La noche del domingo 18 de abril de 2021 en la UCLM confirmamos que estábamos siendo objeto de un ciberataque. La alarma desencadenada cuando el sitio web de la institución dejó de estar operativo fue el inicio de un frenético proyecto de respuesta al mayor ciberataque sufrido por una universidad pública hasta la fecha.
Con las infraestructuras críticas de la arquitectura tecnológica de la universidad completamente inoperativas, objeto de un ataque ransomware, la institución, a través de la coordinación del área de Tecnología y Comunicaciones de la universidad, pero con el apoyo de toda la institución y su comunidad universitaria, desarrollaron un proyecto de respuesta que permitió el regreso a la actividad de los servicios digitales de mayor impacto como Campus Virtual en menos de 4 días, tras haber realizado una reconstrucción de las infraestructuras críticas, red de comunicaciones y, al mismo tiempo, incrementando los niveles de ciberseguridad.
Antecedentes
Nunca en la historia de la UCLM se había sido objeto de un ciberataque. La situación de partida en materia de ciberseguridad en la institución hasta ese momento estaba basada en las recomendaciones y buenas prácticas aplicadas de manera equilibrada en función de los recursos disponibles en este tipo de instituciones. Una política de seguridad aprobada, infraestructuras de seguridad perimetral desplegadas, una política de credenciales exigente, una gestión de activos soportada en cloud y un despliegue progresivo en entornos cloud iniciado hace años eran los puntos de partida con los que se enfrentó la institución a un reto de calibre equivalente al sufrido el año anterior con el inicio de la pandemia y el confinamiento.
Retos
El reto fue de dimensiones antes no abordadas y con impacto multidimensional que se identificó desde el principio.
1. Reto 1. Regreso a la normalidad. El objetivo era claro desde el primer momento, era necesario recuperar los servicios digitales en el menor tiempo posible.
2. Reto 2. Nueva normalidad. Si bien la necesidad de recuperar servicios era acuciante, también lo era recuperarlos con niveles de seguridad superiores, que nos permitiesen evitar una "segunda oleada" de ataques
3. Reto 3. Disminución de la superficie de exposición. La nueva normalidad debería basarse en una reducción de la superficie de exposición, externa e interna. Eso implicaba rediseñar la red de comunicaciones, incrementar la granularidad en permisos, mejorar la capacidad en dispositivos y fortalecer la gestión de credenciales.
4. Reto 4. Comunicación. Desde la noche del ciberataque se tuvo en cuenta la necesidad de informar a la comunidad universitaria de lo qeu estaba ocurriendo, de forma transparente
Fases
1. Detección. Realizada a través de los servicios de monitorización 24x7
2. Análisis de situación en caliente. Supuso el apagado controlado de equipos en el CPD universitario, realizado por funcionarios de la UCLM
3. Planificación de recuperación. Supuso, de forma coordinada con el equipo de Gobierno de la universidad, el establecimiento del plan para la recuperación, donde se contó con apoyo externo desde el priemr día.
4. Contratación. Se evaluó la situación desde los servicios jurídicos, dando luz verde a una cotnratación por emergencia esa misma mañana.
5. Diseño del plan de acción técnico. Realizado junto a Telefónica Tech y ejecutado de forma conjunta con un equipo de respuesta de funcionarios de la UCLM.
6. Diseño del plan de Comunicación. Basado en una información diaria, coordinada por el área TIC de la UCLM y el Gabinete de Comunicación.
7. Recuperación de servicios. Priorizado en torno a las variables de esfuerzo e impacto.
8. Nueva normalidad.
Nuevos Servicios
La respuesta al ciberataque desencadenó el desarrollo de proyectos que en materia de ciberseguridad ya estaban diseñados previamente. Para el despliegue rápido se contó con el soporte de Microsoft España. Las mejoras en seguridad y, por tanto, en eficiencia, han estado vinculadas a la reducción de la superficie de exposición.
1. Infraestructuras. Nuevo diseño de la red de comunciaciones, con una segmentación externa e interna basada en el criterio Zero Trust
2. Dispositivos, Despleigue en 48h de 2.000 licencias de antivirus con capacidad EDR en todos los equipos del personal de la UCLM, con el soporte de Microsoft.
3. Identidades. Despliegue en 72h de doble factor de autenticación en todas las cuentas de usuarios de la UCLM
4. Aplcaciones, Aceleración de los procesos de migración a entornos cloud nativos, dado que las aplicaciones desplegadas en cloud en modo no IaaS se habían mostrado resistentes al ataque.
Conclusiones
Si bien la experiencia a lo largo de esa primera semana y las que vinieron después fue de una intensidad y un impacto muy alto para la actividad universitaria, la transparencia en la comunicación y la rápida recuperación progresiva de servicios ha generado una situación de mejora en la cultura de ciberseguridad en la institución que ha facilitado el despliegue de medidas técnicas que han incrementado el nivel de seguridad en la institución, así como identificar la seguridad como un entorno al que enfrentarse necesariamente pero no exclusivametne de forma preventiva. Ante la certidumbre de ser atacados es necesario adoptar medidas de prevención, pero también disponer de un plan de recuperación. Se aporta como anexo, un artículo publicado en la revista Bit que describe las primeras horas del ciberataque: https://bit.coit.es/hola-me-llamo-andres-me-van-a-ciberatacar/