El grupo de ciberseguridad de la Universidad de Zaragoza forma parte actualmente del área de sistemas del Vicerrectorado de Tecnologías de la Información y la Comunicación. Está integrado por David Giménez y Víctor Pérez y su misión principal es desplegar, bajo el marco del Esquema Nacional de Seguridad, medidas, políticas, conocimientos y protocolos que contribuyan a reforzar la seguridad de la Universidad de Zaragoza y de sus sistemas de información.
En noviembre de 2025, Araintel, en colaboración con RootNode, entrevistamos a dicho grupo, que vela por la seguridad de todos los miembros de la comunidad UNIZAR.
Transcripción
Ruben: ¿Cuál es más o menos la historia del grupo?
Víctor: Bueno, la seguridad de la información en la universidad prácticamente desde los años 90 se ha ido desplegando con medidas como firewall, copias de seguridad, antivirus, que son medidas más o menos, podríamos llamar, clásicas. Y aparte, sobre todo desde el año 2010, con la aprobación de la LOPD, pues se dotó con una figura que era un analista en aquellos tiempos, hoy se llama jefe de proyecto, que tenía unas atribuciones de desplegar todo lo que son las medidas que contemplaba la legislación en aquel momento. Con el paso del tiempo, que son 15 años más tarde, con el Esquema Nacional de Seguridad en su primera versión y en la versión del año 2022, pues se vio bien necesario que las organizaciones como las universidades, y en concreto la nuestra, necesitaban desplegar medidas y recursos para poder mejorar la protección de sus sistemas de información. Entonces, bueno, en nuestra universidad, más o menos una universidad de tamaño medio, estaríamos parecidos a la Autónoma de Madrid o la de Barcelona. Y bueno, pues tenemos una dotación relativamente pequeña para la cantidad de cosas que tenemos un poquito que atender. Pero bueno, trabajando, intentando gestionar todos los incidentes que tenemos, intentando desarrollar nuevos proyectos, aprovechar las herramientas.
Ruben: ¿Un poco a qué herramientas os referís?
Víctor: Pues en líneas generales intentamos aprovechar las herramientas que nos brinda el Centro Criptológico Nacional, las herramientas o los recursos que nos da la pertenencia a RedIRIS, que es la entidad que agrupa los distintos centros de investigación de universidades españolas, y también intentando desarrollar o implementar mecanismos propios, fundamentalmente basados en software libre, para proteger nuestros sistemas.
David: Bueno, pues para este año, para este curso, la Universidad de Zaragoza ha aprobado unas campañas y unos cursos de concienciación para todo el PTGAS y el PDI de la Universidad de Zaragoza. Es necesario que el personal esté concienciado de los problemas de ciberseguridad que puede haber y la concienciación es lo más importante. En un gesto, por ejemplo, te puedo señalar y decirte que esta es una de las herramientas que tenemos en producción del Centro Criptológico Nacional. Se llama Gloria. Es un gestor de información y eventos de seguridad donde recopilamos todos los logs, como también nuestros servidores y las redes internas, y aquí podemos analizar todos esos eventos, correlarlos y verlos, detectar posibles amenazas para poder responder a dichos incidentes.
Ruben: Estoy viendo por ahí una posible conexión desde TOR. No sé si os suelen llegar muchos intentos de intrusión o demás desde la dark web.
Víctor: Realmente lo que aparece ahí es una traza de conexión a la red TOR desde la red universitaria. ¿Vale? Eso nuestra política no lo impide. Es decir, no se han desplegado medidas en nuestro ámbito perimetral para impedir esto. Sí que hay medidas desplegadas para impedir el acceso desde nodos finalistas de TOR a la red universitaria. Es decir, eso se bloquea directamente porque se evaluó hace tiempo en el comité y se decidió que ese tipo de medidas se iban a bloquear. Los ataques en muchas ocasiones vienen desde redes de botnets. Es muy frecuente que utilicen redes de botnets con routers o con equipos de IoT comprometidos para alquilarlas y para que nosotros recibamos esos ataques desde allí. Muchas veces son directamente proveedores de servicios maliciosos que nosotros a priori no bloqueamos un proveedor de servicios completo, pero hay algunos de ellos que tenemos constancia de que alquilan sus servicios para los ciberdelincuentes para realizar ataques. Tenemos proveedores de servicios como podría ser Vodafone o Telefónica, que recibimos 60.000, 70.000 conexiones desde ese proveedor en una noche y no ha habido ni una de ellas que sea exitosa. Todos son ataques. ¿Vale? Entonces, sí. Bueno, en realidad es frecuente esto que te comento de ataques desde distintas redes.
