El Proyecto Fénix:

Remediación de una crisis de ciberseguridad en la Universidad de Virginia

Virginia Evans escuchó atentamente mientras la Junta de Visitantes (BOV) deliberaba sobre
cuestiones presupuestarias dentro de la Sala de juntas de la Rotonda, la pieza central de la Aldea
Académica de Thomas Jefferson.1 Como director de información (CIO) de la Universidad de
Virginia (UVA), Evans había sido pidió asistir a la reunión de dos días en caso de que surgiera
alguna pregunta relacionada con los sistemas de información de UVA. El primer día fue
relativamente tranquilo, pero luego Evans sintió que su teléfono vibraba. Una rápida mirada hacia
abajo reveló un mensaje marcado como urgente: se le pedía que llamara de inmediato al jefe de
seguridad de la información de UVA.

Unos minutos más tarde, justo afuera de la sala de juntas, Evans se enteró de la noticia que le
daría un vuelco al verano. Las autoridades federales habían descubierto que los posibles actores
del estado-nación tenían acceso a los sistemas de la UVA, y solo podían adivinar la intención de los
ataques cibernéticos. Durante un receso, Evans buscó a Pat Hogan, vicepresidente ejecutivo y
director de operaciones de la UVA, para informarle de lo que estaba sucediendo. Juntos,
decidieron que el mejor curso de acción era informar al BOV mientras sus miembros todavía
estaban en la ciudad. No había duda de que esta repentina noticia podría tener un impacto
dramático en la comunidad de UVA en general, y muy posiblemente en la carrera de Evans. Hubo
muchos ejemplos en las noticias de los CIO tanto del sector público como del privado a los que sus
carreras se vieron alteradas por los ataques cibernéticos. Para administrar el esfuerzo de
remediación con éxito, Evans sintió que necesitaba obtener el apoyo de BOV, no solo
financieramente sino organizativamente. Al día siguiente, eso es exactamente lo que ella se
propuso hacer.

Durante una reunión a puertas cerradas el viernes 15 de junio de 2015, Evans informó al BOV que
los sistemas de información de UVA habían experimentado una "grave brecha de seguridad". El
BOV respondió con una serie de preguntas: "¿Qué buscan?" "" ¿Se ha comprometido alguna
información de identificación personal (PII)? "Si bien Evans podría responder algunas de las
preguntas, las respuestas a la mayoría requerirían una investigación exhaustiva y una remediación
completa y planificada del ataque cibernético. Ella prometió mantener informado al BOV e
informarle en la próxima reunión. Los próximos meses serían como nada que ella hubiera
experimentado.
La Universidad de Virginia: Una universidad pública de alta calificación

UVA fue una importante universidad de investigación pública y la institución académica más
importante para el estado de Virginia. Fundada en 1819 por el tercer presidente de los Estados
Unidos, Thomas Jefferson, la UVA era conocida por sus fundamentos históricos, el código de honor
administrado por los estudiantes y las sociedades secretas. A lo largo de su historia, UVA ha
ganado elogios por su arquitectura única de Jefferson, con el diseño original que gira en torno a la
Academical

Aldea y Rotonda: el símbolo más reconocible de la UVA. La Organización de las Naciones Unidas
para la Educación, la Ciencia y la Cultura (UNESCO) designó a la UVA como el primer y único sitio
colegiado de Patrimonio Mundial de Estados Unidos en 1987, un honor compartido con la casa
cercana de Jefferson, Monticello.

Desde su fundación, UVA ha continuado su misión de desarrollar futuros líderes que estén bien
preparados para moldear el futuro de la nación y el mundo, un testimonio de su BOV gobernante
original, que incluyó a Thomas Jefferson, James Madison y James Monroe. En 2015, UVA
comprendió 11 escuelas en Charlottesville, Virginia, más el College at Wise en el sudoeste de
Virginia, al tiempo que ofreció 48 licenciaturas, 94 maestrías, 55 doctorados y varios otros títulos
profesionales. La institución estaba clasificada entre las dos mejores universidades públicas de la
nación, aceptando solo a los mejores estudiantes (alrededor del 90% de los estudiantes admitidos
estaba en el 10% superior de su clase de graduado de escuela secundaria) y aquellos que
mostraron la promesa excepcional que Jefferson imaginó. Aproximadamente 22,000 estudiantes
fueron enseñados por 2,800 profesores de tiempo completo, y fueron apoyados por poco más de
10,000 empleados de tiempo completo.

