El Gobierno asegura que ha "recuperado toda la información extraída" por los piratas informáticos durante el ciberataque sufrido por el Centro Superior de Investigaciones Científicas (CSIC) a mediados del pasado mes de julio y que durante semanas alteró de forma importante la actividad de numerosos centros dependientes de este organismo adscrito al Ministerio de Ciencia e Innovación.

Así lo asegura el Ejecutivo en una respuesta parlamentaria ofrecida el pasado 27 de septiembre a las preguntas en las que el PP pedía una valoración sobre esta agresión, conocer cuál sería la respuesta diplomática que iba a ofrecer España en caso de que se confirmara que fue un ataque ruso -posibilidad que dio por segura el CSIC en un comunicado público emitido el 16 de agosto- y por qué las consecuencias fueron más nocivas que las derivadas de ataques sufridos por otras instituciones científicas internacionales como la NASA (EEUU) o la Sociedad Max Planck (Alemania), entre otras cuestiones.

El Gobierno señala que la acción ofensiva fue comunicada "tan pronto como fue detectada" tanto al Centro Criptológico Nacional (CCN) -dependiente del Centro Nacional de Inteligencia (CNI)- como al Centro de Operaciones de Ciberseguridad (COCS) -un servicio orientado a brindar protección a la Administración General del Estado y a sus organismos públicos a fin de aumentar la capacidad de vigilancia y detección de amenazas en la operación diaria de sus sistemas de información y comunicaciones- y que se tomaron "todas las medidas oportunas para interceptarlo", lo que exigió cortar el acceso a la red en diversos centros "para evitar que se extendiera".

"Gracias a los sistemas de seguridad y a la rápida actuación se ha recuperado toda la información extraída por los atacantes, por lo que no se ha logrado el objetivo principal del ciberataque. El CSIC ha emitido un aviso para informar de que los datos identificativos y de contacto han podido verse afectados por el ataque", se lee en la respuesta.

En un comunicado, el CSIC informó a mediados de agosto de que su sistema informático tenía una "copia de seguridad de toda la información de la institución" y que no se había detectado pérdida de "datos sensibles o confidenciales", al tiempo que indicó que los 149 centros y sedes territoriales habían ido progresivamente restableciendo la conectividad tras activarse el protocolo establecido para estos casos. 

El CSIC contrata a toda prisa a una empresa para reforzar la seguridad de 6.720 equipos informáticos que están en 40 sedes

Entre otras actuaciones llevadas a cabo, el organismo dependiente de Ciencia e Innovación ha puesto el incidente en conocimiento de la Agencia Española de Protección de Datos (AEPD) y de la Policía a fin de que, en caso de que se haga un uso indebido de la información sustraída, el usuario pueda alegar que ya ha sido denunciada.

También trata de reforzar a toda prisa la seguridad de la información que almacena y de sus equipos informáticos -tanto corporativos como los del resto de centros que integran su estructura- con nuevos sistemas para intentar evitar nuevos ciberataques como el del pasado mes de julio, que llegó a provocar una interrupción en la actividad de la labor investigadora. "Estamos viviendo un contexto difícil y vamos a seguir enfrentándonos en el futuro a situaciones como ésta", advierte el Gobierno.

Tramitado por el procedimiento de emergencia, la Presidencia de la Agencia Estatal Consejo Superior de Investigaciones Científicas MP adjudicó el pasado 28 de septiembre a Econocom Servicios SA -la única de las tres empresas consultadas que presentó oferta- un contrato de asistencia técnica consistente en la instalación de software de seguridad en 6.720 equipos (el 22 % del total) de 40 sedes ubicadas en 12 comunidades autónomas diferentes (Andalucía, Aragón, Asturias, Baleares, Canarias, Castilla-León, Cataluña, Galicia, Madrid, Navarra, País Vasco y Comunidad Valenciana). El encargo se ha cerrado en 73.819,68 euros (impuestos incluidos).

Memoria con la que el CSIC justifica la necesidad de contratar a una empresa externa para reforzar la protección de sus equipos.

En la memoria justificativa de dicha contratación, el área de Informática expone que, siguiendo las instrucciones del Centro Criptológico Nacional y del Centro de Operaciones de Ciberseguridad, urge instalar "tanto el software de seguridad EDR como Microclaudia en todos los equipos de la institución y completar la información de los inventarios de equipos informáticos". También considera "imperativo" aislar los dispositivos no seguros mediante su desconexión de la red o segregándolos en redes virtuales diferenciadas.

'Microclaudia’ es una herramienta que proporciona protección a entidades públicas contra códigos dañinos de secuestro de datos (ransomware) mediante el despliegue de vacunas cuando se detecta un incidente. La red de comunicación creada permite notificar dichos episodios a administraciones no afectadas para que puedan adoptar a tiempo medidas y prevenir el ataque.

"Situación de elevada inseguridad"

"Esta situación está ocasionando una problemática extremadamente compleja en muchos institutos que, al carecer totalmente o contar con un número insuficiente de recursos TIC [Tecnologías de la Información y la Comunicación], no están pudiendo afrontar la instalación o no pueden hacerlo con el ritmo que garantice el normal desarrollo de la actividad de gestión e investigadora, produciéndose una parálisis de la actividad del centro o una situación de elevada inseguridad", reconoce el CSIC.

Una vez que ha conseguido que el Centro de Operaciones de Ciberseguridad le proporcione 30.000 licencias para la protección de dispositivos, dado que inicialmente sólo le había asignado 14.000, la institución recurre a ayuda externa para proceder a la "securización de equipos" en aquellas dependencias "con manifiesta carencia o insuficiencia de recursos" ante la necesidad de "devolver los centros bloqueados o que se encuentran en situación de grave vulnerabilidad". "De no adoptarse esta contratación con carácter de emergencia no sería posible minimizar el riesgo de nuevos ataques, además de permitir la recuperación de la normal actividad de la labor investigadora, que debe desarrollarse sin solución de continuidad", resalta.

Esa urgencia se aprecia en el plazo de ejecución que la institución científica ha otorgado al contratista para ejecutar las tareas: 20 días laborables a contar desde la jornada siguiente a la que se firme el contrato. El CSIC calcula que, atendiendo a la experiencia derivada de las más de 10.000 licencias ya instaladas, se necesitan unos 20 minutos por equipo debido a la "complejidad que se deriva de la disparidad de sistemas" y la problemática que pueda surgir.

El Consejo Superior de Investigaciones Científicas cuenta con unos 30.000 equipos informáticos con sistemas operativos y versiones diferentes distribuidos por sus servicios centrales y los 148 centros, institutos de investigación y sedes territoriales de los que dispone. Cuenta, en total, con 1.700 grupos de investigación y unos 1.000 servicios científico-técnicos, lo que da una idea del impacto y las consecuencias que un ciberataque puede tener en su actividad diaria.