El INIA, el mayor centro de investigación del CSIC, sigue arrastrando las consecuencias de un devastador ciberataque sufrido en noviembre. Denuncian una falta de medidas de ciberseguridad para mitigar estos 'hackeos' La próxima semana, el 12 de febrero, se cumplirán tres meses desde que el Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA), el mayor centro de investigación del CSIC , se fue a negro . Ese día, un grupo de hackers conocido como RansomHub se infiltró en sus sistemas, secuestró cientos de equipos y, supuestamente, reclamó un rescate para liberarlos. Los 650 empleados de la institución se quedaron de repente sin acceso a internet, teléfono, intranet, aplicaciones corporativas... Apagón absoluto. La dirección les envió a casa hasta nueva orden mientras solucionaba el incidente. Nadie imaginaba que lo peor estaba por llegar: casi tres meses después, cientos de investigadores siguen sin poder trabajar con normalidad. "Muchos seguimos sin acceso a internet, con varios proyectos en el aire y cientos de miles de euros en juego. Por no tener, no tenemos ni calefacción". Así explica un investigador del INIA a este diario lo que lleva ocurriendo desde el 12 de noviembre. El corte de calefacción, que ha durado una semana y que, según el CSIC , ya se ha resuelto, no tiene nada que ver con el ciberataque, pero es una prueba más de lo que varios científicos consultados califican de "abandono" de uno de los centros punteros de investigación del país . "Nos dijeron que se había roto la caldera, que era muy antigua. Las averías son constantes, en algunos despachos la calefacción no funciona nunca. Llevamos desde el 29 de enero a 10 grados, y obligados a traer nuestros propios equipos para conectarnos desde el móvil porque muchos seguimos sin acceso a internet". El ciberataque al INIA en noviembre es ya uno de los más devastadores sufridos por un organismo de investigación en España, peor incluso que el que golpeó al CSIC en julio de 2022. En aquella ocasión, la institución quedó paralizada durante dos meses hasta que se recuperaron los equipos y sistemas internos, secuestrados mediante ransomware por el grupo de ciberdelincuentes Vice Society. Ahora ha vuelto a ocurrir, pero con consecuencias todavía más graves . Expertos en ciberseguridad señalan que la escasa inversión en seguridad informática en la administración pública, y en centros de investigación en particular, hace que recuperarse de estos hackeos sea una tarea titánica que acaba llevando meses en lugar de días o semanas. "Ahora ha sido más complejo todavía que en el 2022 porque la red interna del INIA no estaba bien perimetrada. Es como si tienes una casa sin tabiques, las habitaciones no están separadas. En ciberseguridad ocurre lo mismo. Si atacas un punto concreto de la red, al no haber compartimentos estancos, se extiende por todos los servidores y equipos al instante. Tienes que tumbar todo abajo y empezar a recuperar equipo por equipo, archivo por archivo, uno a uno", explica a El Confidencial un investigador del INIA que pide mantener su anonimato. Este diario ha entrevistado a cinco científicos del organismo , de diferentes centros, especialidades y nivel de experiencia. Ninguno ha querido facilitar su nombre. "Nos han dado instrucciones de no hablar con prensa, puede haber represalias. Pero tampoco nos cuentan nada, te vas enterando por los pasillos", explica uno de ellos. Para recuperarse del ciberataque, los técnicos del INIA, ayudados por el Centro de Operaciones de Ciberseguridad ( COCS ) de la Administración General del Estado y el Centro Criptológico Nacional (CCN-CERT), dependiente del CNI, han ido restaurando de forma gradual ordenadores y servidores, pero primero solo a un número reducido de usuarios. Ese grupo ha ido aumentando hasta esta semana, en la que la mayoría de los usuarios de la sede central y centros de la Comunidad de Madrid tienen por fin acceso a internet. El INIA, sin embargo, cuenta con múltiples organismos repartidos por el territorio nacional. Suponen entre un 25% y un 30% del total de empleados. Es decir, hasta 200 investigadores siguen como hace tres meses, sin acceso a internet ni ningún tipo de aplicación corporativa. "Están, como quien dice, trabajando con papel y lápiz", dice un investigador consultado. "Nos han prometido que esta semana podríamos usar por fin las aplicaciones corporativas para hacer pedidos, seguimiento de proyectos, conocer el presupuesto restante que tenemos..., pero aún no van. Antes, para comprar material para proyectos de investigación, entrabas en una aplicación, y estaba todo automatizado. Desde el hackeo tenemos que rellenar un formulario en Word y enviarlo por email desde casa, usando nuestra conexión particular. Se está retrasando o aplazando todo. Mi grupo tiene contratos anuales de más de 100.000 euros y no sabemos cuándo podremos seguir con ellos. Estamos parados ", explica un investigador afectado. "Hoy [por ayer jueves] en teoría podríamos volver a entrar en las aplicaciones corporativas. Voy a ver... ¡ Anda, me deja entrar ! Ah, no... me ha expulsado. Pues nada, seguimos igual", se resigna otro. "Que un centro con 80 millones de presupuesto, con investigaciones supercríticas, esté tres meses en este plan, es inaceptable" Lo que experimentan en el día a día estos investigadores contrasta con la versión oficial del CSIC. Consultados al respecto, un portavoz señala por escrito que la "red segura creada incluye a más del 90% de los equipos. Todos han