A Comisión Europea recoñece ter sido vítima dun ciberataque

A Comisión Europea confirmou un ciberataque detectado o pasado 24 de marzo que afectou á infraestrutura na nube empregada para albergar a súa presenza web na plataforma Europa.eu. Segundo indicou o propio Executivo comunitario, a resposta foi inmediata, o que permitiu conter o incidente e aplicar medidas de mitigación sen afectar á dispoñibilidade dos sitios web.
As primeiras investigacións apuntan a que se produciu unha exfiltración de datos desde estas páxinas, aínda que o alcance exacto continúa baixo análise. A Comisión xa iniciou o proceso de notificación ás entidades da Unión que poderían verse afectadas. Pola contra, os sistemas internos da institución non resultaron comprometidos, segundo as mesmas fontes.
Informacións complementarias sitúan a orixe do incidente nun acceso non autorizado a, polo menos, unha conta da Comisión en Amazon Web Services (AWS), a infraestrutura empregada para soportar parte dos seus servizos dixitais. A compañía estadounidense asegurou que non rexistrou fallos nos seus sistemas e que os seus servizos funcionaron conforme ao previsto.
Fontes próximas á investigación sinalan que o ataque foi detectado con rapidez e que o equipo de resposta a incidentes da Comisión continúa a analizar o sucedido. O actor que reivindica a intrusión asegura ter extraído máis de 350 GB de datos, incluídas bases de datos e información vinculada a empregados da institución, e mesmo acceso a un servidor de correo electrónico. Segundo esta mesma fonte, non existiría intención de extorsión, aínda que si de publicación futura dos datos.
Este incidente prodúcese poucas semanas despois doutro ataque detectado a finais de xaneiro, que afectou á plataforma de xestión de dispositivos móbiles utilizada pola Comisión. Aquel caso relacionouse con vulnerabilidades no software Ivanti Endpoint Manager Mobile, tamén explotadas contra outras institucións europeas.
A Comisión subliña que manterá a vixilancia sobre a situación e que empregará as conclusións da investigación para reforzar as súas capacidades de ciberseguridade. O episodio enmárcase nun contexto de crecente presión sobre infraestruturas críticas e institucións democráticas europeas, nun escenario marcado por ameazas híbridas e ataques patrocinados por estados.
Neste contexto, a Unión Europea leva anos reforzando o seu marco normativo en materia de ciberseguridade. Entre as principais ferramentas destacan a directiva NIS2, que establece obrigas comúns para sectores críticos, o Regulamento de Ciberseguridade e a recente Lei de Solidariedade Cibernética, orientada a mellorar a resposta coordinada fronte a ameazas a gran escala. Ademais, o pasado 20 de xaneiro, a Comisión presentou un novo paquete lexislativo para reforzar as defensas colectivas da Unión.