Ruben: ¿Cuáles son los incidentes más frecuentes que recibís desde el grupo de ciberseguridad?
Víctor: A día de hoy, en 2025, el tipo de incidente más frecuente es el robo de credenciales. El robo de credenciales es la suplantación de identidad para el uso de nuestros servicios. Que bien sea, ahora voy a hablar un poco de una medida que fue muy importante, que bien sea para acceder a la VPN de la Universidad de Zaragoza, pero sobre todo mucho para el envío de spam, de malware o intentos de fraudes con motivación económica utilizando credenciales de usuarios de la Universidad de Zaragoza. Este robo de credenciales lamentablemente es muy frecuente y nos está pasando prácticamente todos los días, tenemos incidentes de este tipo. Que sean los incidentes más frecuentes no significa que sean los que mayor riesgo tienen, porque habría otros ámbitos que pensamos que podrían tener mayor riesgo.
Ruben: ¿A mayor riesgo a qué te refieres?
Víctor: Básicamente, como en otras disciplinas, en seguridad de la información evaluamos el riesgo como un impacto y la probabilidad de que este impacto se materialice. Que cayese un meteorito en Zaragoza tendría un impacto masivo, desaparecería el servicio de informática en toda la ciudad, pero la probabilidad de que esto ocurra es muy pequeña, a consecuencia de lo cual es algo que no nos preocupa habitualmente que caiga un meteorito. Sin embargo, hay otros escenarios en los cuales, tras evaluar el impacto y el riesgo, aunque no haya sucedido todavía nunca, son situaciones para las cuales vemos necesario que nos preparemos. Concretamente, desde el grupo de ciberseguridad hemos elaborado una especie de top five de cuáles son las cinco amenazas que, de acuerdo a los análisis de riesgos que nos han realizado y a la situación actual, preveemos que puedan ser. Concretamente, hace algunos años, por ejemplo, un incidente que recuerdo. Por ejemplo, que hubo implicaciones de conexiones con un robo de credenciales a la VPN, pues se ha atajado muchísimo porque se ha puesto en marcha un segundo control de autenticación y ha disminuido muchísimo las posibilidades de que un ciberdelincuente se apropie de unas credenciales y acceda a la VPN. Igualmente, también hace años desplegamos el cierre perimetral para proteger los equipos de los usuarios finales del ámbito perimetral y únicamente exponer aquellos activos que necesitaban estar expuestos a internet. Y todas estas medidas han ido variando desde este riesgo. Entonces, a día de hoy, el escenario que más nos preocupa en ese sentido sería una emisión, un robo masivo de datos y una publicación, una petición de un rescate por parte de ciberdelincuentes, como pasó hace aproximadamente un mes, creo que con la Universidad de Cádiz.
Ruben: ¿Sospecháis de que haya habido algún grupo o alguna APT que haya podido en algún momento ir detrás de la Universidad de Zaragoza?
Víctor: O sea, de una manera específica, no. Quizás lo más parecido fue una campaña que tuvimos este septiembre pasado, en la cual unos ciberdelincuentes enviaron a un conjunto de universidades, de centros de investigación, de entornos privados de formación, una campaña en la cual, de manera coordinada, enviaban correos con cuentas robadas solicitando el pago urgente de una matrícula. En ese contexto había registrado un dominio que se llamaba universidaddezaragoza.live. Había una cuenta corriente de una mula en la cual aspiraban a ponerse para poder el dinero. Que nosotros seamos conscientes, se atajó rápidamente la campaña, se denunció a la policía y no hubo ningún caso con impacto.
Ruben: ¿Cómo suele ser vuestra colaboración con la policía cuando hay algún suceso?
Víctor: Pues nosotros tenemos que agradecer que tenemos un trato muy cercano con el grupo de delitos tecnológicos de aquí de la policía, los dos grupos que hay. Y cuando hay, quiero decir, la gran mayoría de los incidentes que estamos recibiendo a diario no es viable el poder denunciarlos. Estamos hablando de que un intento de envío de lo que sea desde una dirección IP de Ucrania está fuera, normalmente, de la capacidad de actuación de un juez en España. Y en alguna ocasión que hemos tenido algún caso relacionado o parecido, simplemente desestima la causa y no continúa. ¿Vale? Pero en otras ocasiones, como la que te acabo de nombrar, como lo que ocurrió de esta semana pasada, donde hay un envío a estudiantes, hay una cuenta corriente española, pues esto, lógicamente, sí que se denuncia y se bloquea esa cuenta española.
Ruben: ¿De alguna forma es posible que, a través de las credenciales, los estudiantes o los profesores puedan pivotar a sus cuentas bancarias, por ejemplo?
