El Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA), dependiente del Consejo Superior de Investigaciones Científicas (CSIC) y adscrito al Ministerio de Ciencia, Tecnología e Innovación, ha sido víctima de un ciberataque que ha dejado inoperativos casi todos sus sistemas internos desde el pasado 12 de noviembre. Inicialmente atribuido a una avería, el ataque fue confirmado el sábado 16 mediante un correo electrónico dirigido a los empleados del instituto.
Según las primeras investigaciones, el
ciberataque podría haberse originado a través de un USB infectado que permitió la entrada de un ransomware. Este tipo de malware habría secuestrado diversos sistemas críticos del
INIA, aunque todavía se desconoce el alcance exacto del daño.
En el mensaje enviado al personal, se recomendó evitar el uso de memorias USB, discos duros externos y cualquier unidad de almacenamiento externa. También se prohibió trabajar con ordenadores sin antivirus adecuado o con software antivirus gratuito, además de desaconsejar el uso de VPN externas. Estas indicaciones apuntan indirectamente a posibles vulnerabilidades que facilitaron el ataque.
La respuesta al incidente está siendo coordinada por el Centro de Operaciones de Ciberseguridad (COCS) de la Administración General del Estado, dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
El INIA cuenta con un presupuesto anual de 80 millones de euros y es un organismo central en la investigación agrícola, ganadera, alimentaria, forestal y medioambiental en España. Entre sus proyectos más recientes se encuentra una financiación de 4,5 millones de euros otorgada en octubre por la Fundación Bill & Melinda Gates para desarrollar cereales que aprovechen el nitrógeno del aire.
Antecedentes y falta de preparación
En julio de 2022, el CSIC fue víctima de un ciberataque que dejó sus sistemas inutilizados durante dos meses y derivó en la filtración de 41 GB de información sensible. Según fuentes internas, aunque en aquel momento se anunciaron medidas preventivas como cursos de ciberseguridad y certificaciones de seguridad, muchas de estas acciones no se han implementado de manera efectiva. Solo 6 de los 149 centros del CSIC han logrado la certificación del Esquema Nacional de Seguridad.
La Comisión Europea, en mayo de 2023, emitió un informe que advertía sobre el aumento de ciberataques dirigidos a instituciones de investigación. El documento señala que estos ataques buscan obtener conocimiento y tecnología avanzada a través de métodos engañoso el robo directo de información.
Si (
No(
