Un ataque informático bloquea la web del SEPE e impide operar en las oficinas de empleo

Un grupo de ciberdelincuentes paralizó ayer la actividad del Servicio Público de Empleo Estatal (SEPE), el organismo encargado de pagar las prestaciones a cuatro millones de españoles en situación de desempleo y a otros 900.000 acogidos a un ERTE. Durante la jornada, las 710 oficinas que prestan servicio presencial y las 52 que lo hacen de forma telemática no estuvieron operativas debido a un virus que afectó al sistema informático y que imposibilitó el acceso a su página web. Los funcionarios contactaron en algunos casos por teléfono con aquellos ciudadanos que tenían una cita para explicar que no podían atender sus consultas al no tener acceso a ningún equipo, ni los de las oficinas ni los portátiles de quienes están en teletrabajo.

Tal y como informó el sindicato CSIF y confirmaron posteriormente desde el Ministerio de Trabajo, se trata de un virus (malware) del tipo ransomware, que cifra los archivos de los equipos afectados para posteriormente pedir un rescate a cambio de liberarlos. Un hecho que encendió las alarmas, dado que el SEPE maneja una ingente cantidad de datos sensibles, no solo de los ciudadanos, sino también de las empresas.

Sin embargo, el director general del servicio público de empleo, Gerardo Gutiérrez, afirmó en declaraciones a Radio Nacional y la Ser que el ataque solo afectó a «archivos compartidos» y no a los sistemas informáticos ni a los de gestión, como el que se encarga de la confección de las nóminas de los desempleados, «que se seguirán abonando como siempre». Negó también que se haya producido una brecha que haya podido provocar la filtración de datos personales y aseguró que no habrá pérdida de información porque el organismo realiza copias de seguridad a diario.

Según Gutiérrez, los piratas no han solicitado un rescate para desbloquear la información, por lo que interpreta que se trata de un ataque que busca minar la reputación del organismo, que se puso en manos de los expertos del Centro Criptológico Nacional.

Una versión, la de que no hay una petición de rescate que, según explican los expertos, se entiende porque no se puede reconocer que se cede a la extorsión (al igual que las autoridades negaban haber pagado para liberar barcos secuestrados en la costa somalí) pero que no casa muy bien ni con el modus operandi de este tipo de ataque, en el que se ha empleado un conocido programa malicioso denominado Ryuk (en concreto, la última versión del mismo, en palabras del propio director del SEPE). Se trata de un malware que ha provocado antes quebraderos de cabeza a numerosas empresas y organismos públicos españoles, con ataques a algunas aseguradoras en las últimas semanas.

Desde Tarlogic, empresa gallega de ciberseguridad que trabaja con algunas de las grandes corporaciones cotizadas del país en la prevención de este tipo de ciberataques, explican que en los ataques mediante ransomware es habitual que se exija el pago de un rescate en criptomonedas, que se puede mover en un rango de entre 60.000 a un millón de euros, en función de la información comprometida. En el caso concreto de Ryuk, añaden, hay detrás un grupo «que no se deja presionar y con el que no se puede negociar», que en caso de no abonar la cantidad solicitada no libera o incluso expone la información, explica Borja Merino, responsable del equipo de Threat Hunting (caza de amenazas).

José Lancharro, director de BlackArrow, la división de Tarlogic que engloba los servicios de seguridad ofensiva (Theat Hunting y Red Team), asegura que la dimensión real del ciberataque se conocerá en los próximos días, y que de ella dependerá el tiempo que tardará el sistema en poder volver a estar operativo. El experto explica que, en casos como este, lo habitual es que los atacantes se infiltren a través de un equipo de la red usando técnicas de phishing (como archivos adjuntos en un correo) que cuando se ejecutan les permiten tomar el control del equipo y, a través de él, se van expandiendo por el resto de la red hasta que consiguen adquirir privilegios de administrador que les dan control sobre la totalidad del dominio, lo cual incluye archivos o sistemas. Es ahí, tras horas o días (según el caso) operando desde dentro, cuando lanzan el ataque, que es más sencillo de ejecutar en equipos que, como denuncian los sindicatos en el caso del SEPE, tienen en algunos casos más de 30 años y que son más vulnerables al no proporcionar los fabricantes parches de seguridad.

Comunicar si se filtran datos

Desde el punto de vista de la protección de datos, desde la también gallega Alcatraz Solutions explican que cualquier empresa u organismo debe notificar las violaciones de seguridad ante la Agencia Española de Protección de Datos en un plazo de 72 horas, salvo que se entienda que no ha habido un riesgo. Si lo hay y es alto «el SEPE debería ponerse en contacto sin dilación con los afectados para informar sobre la violación y que estos puedan tomar medidas para protegerse de posibles consecuencias».

---

---

---