Víctor: Pues este es un escenario que es relativamente muy poco habitual, porque estamos hablando de que las medidas de seguridad que tienen hoy en día los bancos, utilizando normativas que ha sacado Europa y a nivel internacional, implican el uso del segundo factor de autenticación para transferencias, etcétera, etcétera. ¿De acuerdo? La forma que nosotros observamos que es más frecuente de robo de credenciales pasaría por los infostealers, que es un malware especializado en el robo de sesiones y de credenciales. Nosotros valoramos que, prácticamente, el 95 % de los casos que tenemos, que es muy frecuente que roben las credenciales, no solo implica que roben las credenciales de la Universidad de Zaragoza, sino que probablemente implique que a ese usuario le han robado credenciales de Facebook, de WhatsApp, su cuenta en Instagram, potencialmente un acceso al banco. Lo que ocurre es que muchas veces que accedan al banco de esta persona no implica que tengan capacidad para hacer transferencias. Los otros tres escenarios o vectores de ataque pasarían por phishing, que ocurre, pero que no es muy frecuente; todo el tema de los leaks, es decir, que utilicen su cuenta de correo en otro sitio y que ese sitio, por ejemplo, de Mango, que salió hace dos meses, que en ese sitio utilicen la misma contraseña. Es muy importante que cada sitio utilicemos contraseñas únicas. Y, por último, los eventos de ataque de fuerza bruta, que también los observamos, pero no son muy frecuentes. Analizamos cada uno de los casos y sí que orientamos a profesores o a estudiantes si tienen que tramitar una denuncia o no, dependiendo del compromiso que hayan adquirido. También les comentamos o los concienciamos y les decimos qué medidas pueden tomar para asegurar mejor sus equipos personales, sus móviles o sus cuentas de correo electrónico, tanto de la universidad como de fuera de la universidad.
Ruben: Y, hablando con el tema de la concienciación, ¿cuáles son los aspectos más importantes que creéis que hay que trabajar?
David: Pues, en este momento, consideramos que hay que trabajar también en la protección del equipo final del usuario, del endpoint. Y hablando, aparte de los antivirus que ya se tienen, pues un EDR, un software de detección y respuesta en equipos finales que detecta más cosas y nos puede avisar de comportamientos extraños en el equipo. Entonces, así poder prevenir también esas amenazas. Y otro punto muy importante para nosotros sería también la formación continua del personal. Todos estos temas importantes de ciberseguridad, que pudieran estar formados sobre el correo electrónico, sobre la navegación segura, sobre cómo las contraseñas son o no seguras, cómo poder almacenarlas, cómo proteger su equipo y su información, pues ir haciendo distintas formaciones, tanto al PDI como al PTGAS, de estos puntos.
Ruben: ¿Soléis colaborar con algún CERT, con algún SOC en específico? ¿Cómo suele ser la colaboración?
Víctor: Bueno, a ver, nuestro CERT de referencia es el Centro Criptológico Nacional. En las ocasiones en las cuales hemos tenido un incidente de suficiente entidad como para que sea comunicado al Centro Criptológico Nacional, nosotros hablamos con ellos. A través de la herramienta LUCÍA, que también es una herramienta de ticketing y de reporte, nosotros notificaríamos el tipo de incidente que hemos sufrido y el ámbito en el cual nos ha afectado. El CCN nos presta ayuda de acuerdo a la naturaleza del incidente, pues a través de licencias o incluso con técnicos, etcétera. ¿De acuerdo? Aparte de esa colaboración, podríamos decir, más organizativa, de una manera muy frecuente nosotros participamos de otras iniciativas para intercambiar información, como sería, por ejemplo, la Red Nacional de SOCs. Aquí, por ejemplo, estás viendo el MISP de la Red Nacional de SOCs, donde se comparte información de ataques y se comparten indicadores de compromiso, direcciones IP, URL, cuentas de correo, payloads. Dentro de estos eventos, nosotros trasladamos los incidentes que habíamos detectado y ahí podría haber eventos, ahora no hay, pero podría haber eventos en la Universidad de Zaragoza. Igualmente, otros foros de colaboración muy activos son en la sectorial de la CRUE-TIC. Hay un grupo de ciberseguridad en el que también estamos todas las universidades públicas y donde también colaboramos habitualmente, pues compartiendo iniciativas, formación, potenciales compromisos. También nosotros colaboramos con PROTAPP, que es una iniciativa a nivel estatal de técnicos de administraciones públicas que sacan adelante proyectos. Por ejemplo, tienen un track de la ROOTEDCON, en conferencia de la ROOTEDCON, donde solemos asistir como oyentes por ahora. Y creo que no me dejo nada más. Básicamente, estos son los ámbitos en los cuales colaboramos. Es verdad, como novedad, este año, a principios de año, se firmó un convenio de colaboración con el Gobierno de Aragón, con el Centro de Ciberseguridad que ha puesto en marcha el Gobierno de Aragón, y estamos esperando guías de colaboración. Ahora mismo tenemos un piloto en marcha para probar un EDR y también con mucha ilusión de que pueda ser una herramienta que también nos ayude a proteger nuestros puestos de trabajo.