El presupuesto anual total de la UVA en 2015 fue de $ 3,07 mil millones. Fue interesante observar
que a pesar de ser una universidad pública, menos del 6% del presupuesto operativo de la UVA
provino del Estado de Virginia. Un 17% adicional provino de la matrícula y las tarifas, casi el 50%
de los servicios médicos para pacientes, más del 10% de la investigación y el desarrollo de la
propiedad intelectual y aproximadamente el 12% de las donaciones y donaciones. Números como
estos llevaron a algunos a llamar a UVA una universidad pública financiada con fondos privados.

Servicios de Tecnología de la Información (ITS)

Además de su excepcional reputación académica, se sabe que UVA es un líder en el uso de

tecnología de la información (TI) en la educación superior. Un componente central en el uso de TI
de UVA fue la organización ITS, cuya misión era "ser un socio confiable y un recurso estratégico
para la comunidad universitaria, alineando la tecnología para avanzar en la misión de la
universidad". 3 En 2015, ITS tenía 240 empleados y una presupuesto de $ 50 millones.
Evans se había desempeñado como CIO de UVA desde febrero de 2014. En su rol, Evans era la líder
de ITS, responsable de planificar y coordinar la infraestructura, las aplicaciones y el soporte de TI
central, así como la seguridad de la información, las políticas y la administración de registros.
Evans tenía más de 25 años de experiencia en TI, desde consultoría en TI con Andersen Consulting
y consultoría en TI independiente, hasta más de 20 años en la gestión de TI en UVA a nivel central
y escolar. Obtuvo una licenciatura en ciencias con especialización en contabilidad de la
Universidad de Carolina del Norte en Chapel Hill y una maestría en ciencias en sistemas de
información gerencial de la Escuela de Comercio McIntire de la UVA, donde también se
desempeñó como profesora adjunta en la enseñanza de procesos de negocios y reingeniería.
Clases a nivel de postgrado.

Los ataques cibernéticos: una amenaza creciente para empresas, agencias y universidades

Muchos expertos consideraron que 2014 fue el año de la brecha de la ciberseguridad, y 2015 se
perfilaba para ser aún peor. Megabreaches, o brechas donde más de un millón de registros fueron
robados, se habían vuelto comunes en las noticias. Compañías del sector privado como Home
Depot y JPMorgan Chase & Co. revelaron que millones de sus registros de clientes habían sido
robados, mientras que Anthem informó que PII había sido robada de 80 millones de sus clientes
de seguros de salud. En el sector público, una brecha de seguridad cibernética en la Oficina de
Administración de Personal de los Estados Unidos expuso más de 21 millones de PII de
ciudadanos, que incluían información de verificación de antecedentes (por ejemplo, huellas
dactilares, historiales financieros, etc.).

Las universidades también se estaban convirtiendo rápidamente en un objetivo favorito de los

ciberdelincuentes y los actores estatales peligrosos, en gran parte debido a su carácter abierto y
descentralizado. De hecho, se estimó que el 25% de todas las brechas de seguridad ocurrieron en
la educación superior. La Universidad Estatal de Pensilvania (Penn State), la Universidad de
Harvard, la Universidad Johns Hopkins, la Universidad de Rutgers y la Universidad de Maryland
sufrieron violaciones de seguridad en el año académico 2014-2015. Las universidades podrían ser
un objetivo primordial porque a menudo contaban con una importante propiedad intelectual de
investigación y grandes almacenes de información de identificación personal e información
financiera, incluida la información de pago de los estudiantes y la información de impuestos para
los empleados. En 2015, Symantec informó que las universidades eran el tercer objetivo más
popular para los cibercriminales detrás del cuidado de la salud y el comercio minorista, ya que los
cibercriminales se enfocaban en activos financieros y propiedad intelectual, y buscaban adquirir
información que pudiera ser utilizada por motivos políticos.4

