Eren les quatre de la matinada d’un diumenge de pont i Gonçal Badenes, director de Tecnologies de la Informació i la Comunicació de la UAB, va rebre una trucada. Els responsables de producció li explicaven que havien caigut els serveis de la UAB. El monitoratge de la normalitat del servei havia deixat de funcionar i allò era poc habitual. Van activar el procediment que tenien previst per a aquests casos i van localitzar l’expert que els podia ajudar. “Aquestes coses sempre passen en el moment més inadequat; per això és important tenir localitzada la persona a qui trucaràs i el pla d’acció. Sort que havíem fet simulacres. Gràcies a això, a les vuit del matí ja teníem l’equip de recuperació format”.
L’afectació era important. Havia tocat el sistema de virtualització. Les pàgines web i els servidors dels campus virtuals havien quedat afectats. Altres serveis segurament no, en un primer moment, però la recomanació és que s’aturi tot perquè és senzill que l’afectació s’escampi.
Sense pàgina web ni campus virtual ni correu ni cap servei digital no sabien com havien d’avisar els 50.000 usuaris que accedeixen diàriament als serveis de la Universitat. Van posar en marxa una pàgina web senzilla d’emergència per poder avisar i van crear un grup de Teams per anar actualitzant la informació.
Mentrestant, a treballar. Pel que fa als arxius, van quedar afectades dues còpies de seguretat, però en tenien una tercera fora del campus. No es van plantejar mai pagar el rescat. De fet, tot i que es va filtrar que els atacants demanaven 3 milions d’euros, ells no van arribar a parlar mai directament amb els delinqüents.
Van decidir tornar a aixecar tot un sistema, i fer-ho amb unes mesures de protecció molt més sòlides, aplicant totes les millores disponibles. “La recuperació va ser més lenta del que hauria pogut ser si no haguéssim estat tan exigents, però així vam aixecar-ho tot amb la seguretat que estava net”, explica Badenes.
Qui hi havia darrere? Un col·lectiu que es deia PYSA, que al cap d’uns mesos es va dissoldre. Saben que el primer vector d’entrada dels ciberatacants va ser tres setmanes abans que ells se n’adonessin i que, des de llavors, unes deu persones d’aquest grup treballaven cada nit per infectar el sistema. “S’hi posaven a la nit i cap a les sis de la matinada s’aturaven, perquè no ens adonéssim de la seva activitat”, relata.
D’aprenentatges, n’han tret molts. Badenes explica que, llavors, monitoraven només la continuïtat del servei. “No n’hi ha prou amb això; si haguéssim monitorat també la normalitat de l’activitat, hauríem pogut detectar les nits d’actuació i minimitzar el dany”.
També recorda que les actualitzacions han de ser prioritàries. Quan tocava actualitzar el sistema, abans de l’atac, la resposta solia ser “ara no va bé”, “ja ho faré demà”. Ara tenen claríssim que aturar el servei unes hores pel bé de la seguretat digital de la institució és un mal menor i necessari. A més, prioritzen el doble factor d’autentificació, un mètode de seguretat que requereix identificar-se de dues maneres diferents per poder accedir al servei. “Els usuaris som molt reticents amb això, però el doble factor és una primera barrera de protecció fantàstica”.
Badenes se sent orgullós de la seguretat digital de la institució d’ara, i assegura que és “moltíssim millor que la que teníem en el moment de l’atac, i segurament millor a la d’altres organitzacions equivalents”. Per això, per aprendre’n tots, creu que és molt valuós compartir la seva experiència.