Ataque informático a la Universidad de los Andes ¿Qué hacer para protegerse?

Por: Redacción Universidad

Este miércoles la Universidad de Los Andes sufrió un ataque virtual cuyas consecuencias son todavía inciertas. El causante de este ataque, que ha suspendido las conexiones remotas del sistema uniandino por al menos veinticuatro horas, es un virus conocido como ransomware. Los ataques a la universidad no son nuevos, pero este episodio recuerda la fragilidad de los sistemas informáticos -pese a su blindaje- y las dificultades a las que se enfrentan los programadores y usuarios cuando los hackers atacan.

El ransomware o la nueva piratería informática

La palabra ransomware viene del inglés ransom​, que significa “rescate” y ware​, que es “programa informático” o «software». Este es un programa que se dedica a atacar redes y usuarios para encriptar sus archivos personales. Usualmente se utiliza un cifrado de alta categoría, que codifica cada archivo con una llave diferente. De esta manera, se contaminan individualmente archivos y el dueño ya no podrá acceder a estos. 

Se sabe que es un ransomware porque los archivos contaminados adquieren denominaciones extrañas, como “.lockit”, lo que quiere decir que está cifrado. Ningún programa con el que ese archivo “abría” normalmente permitirá leerlo ahora o acceder a él. Si abre un archivo de Word, por ejemplo, este podría tener letras distintas del original o contenido ilegible. De esta manera, la forma más fácil de recuperarlos es, precisamente, pagando el ‘rescate’ al hacker para obtener la llave que restituya el acceso a quien lo necesita. Este dinero puede ser exigido en bitcoins u similares que eliminen la trazabilidad del intercambio e impidan identificar a los culpables.

¿Cómo terminó un virus así en el sistema?

La infraestructura de la universidad está constantemente recibiendo ataques. En 2016, de hecho, la universidad había recibido un ataque por parte de Anonymous, quienes burlaron la seguridad que había en ese momento. Expertos en ciberseguridad consultados afirman que “El blindaje de Los Andes es excelente, es uno de los mejores del país. Es altísimo en comparación con otras universidades” lo que respalda la versión del Departamento de Servicios Informáticos, quien afirma contar con una seguridad sólida frente a estos eventos.

Para saber si fue un fallo de seguridad de la Universidad, primero tendría que identificarse la ruta de acceso que este tuvo. Lo que aún es incierto y no tiene confirmación por parte del DSIT.  Podría haber sido un fallo de un servidor expuesto o la falla de un usuario que les haya permitido acceder por error al abrir un archivo infectado o correr un archivo corrupto. 

Así, la respuesta podría estar en los llamados “puntos de explotación”, es decir, puntos donde se encuentra una vulnerabilidad para entrar a un sistema. Cada usuario de un estudiante, por ejemplo, es un punto de explotación: con un usuario y se tiene una ‘llave’ para acceder a la infraestructura de la Universidad. Esto recuerda la cantidad de correos malintencionados o basura que habían sido reportados en los últimos días en espacios como “CBUs que deberían meter”, donde muchos estudiantes afirman haber recibido correos spam o falsificados que buscaban obtener sus contraseñas o información personal de acceso.

El peligro potencial que esto representa es difícil de calcular. “En este momento, es temprano para saber cómo llegó el malware al sistema y, por ende, calcular los posibles daños” afirma una fuente cercana al Departamento de Informática. “Los daños podrían ser muchos: hasta ahora, no hay reportes de que se hayan apropiado de información sensible de la Universidad. Pero si ya están en el sistema, no sabemos hasta qué punto haya podido llegar” advierte.

En el mundo empresarial, por ejemplo, se usa el ransomware para robar documentos secretos o reservados, en un intento por forzar a las compañías a pagar un “rescate”. Aunque es improbable y hasta el momento no se ha tenido conocimiento de información sensible que esté comprometida, esto podría exponer a la universidad a un escenario en que los hackers intentan chantajearla para no revelar o publicar información confidencial que hayan robado con su ataque

¿Qué hacer si el ataque lo afectó directamente a usted?

Este nuevo episodio de piratería informática pone en riesgo no solo los datos centrales del sistema, sino también de los usuarios que acceden a él. Esta es la razón por la cual la universidad ha pedido de manera urgente a sus estudiantes, a través de un correo electrónico, que se abstengan de usar conexiones remotas hasta nuevo aviso.

La clave de esto son los accesos remotos, que son aquellos que le permiten a un usuario conectarse a distancia, como su nombre lo indica, a un ordenador. Por ejemplo, los estudiantes de sistemas suelen usar esta forma de conexión para trabajar en “máquinas” que tienen mejor procesamiento y mayor espacio que sus computadores personales. Trabajan en otro computador pero, viendo lo que pasa desde el equipo de cada uno. 

Otras formas en la que los usuarios podrían verse afectados es a través del sistema OneDrive o Nukak. Nukak es un conjunto de salas virtuales públicas a disposición de los estudiantes, que cuentan con software especializado, licenciado y virtualizado para facilitar la accesibilidad las veinticuatro horas del día. Como se dio a conocer en la red social Twitter, a través de esta conexión se estaba extendiendo al ransomware que encripta archivos de los estudiantes en OneDrive y pedía un rescate para devolverlos.

Dice la DSIT:

Si trabaja en Nukak Virtual con software de manera remota, detenga su uso y cierre la sesión debidamente.
Si sus archivos se encuentran sincronizados permanentemente con la nube de OneDrive, le pedimos pausar la conexión por un periodo de 24 horas.

— Laura Grandas (@nstblqulbrm) April 14, 2021

Si trabaja en unidades de red (NAS) le recomendamos desconectarse de ella y no usar los archivos alojados en dicha unidad.
No realizar ningún tipo de intento a conexiones remotas, ni uso de VPN.

— Laura Grandas (@nstblqulbrm) April 14, 2021

En consecuencia, es muy importante que los usuarios acaten las recomendaciones del DSIT y se desvinculen tanto de Nukak como de OneDrive, así como abstenerse de usar cualquier clase de conexión remota cuyo servidor principal sea el de la Universidad de Los Andes. Esto, al menos, hasta que esté clara la magnitud de la afectación o los archivos que quedaron comprometidos.

De igual manera, si el ransomware afecto alguno de los documentos o sesiones en los sistemas y servicios de la universidad, se debe dirigir al portal de servicios mediante el enlace https://missolicitudes.uniandes.edu.co/ , para adquirir más información o crear una solicitud de ayuda.