Ruben: Por curiosidad, ¿la Universidad de Zaragoza actúa como un endpoint para el Centro de Ciberseguridad de Aragón? ¿O cada uno reporta, por ejemplo, a través de LUCÍA incidentes graves?
Víctor: Ahora mismo, ese convenio de colaboración no se ha materializado en una dependencia directa. En el sentido de que nosotros reportemos hacia AST o el Centro de Ciberseguridad los incidentes que estamos sufriendo. Estamos en un proyecto piloto donde podría haber una cabida para este tipo de relación, pero ahora mismo nosotros, si esta tarde sucediera un incidente grave, a quien reportaríamos sería efectivamente al Centro Criptológico Nacional.
Ruben: ¿Tenéis algún incidente así reciente del que podáis hablar y que sea memorable?
Víctor: Bueno, hay incidentes que tenemos con cierta frecuencia y en muchas ocasiones están en relación con personas concretas. No podemos, lógicamente, dar datos personales de nadie. En 2024 tuvimos varios incidentes con una motivación económica grande. En varios de ellos hubo una suplantación de la identidad de un funcionario público para, en una relación que puede tener la Universidad con una empresa externa, simular, interceptar un correo a destino, simulándose en la Universidad de Zaragoza, lo que se conoce como un man-in-the-middle en el ámbito del correo, simulando, ya digo, y modificando el fichero con la factura, etcétera, etcétera, etcétera. ¿De acuerdo? Entonces, recuerdo uno concretamente, que gracias a una medida que habían implementado nuestros compañeros del correo, en el ámbito del correo, que todos los correos que salen de la Universidad salen firmados digitalmente, como que han salido de la Universidad, pues este correo, bueno, pues cuando nosotros, cuando nos requirieron que esto podía haber sucedido y que podía haber sido suplantada la identidad realmente en origen, nosotros les pedimos que nos dieran el correo electrónico que habían recibido. Y ahí se pudo comprobar que había habido una alteración en el cuerpo del mensaje y que la firma que nos estaban entregando no era como una firma válida, con lo cual pudimos demostrar que había sido alterado en destino, en este caso, sin comprometer a la Universidad de Zaragoza.
Ruben: Una anécdota loca. Loca.
Víctor: Nos avisó la Policía Nacional que había recibido un comunicado en Interpol que tenían credenciales nuestras de la VPN y que tenían información porque esta gente suele tener gente infiltrada, gente que les vende datos, gente tal. Nos envían unos PDF donde se veía que habían escaneado la Universidad con credenciales y tal. Pudimos investigar quiénes habían adquirido esas raras en ese ámbito y pudimos identificar las cuentas concretas que habían robado para hacer a la VPN. Hoy en día eso ya no se puede hacer porque no es un impacto. ¿Vale? En el transcurso de lo cual nos decían que estábamos ante una situación inminente de ransomware en algún servidor Windows. Eso es un poco putadilla porque tenemos muchos y no nos decían cuál. Empezamos a investigar, a investigar, a apagar máquinas, tal, tal, tal, tal, y luego pudimos ver que la conexión de la VPN iba contra un servidor de la Clínica Veterinaria. ¿Vale? En el cual habían logrado acceder y se habían, potencialmente tenemos la seguridad de que lo hicieron, se habían llevado cientos de radiografías, pero no radiografías de personas, eran radiografías de perros y de gatos. Entonces, el ciberdelincuente yo creo que se empezó a frotar las manos y dijo: “seguro que voy a sacar esto en algún foro por ahí, con datos de tal, no sé qué”, y eran todo pruebas médicas, pero de animales, no eran de tal. Eso puede ser simpático.
Ruben: Eso es divertidísimo. Bueno, pues nada, os agradecemos mucho que nos hayáis concedido esta entrevista, que estoy seguro que va a interesar a muchas personas, y os animo muchísimo a que sigáis haciendo el trabajo que estáis haciendo desde el grupo, que es importantísimo. Tenéis a un montón de personas que proteger. adelante con todo y mucha suerte.
Síguenos en araintel.com
