SIDI en la mañana de hoy, lunes 8 de marzo ha presentado por registro un escrito donde se solicitaba una reunión técnica para recibir información de primera mano sobre lo sucedido con el intento de hackeo de las cuentas de los docentes en EDUCARM
08/03/2021 SIDI denuncia la falta de transperencia y ocultismo tras el Hackeo de Educarm
Ante el escrito presentado esta mañana, en el que entre otras cosas se ha solicitado una reunión informativa, esta misma tarde (8 de marzo) SIDI ha podido reunirse con la Secretaria General de Presidencia y Hacienda, la Secretaria General de Educación y Cultura, el Director General de Informática y el Subdirector General de Informática, en reunión telemática.
En el transcurso de esa reunión, se nos ha transmitido que tras el ciberataque detectado el pasado jueves 4 de marzo, contra el portal EDUCARM, la brecha de seguridad quedó resuelta de forma inmediata tras su detección.
Que el Servicio de Seguridad Informática detectó un código malicioso en el portal EDUCARM. Lo que activó el protocolo definido por el CCN (Centro Criptológico Nacional que depende del CNI) y que se encarga de la ciberseguridad de las administraciones públicas.
Una vez detectada la amenaza y activado el protocolo ante accidente de seguridad se coordinó con e CSIRT (Equipo de Respuesta Rápida ante incidentes de seguridad de la Comunidad Autónoma), bloqueando el sistema comprometido (EDUCARM) cambiando las contraseñas a las cuentas afectadas, posteriormente se comunicó a Educación lo sucedido, se inició posteriormente el proceso de comunicación a los afectados mediante el envío de un SMS al móvil de los afectados. A la vez se contacta con el CCN comunicando lo que sucede y colaborar conjuntamente en el incidente. Se comunican los hechos a la Agencia de Protección de Datos y se interpone la correspondiente denuncia ante la Policía Nacional.
Además, el jueves se inició una auditoría de ciberseguridad de todos los sistemas, y todavía se sigue trabajando en ella. Hasta el momento de esta reunión, y sobre la modificación de números de cuenta bancaria, son cuentas bancarias de las docentes antiguas (producto de fusiones o transformaciones bancarias) y en algunos casos porque el docente no había ni cambiado la cuenta (aunque funcionaba por un desvío de la entidad bancaria que la dirigía a la nueva cuenta), y ahora al cotejarla con la actual descubría la no coincidencia. Por lo que hasta este momento no hay una cuenta distinta externa. Tampoco tienen constancia a día de hoy que alguien haya podido utilizar datos de EDUCARM
Se ha creado un comité de crisis dentro de la administración regional, que funcionará hasta que el incidente quede resuelto definitivamente.
En ningún caso la Consejería de Educación no va a enviar un método de verificación de datos que consista en pulsar sobre un enlace, ya que es el método preferido por los ciberdelincuentes.
CUESTIONES PLANTEDAS EN LA REUNIÓN:
1.- ¿Se ha accedido o descargado datos? Hasta la celebración de esta reunión, no constan indicios y que se hayan descargado datos ni modificaciones de los mismos.
2.- ¿Se ha denunciado los hechos en la policía nacional? Se ha hablado con el Director de Operaciones del CCN, y con los responsables de la Policía Nacional encargados de la ciberdelincuencia. Se ha mandado una circular para que no se acepten denuncias en las comisarías de policía por este motivo, por lo que nos ruegan que sugiramos no utilizar esta vía. Eso sí, todas las cuentas bancarias investigadas eran antiguas del docente.
3.- ¿Se sabe del autor o autores? nos indican que el origen puede ser desde cualquier ordenador que pueda estar infectado sin conocimiento incluso de su propietario.
4.- ¿Cuándo finalizará la investigación? Es difícil saberlo porque se investiga como delito, por lo que puede tardar una investigación meses.
5.- ¿Qué ocurre con los IBAN? pese a que en el finde semana si se ha permitido modificar datos, actualmente no se deja modificar datos en EDUCARM, se ha dejado en modo lectura hasta implementar un mecanismo adicional de seguridad que podría estar esta misma semana, suprimiendo la actual autenticación de las aplicaciones y utilizando un sistema independiente basado en certificado digital o en otro de doble factor de autenticación.
6.- ¿Por qué no se ha optado por cerrar el acceso a EDUCARM hasta recuperarlo? Se cerró en un primer momento y cuando se anularon las claves se abrió nuevamente. Lo importante era paralizar el ataque y se volvió a abrir. Se toma como sugerencia para incluirlo en el protocolo.
7.- ¿Hay que contactar con las entidades bancarias para realizar cambios de IBAN si más adelante se encontrase un uso fraudulento de datos bancarios no detectado hasta ahora? Se ha contactado con el Director de Instituto de Crédito de la Región. Que una persona con un número de cuenta bancaria, desde el punto de vista delictivo no puede hacer mucho, en el caso de que hiciese un intento de domiciliación dejaría rastro y se puede devolver en 60 días esa domiciliación.
8.- ¿Corre peligro el abono de las nóminas de marzo para los docentes? Se utilizarán los números de IBAN de nóminas anteriores, y solo se va a controlar las modificaciones de cuenta bancarias solicitadas incluso llamando a los interesados para verificar. Normalmente se producen entre 100 y 200 modificaciones por mes, y desde la última nómina a día de hoy, se han notificado 160 cambios de nómina. El 100% de los contactados telefónicamente confirman que han sido ellos quienes han solicitado la modificación, por tanto, no debe haber ningún problema en la nómina de marzo.
9.- ¿Corre peligro el acto de adjudicación semanal de interinos/as? Según la Secretaria de la Consejería de Educación, el acto se celebrará mañana con normalidad. Si alguien tiene algún problema que utilice el correo electrónico para contactar con la consejería cuando no estás vinculado.
SIDI ha afeado a los responsables de la administración en esta reunión a tener que enterarse de información en fin de semana a través de los medios de comunicación y no de primera mano que como representantes de los trabajadores, los docentes se hubiesen merecido.
Disponeis de un telefono del CENTRO DE ATENCIÓN DE USUARIO (CAU) DE EDUCACION ante cualquier tipo de incidencia sobre EDUCARM 968375634