Los ciberataques podrían ser muy costosos para las universidades. Por ejemplo, Penn State gastó
más de $ 2.85 millones para remediar una brecha de datos en su Facultad de Ingeniería, 5 y la
brecha de la Universidad de Maryland, que afectó a más de 300,000 estudiantes actuales y
anteriores, le costó a la universidad un estimado de $ 3 millones para recuperar y mitigar. 6

Al momento del ataque cibernético de los rayos UVA, los tres métodos de ataque más comunes
eran (1) phishing, (2) sistemas no parcheados y (3) ataques de día cero. Spear phishing había
evolucionado a partir del phishing, que implicaba enviar millones de correos electrónicos a las
víctimas para que hicieran clic en un enlace malicioso o descargaran un archivo infectado. A lo
largo de los años, los delincuentes empezaron a seleccionar solo unas pocas víctimas en una
organización, adaptando los mensajes de correo electrónico a estos empleados, lo que se conocía
como phishing de lanza. Spear phishing fue un ataque a vulnerabilidades humanas y siguió siendo
el vector de ataque más popular y efectivo. En 2015, en promedio, los delincuentes enviaron
correos electrónicos de phishing a 18 personas dentro de una organización a la que se dirigían.
Esta táctica hizo muy difícil que los filtros de spam y los sistemas automatizados de detección de
phishing detectaran phishing de lanza.

El siguiente vector de ataque típico fue identificar y atacar sistemas informáticos que no habían
sido parcheados correctamente. Los parches eran actualizaciones de software instaladas en
computadoras que solucionaban una vulnerabilidad conocida del sistema. Por lo general, los
proveedores de software como Microsoft, Apple y Adobe lanzaron parches de forma regular. La
cantidad y variedad de proveedores de software que enviaban parches a menudo dificultaban la
administración de todas las actualizaciones de los sistemas informáticos. Los ITS de UVA
administraron varios cientos de servidores para una variedad de grupos de trabajo que ejecutaban
una gran variedad de aplicaciones y servicios. Además, hubo cientos de computadoras utilizadas
por los empleados de la universidad y cientos más en los laboratorios de computadoras de los
estudiantes que necesitaban ser parcheados constantemente. Para complicar aún más la
administración de parches, los estudiantes, el personal, los profesores y los visitantes podían
conectar casi cualquier dispositivo de Internet a la red de UVA. ITS tuvo muy poco control sobre
cómo y cuándo se actualizaron estos dispositivos con los últimos parches de seguridad.

El último vector típico para el ataque fue la explotación de día cero, que no se conocía
públicamente y no tenía un parche o solución disponible para reparar el agujero de seguridad. El
nombre "día cero" vino de la cantidad de días que una organización había sabido acerca de la
vulnerabilidad. Aunque es raro, las hazañas de día cero fueron severas y muy difíciles de detectar y
mitigar. Por lo general, los agentes estatales o ciberdelincuentes muy sofisticados crearon y
utilizaron ataques de día cero. En 2015, solo se reportaron 24 vulnerabilidades de día cero.

La forma más común de mitigar estos tres ataques fue a través de un modelo de seguridad de TI
de "defensa en profundidad". La defensa en profundidad, o la defensa del castillo, fue un enfoque
en capas concebido originalmente como una táctica militar. El sistema de defensa militar
usualmente usaba un muro exterior para proteger a sus ciudadanos, un castillo para proteger
recursos más importantes y un refugio para proteger los activos más valiosos, como el rey o la
reina. En un contexto de seguridad de TI, se utilizó una conceptualización similar, donde la
información más sensible fue identificada y protegida por muchas capas de sistemas. El Anexo 1
muestra las capas de defensa principales que estaban en su lugar en UVA en el momento del
ataque.

