Alerta: el MoJ invirtió £50M y aun así no detectó el ciberataque a la Legal Aid Agency durante meses

El Ministerio de Justicia del Reino Unido (MoJ) gastó £50 millones (aprox. $67 millones) en mejoras de ciberseguridad para la Legal Aid Agency (LAA) antes de que se materializara un incidente que hoy se perfila como uno de los más sensibles por volumen y criticidad de datos. Aun con esa inversión, el ciberataque a la Legal Aid Agency con detección tardía habría comenzado a finales de diciembre de 2024 y no fue identificado hasta abril de 2025, según un informe del Public Accounts Committee (PAC) publicado esta semana.

El caso es relevante por dos razones: primero, porque la LAA figuraba desde 2021 con un nivel de riesgo “extremely high” en los registros internos; segundo, porque el propio PAC describe fallos de gobernanza y tiempos de respuesta que amplificaron el impacto operativo y reputacional en plena prestación de servicios críticos de justicia.

¿Qué revela el PAC sobre el ciberataque a la Legal Aid Agency con detección tardía?

El PAC sostiene que los déficits de seguridad eran conocidos y persistentes, y que el MoJ aprobó varias rondas de financiación para mitigarlos. En concreto, el organismo cita tres tramos que totalizan £50 millones: £8,5 millones, £10,5 millones y £32 millones, orientados a abordar problemas de seguridad en el “IT estate” de la LAA.

Pese a ello, MoJ y LAA habrían reconocido ante el comité que la intrusión se inició en diciembre de 2024 y no se detectó hasta abril de 2025. Esa ventana de exposición de varios meses coloca el ciberataque a la Legal Aid Agency con detección tardía en la categoría de incidentes donde el dwell time (tiempo de permanencia del atacante) se vuelve un factor determinante para la exfiltración y la escalada de privilegios.

Un sistema de threat detection llegó, pero no evitó el gap

El informe menciona que parte de los fondos (incluidos dentro del tramo de £10,5 millones) se destinaron a un nuevo sistema de threat detection que finalmente habría sido el que detectó la intrusión en abril. Sin embargo, el PAC apunta que no queda claro cuándo entró en operación efectiva ese sistema, un detalle crítico para entender por qué el ciberataque a la Legal Aid Agency con detección tardía no se observó antes si la organización ya estaba en modo “alto riesgo”.

En comparecencias citadas por el medio original, la CEO de la LAA, Jane Harbottle, indicó que la agencia aseguró fondos para ese sistema en 2024 y sugirió que se desplegó después de diciembre de 2024, pero sin precisar una fecha de puesta en marcha.

Del detection al shutdown: otro retraso bajo presión operativa

El PAC también señala un segundo desfase: entre la detección en abril y la decisión de desconectar servidores casi un mes después, ya en mayo. Según el comité, la LAA no entendió inicialmente el alcance de la exfiltración y creyó que el incidente afectaba solo a datos de proveedores de legal aid; por ello, comunicó primero un posible acceso a información financiera (por ejemplo, account y transaction data) asociada a esos proveedores.

El 16 de mayo, la LAA habría concluido que el ataque era mucho más amplio y que los atacantes accedieron a una gran cantidad de información potencialmente relacionada con solicitantes de asistencia legal. En ese momento, indicó que la primera entrada conocida al sistema databa del 31 de diciembre de 2024 y procedió a apagar sistemas. Este encadenamiento refuerza el diagnóstico del ciberataque a la Legal Aid Agency con detección tardía como un fallo tanto de capacidades técnicas (detección/visibilidad) como de gestión del incidente (evaluación de impacto y contención).

Entre el 23 de abril y el 16 de mayo, se habrían mantenido discusiones diarias entre la LAA y el MoJ para equilibrar “access to justice” con el riesgo de mantener sistemas en línea tras una intrusión activa o recientemente identificada. El comité describe que la fase de contingencia fue dura para el sector legal: aunque la LAA afirma que no hubo salida de proveedores del mercado, el impacto operativo fue calificado como “brutal”.

Pagos de contingencia y backlog: el impacto financiero y de procesos

Durante la contingencia, la LAA mantuvo el flujo de fondos a proveedores mediante pagos promedio calculados a partir de los tres meses previos al incidente. La agencia reconoce que eso pudo generar sobrepagos y que los recuperará con el tiempo, a un ritmo del 25% respecto a la velocidad con la que se emitieron. En términos prácticos, la propia LAA estima que por cada semana bajo contingencia, necesitará aproximadamente un mes para recuperar ese dinero, lo que convierte el cierre administrativo del evento en un proceso de larga duración.

Más presupuesto para transformar el IT estate

La secretaria permanente del MoJ, Dr Jo Farrar, declaró que la LAA probablemente necesite más financiación para completar la transformación de su infraestructura y aplicaciones. También reconoció que algunas partidas se destinaron a mitigations en lugar de reemplazos completos de sistemas, una estrategia habitual en entornos legacy, pero que en este caso queda bajo escrutinio por el resultado: el ciberataque a la Legal Aid Agency con detección tardía ocurrió pese a estar identificado como el sistema de mayor riesgo del departamento.

Farrar añadió que el MoJ revisó “comprehensively” sus sistemas para identificar debilidades y que dispone de una visión clara de riesgos, aunque subrayó el coste elevado de modernizar y asegurar plataformas en el contexto de amenazas cada vez más sofisticadas.

Contexto: por qué este caso importa para ciberseguridad en el sector público

Más allá del caso LAA, el episodio reabre el debate sobre la eficacia real de las inversiones en security cuando el gasto se distribuye entre herramientas, mitigations y deuda técnica estructural. En incident response, la diferencia entre invertir y reducir riesgo se mide por métricas operativas: time to detect, time to contain, cobertura de logging/telemetría, y la capacidad de hacer triage rápido del alcance. El ciberataque a la Legal Aid Agency con detección tardía sugiere brechas en varios de esos eslabones, especialmente en visibilidad temprana y en la comprensión del impacto antes de ejecutar un shutdown.

Como referencia de buenas prácticas y guías de alto nivel para organizaciones públicas y privadas, pueden consultarse las recomendaciones del National Cyber Security Centre (NCSC) del Reino Unido en su portal oficial: https://www.ncsc.gov.uk/.

En paralelo, para estándares y marcos ampliamente adoptados en gestión de riesgo y controles de ciberseguridad, el NIST mantiene documentación y publicaciones oficiales en: https://www.nist.gov/cybersecurity.

Cierre

Con un sistema catalogado internamente como “extremely high risk” desde 2021, y con £50 millones asignados a mejoras, el ciberataque a la Legal Aid Agency con detección tardía se convierte en un caso de estudio incómodo: invertir en security no garantiza resiliencia si el despliegue de detección, la respuesta y la modernización del IT estate no llegan a tiempo o no están alineados con el riesgo real del servicio.