profesor Eslava.

Cuando descubrieron el ataque decidieron encapsular los sistemas de información principal, es decir: el sistema financiero, el sistema académico, el sistema de talento humano, y el portal de noticias de la Universidad Nacional de Colombia. “El objetivo era que no entrara información y, tampoco, nada saliera, para evitar la fuga de información. Hasta el momento no creemos que se haya presentado fuga alguna en la información sensible de la universidad”, indicó.

El profesor indica que la universidad aplicó un protocolo de contención de la información que se basa en servidores de protección perimetral (llamados Firewall) y adicionalmente una consola unificada antivirus.

“Somos conscientes cuando hablamos de seguridad de la información, esto es una labor constante de nunca acabar. En nuestro plan global de desarrollo tenemos dos grandes proyectos. Un proyecto que es el del fortalecimiento de la Estrategia Digital de la Universidad Nacional y el otro que es el fortalecimiento de la infraestructura de operación. En esta estrategia de digital justamente tenemos un componente de seguridad de la información que busca es fortalecer nuestro firewall, fortalecer el antivirus, y agregar un centro de operación de seguridad que en este momento es lo estamos desarrollando y la meta es que ya tengamos la primera versión en noviembre del 2023″, dijo.

SEMANA pudo confirmar que el ataque fue producto de un Randsomware, que según la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (Cisa por sus siglas en inglés) es una forma de virus malicioso que encripta los archivos de un dispositivo y los deja inutilizables.

“Los agentes maliciosos demandan un rescate (randsome) para desencriptar la información y entregarla nuevamente al usuario”, indica la agencia.

Según el profesor, debe existir un elemento en las organizaciones sobre cultura digital para la seguridad, “la mayoría de ataques vienen de afuera, pero ese es ataque de fuerza bruta y a veces logran. Pero lo que se ha descubierto es: “mando un correíto y colonizo esta máquina”, dijo Eslava.

La Universidad Nacional indica que hoy su operación informática no está al 100% “pero vamos trabajando fuertemente con todas las unidades funcionales para poder empezar a recuperar primero el servicio y en paralelo mirar la información que se ha visto encriptada”, indica el profesor.

La universidad indica que se afectaron portales y páginas web de diferentes dependencias, principalmente en la ciudad de Bogotá, portales de información de diferentes centros o grupos de investigación, y algunos sistemas que permiten hacer la solicitud de recepción de documentos, pero que la información fundamental de nombres, estudiantes, profesores, y nóminas está a salvo.

“Hoy la meta es mirar qué información podemos aún recuperar, porque todavía estamos recuperando información, entonces no hemos cerrado esa fase. Todavía tenemos por delante un proceso muy dispendioso”, indicó.

A cambio de la información, la Universidad recibió un archivo plano (txt) en el que los hackers le hacen una demanda de dinero a cambio de su información. Este archivo está en manos de las autoridades

Eslava aclara que esto no es nuevo y que los ataques informáticos, con la masificación de internet, son cada vez más comunes “eso entonces implica que todas las organizaciones tenemos que empezar a defendernos con los dispositivos, pero también un elemento muy importante, el usuario que es la persona clave en la organización”.

El peligro de los ataques informáticos

En el último reporte del Equipo de Respuesta a Emergencias Cibernéticas de Colombia, Colcert, del ministerio de Tecnología e Información, en lo corrido de 2023 han atendido 32 incidentes de seguridad digital, de los cuales 16 han sido incidentes en entidades públicas del orden nacional, 13 en entidades territoriales y 3 entidades privadas. La institución aclara que las entidades privadas voluntariamente reportan y piden apoyo, pues no hay una obligación para reportar al organismo.

Según el profesor Daniel Díaz-López de la Escuela de Ciencia y Tecnología de la Universidad del Rosario, los ataques son más comunes, porque en esa rama cada día hay nuevas técnicas, nuevos vectores de ataque, y herramientas que incluso son gratuitas. “Sin duda eso aumenta el aumento de cibercrímenes. Además, como estamos cada día más conectados, es mucho más fácil realizar un ataque a una persona o a una empresa”.

Según el profesor, en el caso de Colombia “tenemos unos grupos de cibercrimen muy potentes que se especializan en campañas dirigidas a empresas colombianas porque las consideran buenas víctimas. Y además, tenemos una transformación digital de las empresas que hace que las empresas tengan mayor hiperconectividad. Entonces, ante una situación de una masificación digital hay más posibilidades de ataques”.

El profesor indica que en Colombia los ataques cibernéticos se dan mucho más, pues “la inversión en nuestro país no es tan grande como se da en otros países. Es decir, queremos crecer en materia tecnológica, pero muchas veces no estamos dispuestos para invertir lo necesario en esa infraestructura”.

Por último, sostiene que “pese a que en la ley colombiana tiene castigos para los cibercriminales, el problema es ¿cómo logra un juez demostrar que esa persona cometió un cibercrimen? Se pueden tener indicios, pero el ciberespacio permite que haya un alto grado de anonimato y no identificación del adversario, lo que dificulta las labores de identificación”.