La capa 0, también conocida como "el kernel", incluía servidores que contenían los datos
universitarios más confidenciales. Las defensas tecnológicas y de procesos se construyeron
alrededor de esta capa para que solo unas pocas personas y servicios pudieran acceder a los datos.
Esta técnica de protección se llamó endurecimiento. La siguiente capa de protección, la Capa 1,
incluía servidores a los que los empleados y estudiantes podían acceder utilizando sus credenciales
de inicio de sesión (por ejemplo, nombre de usuario y contraseña), incluidos servidores de correo
electrónico, aplicaciones web, etc. La capa final de defensa, la Capa 2, incluía todos los dispositivos
de los empleados y estudiantes y los servidores locales que no tenían información confidencial. En
esta capa, también había un área segmentada para computadoras de investigación utilizadas por
profesores y científicos en la UVA a la que se necesitaba acceder desde organizaciones externas.
No se suponía que ninguna información confidencial residiera en estos servidores, y estos
servidores no podían acceder al resto de la red UVA. El objetivo final del modelo de defensa en
profundidad era fortalecer el perímetro de la red mientras se mantiene un núcleo seguro, detectar
el acceso no autorizado a los recursos y reaccionar ante incidentes de seguridad a medida que
ocurrían. En el caso de UVA, el ciberataque fue detectado por una agencia del gobierno federal
que notificó de inmediato al jefe de seguridad de la información de UVA, quien, a su vez, se
comunicó con su jefe, Evans.

El proyecto Rise of the Phoenix

Cuando Evans abandonó la reunión de BOV, lo primero que hizo fue llamar a Mandiant, una firma
de ciberseguridad reconocida internacionalmente. Casualmente, ella había asistido recientemente
a una conferencia en la que aprendió cómo Mandiant había ayudado a Penn State a navegar en su
ataque cibernético y, afortunadamente, ¡aún tenía la tarjeta del representante de Mandiant en su
billetera! La segunda orden de los negocios era conseguir un contrato firmado con Mandiant, que
autorizaba la Oficina de Adquisiciones de UVA en un tiempo récord. Evans exclamó: "¡Responder
lo más rápido que puedas es importante porque no sabes lo que están haciendo los atacantes!"

Fue un contrato de remediación bastante estándar, y Mandiant estuvo en el lugar en UVA dentro
de las 24 horas. Los representantes llegaron con sus propios dispositivos propietarios que se
conectaron a los servidores de red de UVA para monitorear la actividad y realizar el trabajo
forense necesario. Mandiant descubrió rápidamente que dos atacantes no autorizados de China
habían estado accediendo a los sistemas UVA, probablemente a través de dos sistemas no
parchados, desde abril de 2014. Según la experiencia, sabían que después de obtener acceso, los
ciberataques basados en China tienden a infiltrarse tanto como pueden. , moviéndose
lateralmente mientras infecta tantos sistemas como sea posible. Además de Mandiant, UVA
aprovechó los Servicios de Microsoft para enfocarse en componentes de infraestructura
específicos que debían ser monitoreados y remediados rápidamente.

Sobre la base de esta evaluación inicial, quedó claro que sería necesario un equipo de
administración de alto nivel para controlar la situación, especialmente dado que las redes de UVA
incluían al Centro Médico UVA, una compañía de administración de inversiones que administraba
la dotación de $ 5.3 mil millones de UVA, y una fundación de patentes. Con la ayuda de Pat Hogan,
Evans formó el equipo de Omaha7, compuesto por dos miembros de la BOV, un representante
principal de comunicaciones, un asesor general, gestión de riesgos empresariales, el director de
seguridad de la información, un asesor legal externo y ella misma. El equipo de Omaha fue
responsable de proporcionar supervisión ejecutiva para el esfuerzo de remediación de principio a
fin.

Bajo la guía del equipo de Omaha, Mandiant y Microsoft Services pasaron tres semanas evaluando
el alcance de la infiltración para cubrir el requisito de remediación. Encontraron que 62 servidores
habían sido comprometidos, algunos de los cuales contenían grandes cantidades de datos. En ese
momento, Evans sabía que el esfuerzo de remediación sería tremendo y requeriría la atención de
alguien con amplia experiencia en la gestión de grandes proyectos de TI. La primera persona en la
que pensó fue en Dana German, directora senior de proyectos e iniciativas estratégicas. Con más
de 15 años de experiencia liderando y administrando grandes proyectos de TI en la educación
superior, German había ascendido rápidamente en su clasificación en UVA, y estaba bien
posicionada para liderar este esfuerzo.

Desafortunadamente, el alemán estaba en medio de unas vacaciones de dos semanas. A riesgo de

arruinar las vacaciones de German, y contrariamente a sus instrucciones previas de
"desconectarse por completo", Evans le envió un correo electrónico muy breve pero premonitorio:
¡Espero que lo esté pasando de maravilla! Necesito reunirme con usted el domingo para discutir
un asunto de alta prioridad.

