La Universidad de Buenos Aires logró volver a poner en funcionamiento una parte de sus sistemas online luego de sufrir un ciberataque de ransomware, un tipo de programa malicioso que usan ciberdelincuentes para encriptar información, volverla inaccesible y pedir un rescate a cambio. Además de levantar el sistema Guaraní que usan los alumnos para gestionar sus materias, los docentes recibieron el depósito del aguinaldo este viernes, algo que generaba preocupación ya que el sistema de pagos (Pilagá) también había sido afectado.
El jueves de la semana pasada, servidores de una parte de la institución educativa se vieron comprometidos y esto impidió a docentes y alumnos gestionar notas, inscribirse a cursos de verano y más. El lunes, en un correo electrónico general, las autoridades habían avisado a los docentes que no podrían operar online en sistemas como Guaraní.
La Universidad le confirmó a Clarín que la intromisión se había detectado en el datacenter de la UBA, razón por la que aislaron los equipos afectados para identificar el alcance del ransomware. Los servidores comprometidos fueron dentro del entorno de Windows de la universidad. En una semana lograron restablecer una parte de los sistemas y generar una alternativa manual para cierto tipo de problemas, algo destacable ya que, en general, este proceso puede demorar semanas o hasta meses.
Durante el viernes, la situación comenzó a regularizarse para los docentes. Según pudo constatar Clarín, ya se podía ingresar al sistema Guaraní y los aguinaldos fueron depositados durante el transcurso del día.
Los docentes recibieron un mensaje con la actualización del incidente: “Estimados profesores y profesoras, una buena noticia: anoche se pudo restablecer el funcionamiento de SIU Guaraní. De manera que no vamos a publicar las notas en el Campus, para evitar que circulen los listados completos. Les pedimos que carguen las notas faltantes, en lo posible en el día de hoy, dado que ya están abiertos los pedidos de revisión. Avísenos a medida que vayan cerrando las actas. Muchísimas gracias por la excelente disposición y colaboración, que nos permitió salir adelante en esta situación imprevista”.
En cuanto a UBA XXI, el sistema de educación a distancia que reposa principalmente en su sistema online, “está funcionando, los chicos pueden ver sus notas, anotarse y faltan cargar algunas notas pero se están subiendo”, explicó la UBA ante la consulta de este medio. DOSUBA, la obra social universitaria, «garantizó el pago a todos los proveedores de manera manual para que no se corten las prestaciones», aseguraron. «Estimamos que el martes o miércoles el sistema estará en mejores condiciones, pero se buscaron alternativas para garantizar los servicios a través de canales alternativos», agregaron.
Todavía no está claro de qué manera entraron los ciberdelincuentes para desplegar el ransomware, pero versiones internas apuntan a que la licencia de Fortinet -un software muy usado en el Estado para proteger sistemas-, estaba vencida.
Contactado por este medio, Fortinet, que trabaja en conjunto con la UBA para recuperar los sistemas, aclaró: “En un contexto sumamente restrictivo y de regulaciones económicas desafiantes en Argentina, hemos concedido en el último año múltiples extensiones una vez vencida la fecha de la renovación, en todos los casos que los clientes estaban en proceso formal de compra de dicha renovación, incluso si ese proceso se demoraba”.
Qué tipo de malware los afectó
El ransomware es un tipo de programa malicioso (malware) que cifra información para volverla inaccesible, extorsionar y pedir un rescate en criptomonedas a cambio para devolver los datos. Si la víctima se niega a pagar, los ciberdelincuentes publican además la información robada en la dark web a través de una segunda extorsión, para afectar la reputación de la entidad atacada. La clave, en estos casos, tiene que ver además con tener buenos backups o respaldos de información, aunque restablecer sistemas es algo que puede demorar semanas.
Por el momento se desconoce qué grupo accedió a los sistemas y qué monto piden. En Argentina, este 2023, dos bandas de cibercriminales tuvieron protagonismo: Rhysida, que atacó al PAMI en agosto, y Medusa, que expuso información interna de la Comisión Nacional de Valores.
“LockBit, Hive y BlackCat (ALPHV) fueron responsables de la mayoría de los ataques en la región, que pueden producirse a través de enlaces maliciosos, falta de copias de seguridad y poca inversión en ciberseguridad”, contextualizó Dario Opezzo, Regional Sales Manager de la empresa de ciberseguridad Palo Alto Networks. Lockbit fue conocida por atacar a OSDE el año pasado; Hive, por atacar a Artear y haber sido desarticulado a comienzos de este año.
La educación es un sector muy atacado por los ciberdelincuentes. Según el World Economic Forum, hasta la mitad de este año, el sector de la educación lidera la lista de ciberataques, seguido por instituciones gubernamentales o de gobierno y salud, en tercer lugar.
Algunos grupos de ransomware organizados tienen reglas de no atacar instituciones educativas y de salud, aunque otros no hacen distinción de sus objetivos.
“Los ataques a los centros de enseñanza universitaria en Estados Unidos han aumentado más de un 60% con respecto a 2022 y más de un 170% con respecto a 2021. No me sorprendería en absoluto que los ataques a los sectores de la educación en otros países también estuvieran aumentando”, explicó Brett Callow, analista de amenazas de Emsisoft, en diálogo con este medio.
“¿Por qué se ataca a las escuelas? Probablemente porque son objetivos relativamente fáciles y han demostrado estar dispuestos a pagar. Los ciberdelincuentes son previsibles. Si encuentran rentable un sector concreto, lo atacarán una y otra vez”, cerró.
En este caso, el trabajo interno de la UBA logró traer calma a una situación que podría haber sido de extrema gravedad y resolvió en tiempo récord lo que a otras entidades les ha tomado semanas.