sido configurados, escaneados, implementados con el software de seguridad e incluidos en esta nueva red. Es importante mencionar que durante todas estas semanas, en ningún momento se ha dejado de trabajar en el INIA. Todos los procedimientos administrativos se han seguido ejecutando", asegura. "Si por ejecutar se refieren a que tengas que hacerlo desde casa, con tu propio ordenador y wifi, con retrasos de días y semanas en los procesos administrativos, entonces sí, todo ha ido genial", señala con ironía una de las fuentes consultadas. La versión oficial del regreso a la práctica normalidad de la actividad del INIA contrasta también con los comunicados internos del CSIC a los que ha tenido acceso este diario . En un email remitido este lunes 3 de febrero (debajo), se explica que a partir de las 8:30 de ese día se procederá a la "reapertura de la red externa", es decir, del acceso a internet sin restricciones. En total, 84 días después del ciberataque . En el email se anuncia también la "reapertura de la aplicación GESTEC esta semana", aunque en realidad no se podrá usar hasta nuevo aviso, ya que primero hay que cargar todos los datos atrasados desde el 12 de noviembre. "Quedan pendientes bastantes tareas para poder desarrollar nuestro trabajo en las mismas condiciones que antes del ataque , pero su resolución será próxima", reza el comunicado, sin comprometerse a fechas. Entre esas tareas, están permitir el acceso a internet y a los sistemas a los trabajadores fuera de la Comunidad de Madrid, "sustituir equipos que no soportan las nuevas aplicaciones de seguridad", "reconfigurar algunas aplicaciones y documentación utilizadas por varias unidades del INIA", e "instalar una nueva VPN ". El INIA es el centro de referencia en España en investigación agraria, ganadera y medioambiental. Está llevando a cabo algunos de los experimentos más punteros en edición y secuenciación genética animal con la técnica CRISPR (en sus laboratorios se creó el primer cordero modificado genéticamente en España). Realiza trabajos clave en conservación de animales en peligro de extinción (urogallo, visón europeo, oso panda...) y de especies vegetales. En su Centro de Recursos Fitogenéticos, por ejemplo, con sede en Alcalá de Henares (Madrid), se está creando una especie de 'arca de Noé' vegetal en la que se almacenan más de 40.000 semillas de plantas para evitar su extinción. Son proyectos fascinantes pagados con dinero público que, por desgracia, nadie puede consultar: la web del INIA sigue caída tres meses después. El ciberataque ha afectado seriamente el trabajo de muchos investigadores, pero no ha tocado a todos por igual. "Al coincidir con el cierre de ejercicio, mucha gente se quedó colgada sin poder hacer compras a final de año. Hay investigadores cabreados, otros no tanto. No todos los centros del INIA se han visto afectados de la misma forma", explica una de las fuentes consultadas, que asegura que la dirección sí ha compartido información sobre los avances y plazos de recuperación. "Este martes hubo una junta con los investigadores. Estas cosas son complejas, no somos un banco, una entidad privada, donde puedes reaccionar mucho más rápido. Los recursos son los que son", explica resignado. Otros investigadores, sin embargo, consideran intolerable la situación actual. "Nos aseguraron que tras el ciberataque de 2022 se tomarían medidas para que no volviera a ocurrir. Esto demuestra que no han hecho lo necesario. Ahora vuelven a decir que los sistemas son mucho más robustos, y volverá a ocurrir. Que un centro como el INIA, con 80 millones de presupuesto, con investigaciones supercríticas, esté tres meses en este plan, es inaceptable, no nos podemos conformar ". A comienzos del pasado diciembre, el grupo RansomHub reivindicó el ataque al INIA, asegurando que había robado 112 GB de datos. Dio de plazo hasta el 17 de diciembre para el pago de un rescate , o lo publicaría todo. El plazo se cumplió y el grupo publicó una carpeta con 80 GB de datos. Este diario tuvo acceso a los datos publicados, pero solo había contratos de compras del 2017 y un vídeo corporativo interno. "Yo también me lo descargué y no había nada comprometedor. Pero el vídeo estaba en formato .raw, en bruto, lo que demuestra que se colaron en los sistemas. Pudo ser solo una prueba de que no iban de farol", explica una de las fuentes del INIA consultadas, quien denuncia la situación bajo mínimos que vive el centro y el CSIC en términos de ciberseguridad. "Estamos con sistemas desfasados, sin personal cualificado y sin la inversión necesaria. Es un milagro que no pasen más cosas ". La próxima semana, el 12 de febrero, se cumplirán tres meses desde que el Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA), el mayor centro de investigación del CSIC , se fue a negro . Ese día, un grupo de hackers conocido como RansomHub se infiltró en sus sistemas, secuestró cientos de equipos y, supuestamente, reclamó un rescate para liberarlos. Los 650 empleados de la institución se quedaron de repente sin acceso a internet, teléfono, intranet, aplicaciones corporativas... Apagón absoluto. La dirección les envió a casa hasta nueva orden mientras solucionaba el incidente. Nadie imaginaba que lo peor estaba por llegar: casi tres meses después, cientos de investigadores siguen sin poder trabajar con normalidad. "Muchos seguimos sin acceso a internet, con varios proyectos en el aire y cientos de miles de euros en juego. Por no tener, no tenemos ni calefacción".