Ese domingo, Evans y German se reunieron para tomar un café en una tienda de comestibles cerca
de su edificio de oficinas. El alemán recuerda bien la reunión:

Después de que ella me informó sobre lo que había ocurrido en las últimas dos semanas, Virginia
me dijo que liberara mi calendario de inmediato. Cuando dije: "¿Como el martes?", Ella dijo: "No,
no lo entiendes, de inmediato". Ahí es cuando la gravedad de la situación realmente me golpeó.

Al día siguiente, se inició un proyecto encubierto llamado Phoenix, con el alemán como director
del proyecto. El Proyecto Phoenix se centrará en los siguientes objetivos de alto nivel:
1. Determinar el alcance de la intrusión. Aunque Mandiant había realizado una investigación
preliminar de la intrusión durante las últimas semanas, fue necesaria una evaluación más
profunda para garantizar que todos tuvieran información completa.

2. Desarrollar un plan de remediación. Un plan detallado para abordar las deficiencias del sistema
debía desarrollarse en los próximos días, y dado que la actividad de remediación final implicaría
reducir todos los sistemas de UVA para permitir la implementación de un nuevo sistema de
seguridad, una de las primeras decisiones sería programar una fase de oscurecimiento.

3. Ejecutar el plan de remediación. La ejecución implicó realizar todas las actividades necesarias
que conducen a la fase de oscurecimiento, que incluyen:

• rastrear las actividades de los atacantes extranjeros y responder según sea necesario,

• desarrollar métodos de procedimiento (MOP) 8 para reconstruir y proteger aplicaciones y datos

críticos en los sistemas comprometidos,

• identificar todas las estaciones de trabajo afectadas por la intrusión,

• evaluar el sistema de gestión de contraseñas de UVA,

• prepararse para apoyar a los usuarios finales durante y después de la fase de oscurecimiento, y
comunicarse con todos los constituyentes internos y externos.

4. Endurecer las defensas de la UVA. Además de todo lo anterior, era obvio que los sistemas de
UVA debían fortalecerse aún más para bloquear la actividad maliciosa.

5. Restaurar servicios. Todos los sistemas deberían restaurarse y probarse hacia el final de la fase
de oscurecimiento.

Para lograr estos objetivos, se necesitaría un gran número de personal diverso. Los desafíos
relacionados con la identificación de los conjuntos de habilidades necesarias, "pedir prestado" al
personal de sus tareas y luego organizarlos en un equipo de alto funcionamiento eran casi
demasiado para comprender.

Organizando un Ejército Stealth

Además del equipo de Omaha de nivel ejecutivo, Evans y German iniciaron nueve equipos de
apoyo en UVA y dos equipos de consultoría externos, uno de Microsoft Services y otro de
Mandiant. Finalmente, la agencia del gobierno federal que originalmente detectó el ataque
continuó involucrada en una capacidad de asesoría (ver Anexo 2).

El equipo de Servidores fue responsable de confirmar qué servidores habían sido infiltrados por
atacantes extranjeros, identificar todas las aplicaciones y datos críticos en los sistemas
comprometidos y construir una lista maestra concisa de remediación con todos los nombres y
cambios del sistema que pudieran ser claramente referenciados por todas las partes con vínculos a
esos servidores. En cada caso, sería necesaria una decisión de jubilación o reconstrucción. Si una
máquina tenía que reconstruirse, se tenía que desarrollar un procedimiento fuera de línea para
hacer una transición perfecta sin afectar las funciones críticas de la Universidad.

El equipo de Specialty Server Remediation se centró en evaluar el efecto de un ataque cibernético

en los sistemas de correo electrónico de la facultad y el personal de la UVA. Los miembros
necesitaban asegurarse de que los servidores comprometidos fueran identificados y remediados
adecuadamente, y configurados para prevenir posibles ataques futuros.

El equipo de la Red se encargó de analizar los segmentos de la red en busca de posibles

infracciones. Tenía que ayudar a monitorear la actividad del atacante, configurar entornos de red
separados que podrían usarse durante la remediación y asegurarse de que estaba claro qué se
apagaba o se mantenía durante el fin de semana de remediación.

El equipo de Estaciones de trabajo tuvo la tarea de ayudar en la investigación y remediación de las

estaciones de trabajo afectadas por la intrusión e implementar dispositivos de monitoreo en un
subconjunto de estaciones de trabajo.

El equipo de Contraseñas fue responsable de la administración de contraseñas como parte de las

actividades de remediación. UVA no había ordenado previamente un cambio en las contraseñas
de las cuentas de usuario como parte de los procedimientos de higiene de seguridad del usuario
final. El equipo necesitaba diseñar un plan para cambiar las contraseñas de las cuentas, hacerlas
más fuertes y hacer que todas las contraseñas de los usuarios existentes expiren en el próximo
inicio de sesión para solicitar la creación de una nueva contraseña. El equipo también tendría que
trabajar con el equipo de soporte de usuarios para garantizar que el volumen de cambios se pueda
administrar sin problemas.

El equipo de Forensics se enfocó en identificar las intrusiones y rastrearlas hasta la fuente. Tenían
que evaluar a qué intentaban acceder las entidades extranjeras. Aprovechando los servicios de
Mandiant, este equipo necesitaría monitorear el entorno continuamente a lo largo del proyecto.

El equipo de soporte de usuarios se enfocó en brindar soporte a los usuarios finales después de
que se implementaron cambios significativos en el frente de seguridad, por ejemplo, nuevos
requisitos de contraseña. Se estimó que entre 40,000 y 50,000 personas necesitarían realizar los
cambios necesarios inmediatamente después de su primer intento de inicio de sesión después de
la implementación.
El equipo de escaneo de datos fue una combinación del personal de Mandiant y el personal de
UVA ITS. El equipo fue responsable de examinar todos los servidores y estaciones de trabajo que
habían sido comprometidos o potencialmente comprometidos para determinar qué datos se
encontraban en la máquina, para comprender si se había expuesto algún dato sensible.

El equipo de Comunicaciones fue responsable de gestionar las comunicaciones del proyecto

desde una perspectiva interna y externa. En el lado interno, el equipo necesitaba garantizar que se
desarrollara un plan de comunicaciones claro y que se siguiera para abordar a todos los
interesados. Esto incluía comunicaciones a los niveles más altos de la UVA (BOV, vicepresidentes y
decanos), todos los profesores, personal, estudiantes, jubilados y ex alumnos. Las partes
interesadas externas incluyeron al fiscal general, la oficina del gobernador, el público en general y
la prensa (por ejemplo, el periódico local y las estaciones de televisión).

El equipo de Servicios de Microsoft se enfocó en componentes de infraestructura específicos que

debían ser monitoreados y fortalecidos rápidamente.

El equipo de Mandiant brindó apoyo para el equipo de Forensics, al mismo tiempo que ayudó a
Evans y German a formular un plan de remediación. El personal de Mandiant se colocó junto a los
equipos de la UVA.

La agencia del gobierno federal tenía un papel de asesor a Evans. Originalmente había alertado al
jefe de seguridad de la información de UVA sobre la presencia de atacantes en la red de UVA y
ahora estaba allí para ayudarlo con las preguntas de alto nivel que los equipos podrían tener.

Dada la gran cantidad de personas involucradas (176 personas en total), fue particularmente
desafiante mantener la agilidad y el secreto. Cada nuevo miembro del equipo tenía que jurar el
secreto antes de ser “leído” (es decir, informado) sobre el proyecto. Para evitar que otros
(especialmente los atacantes) sepan que se detectó una infracción, toda la comunicación se realizó
fuera de los sistemas de UVA, utilizando Google Gmail y Google Docs. Además, se reutilizó un
edificio vacío para que sirviera como lugar de reunión para todos los involucrados en el proyecto.
Esta instalación estaba situada en un área relativamente privada cerca de las oficinas principales
de ITS. Evans se aseguró de que la instalación de la reunión pudiera funcionar como una "sala de
guerra" desde el primer día, con toda la tecnología necesaria, pizarras blancas y un suministro
interminable de refrescos.

Durante la primera reunión de los líderes del equipo, Evans informó al grupo sobre el significado
de la misión. También dejó en claro que este proyecto sería su principal prioridad y que estaría
personalmente involucrada de principio a fin. También destacó algunos de los desafíos y riesgos
clave inherentes a un proyecto como este, incluido lo que podría suceder si el compromiso de
seguridad se hiciera público, los conflictos de programación con los eventos y programas de UVA,
posibles problemas técnicos o de recursos humanos, fallas en la documentación del sistema, etc.
en. Aunque todos los líderes de los equipos tenían un alto nivel de experiencia y estaban
dispuestos a cooperar, pronto se hizo evidente que había diversos grados de lo que significaba la
cooperación. En esos casos especiales, Evans actuó rápidamente para hacer los ajustes necesarios
al personal.

Al aprovechar tanto el apoyo de Evans como sus muchos años de experiencia en la gestión de
grandes proyectos de TI, German centró la atención del grupo sobre cómo se gestionaría el
proyecto. Para tener una oportunidad de un resultado exitoso,

los líderes de los equipos tendrían que operar como un “equipo de equipos”, 9 operando desde un
plan y un cronograma bien orquestados, pero con la agilidad necesaria para responder
rápidamente a medida que surgía nueva información. Alemán comentó:

Habiendo gestionado proyectos grandes y complejos en el pasado, sabía que lo primero que
debíamos hacer era crear una estructura de equipo de proyecto. Luego, asignamos líderes de
equipo y comenzamos a celebrar reuniones cada mañana a las nueve en punto.

Cuando se levantó la sesión, Evans les pidió a los líderes del equipo que limpiaran sus calendarios y
comenzaran a organizar lo que les esperaba. También prometió proporcionar detalles adicionales
del proyecto en el próximo día o dos. Era hora de que Evans y German diseñaran un plan para
enfrentar esta crisis. Durante una de sus reuniones, Hogan subrayó la importancia de su misión
citando una cita del Apolo 13: "El fracaso no es una opción".

Todos recibieron el mensaje.

Preparándose para ir a la oscuridad

Como parte del proceso de remediación, todos los involucrados consideraron necesario que UVA
necesitara apagar su conexión a Internet, o apagarse, por varios días para permitir que los
servidores reconstruidos se conecten, eliminar cualquier cuenta comprometida, evitar Los
atacantes se mueven a otros sistemas y endurecen cada una de las capas de la red para evitar
daños adicionales. Claramente, oscurecer tendría un impacto significativo en muchas partes
interesadas. Evans se lamentó:

¿Qué significa [oscurecer]? ¿Eso significa que todo está abajo? ¿Eso significa que el hospital está
abajo? Descubrir las implicaciones de cortar el Internet para la universidad fue bastante
desafiante. ¿Qué situaciones de emergencia podría crear?
Después de mucha deliberación y en consulta con Hogan, el equipo de Omaha y la mayor cantidad
posible de calendarios de UVA (no existía un calendario central de UVA), Evans y German
establecieron la fase de oscurecimiento para el fin de semana del 14 al 16 de agosto. ser un
verdadero desafío para hacer todo el trabajo de remediación a tiempo, pero los esfuerzos de
remediación deben concluirse antes del inicio del semestre de otoño. La alternativa de esperar
hasta después del inicio del semestre significaba aumentar la probabilidad de que los atacantes o
la duración de la remediación cuando la escuela estaba en pleno apogeo, hiciera daño a la UVA.
Durante ese fin de semana, todos los sistemas serían derribados, reconstruidos, recuperados y
probados. Según la forma en que se realizó el proceso, la comunicación apropiada se enviaría a
todos los interesados internos y externos.

Luego, con una fecha de finalización decidida, Evans y German se sentaron para diseñar un plan de
proyecto para lograr ese objetivo. ¿Qué metodología de proyecto tendría más sentido (basada en
planes o ágil) y qué mejores prácticas de gestión de proyectos deberían emplear? ¿Cuáles fueron
los riesgos conocidos de este proyecto? ¿Cómo y cuándo deben Evans y su equipo comunicarse
con las partes interesadas? Finalmente, cuando se terminó el proyecto, ¿cómo sabrían si fue un
éxito?

Al final resultó que, la próxima reunión de BOV estaba programada para el mismo fin de semana
exacto en la fase de oscurecimiento. Evans ya estaba contemplando cómo sería su próxima
presentación al BOV. ¿Estaría informando sobre una brecha de datos importante, que
posiblemente involucre PII, o una mitigación exitosa del ataque en el que estaban ahora?