A fondo: Un ataque de ‘ransomware’ tumba los servicios del SEPE

Los problemas se le acumulan al Servicio Público Estatal de Empleo (SEPE). Al gran volumen de trabajo generado durante los últimos meses a raíz de la pandemia de coronavirus y las tramitaciones de los expedientes de regulación temporal de empleo (ERTE), se le suma ahora la caída total del servicio.

Sus sistemas informáticos han sufrido un ciberataque que ha obligado a este organismo público dependiente del Ministerio de Trabajo y Economía Social a suspender su actividad. Los ordenadores de los empleados en los que se detectó el ataque fueron apagados el martes a primera hora como medida de seguridad.

Tanto las oficinas presenciales que se reparten por todo el territorio nacional como el servicio telemático se han visto paralizados. Las citas se han aplazado, lo que afecta a muchos usuarios en situación vulnerable en un momento especialmente sensible para la economía y la sociedad en general. A estas horas del miércoles un comunicado en la página del SEPE advierte de que “por causas ajenas” el sitio web y la sede electrónica siguen sin estar operativos.

Detrás del ataque parece estar el ransomware Ryuk. Este tipo de programas maliciosos infectan dispositivos para pedir un rescate a cambio de su liberación. Lo que hacen es secuestrar archivos, cifrándolos y amenazando con su publicación, para que las víctimas no se lo piensen y paguen. Es una de las amenazas más rentables para los cibercriminales, de ahí que sea recurrente. Según un estudio de Proofpoint, un 66% de los profesionales españoles de seguridad confiesa que su empresa sufrió en 2020 una infección por ransomware.

Las Administraciones públicas no están libres de riesgo y, en ocasiones, su madurez tecnológica es menor que en el sector privado. “Cuando se produce un ataque a gran escala como este quiere decir que los atacantes ya llevaban un tiempo dentro de la red, comprometiendo la mayoría de los sistemas de la organización”, aventura Luis Corrons, Security Evangelist de Avast, que subraya “el estado de colapso” en el que se ha instalado el SEPE “debido a la avalancha de archivos que debe gestionar desde el inicio de la pandemia”.

“El SEPE necesita que los ordenadores conectados a su red funcionen para poder trabajar. Sin embargo, hasta que se haya eliminado la infección, se hayan restaurado las copias de seguridad y se haya parcheado el origen del ataque, cualquier ordenador que se conecte a esta red estará en peligro. Por tanto, no podrán trabajar de ninguna manera”, indica este experto.

“Además, un ataque de ransomware encripta todos los datos, por lo que, si la información de los servidores se ha visto afectada, no tendrán ningún dato con el que trabajar”, añade Corrons, que también explica que, “en la mayoría de los casos, los atacantes no se limitan a cifrar los datos, sino que se llevan una copia de toda a información para aumentar la petición del rescate”.

En este sentido y para calmar los ánimos, el propio director general del SEPE ha hablado sobre el ataque y asegura que “los datos confidenciales están a salvo”. Gerardo Gutiérrez ha querido tranquilizar sobre lo sucedido y ha informado de que “no está afectado el sistema de generación de nóminas”, por lo que “el pago de prestaciones por desempleo y ERTE se abonarán con normalidad”. Las personas que tenían una cita concertada “están siendo contactadas y se está trabajando para solucionar la situación cuanto antes”.

Un tiempo de recuperación incierto

¿Cuánto tardará en solucionarse? La comunidad de ciberseguridad no es muy optimista. Ryuk es un viejo enemigo. “Fue identificado por primera vez en agosto de 2018 y desde entonces se ha visto siendo utilizado por diversos grupos de criminales profesionales consiguiendo un gran impacto global en diversas empresas e instituciones en distintos sectores”, cuenta Daniel Creus, analista sénior del equipo de investigación y análisis de Kaspersky.

“Recientemente”, señala, “ANSSI (Agencia Nacional de Seguridad Francesa) publicó un informe sobre Ryuk exponiendo una nueva y reciente técnica añadida a este ramsonware: la capacidad de propagarse por una red local de manera automática”. Es decir, este software malicioso ha asimilado las capacidades típicas de un gusano.

Esta y otras formas de actuar del malware tipo ransomware son conocidas. Usuarios, empresas y entidades públicas deberían ser conscientes del peligro y prepararse para plantarle cara cuando intenta causar estragos.

“Hace unos meses”, recuerda Luis Corrons, “Endesa sufrió un ataque de ransomware que también fue noticia. Sin embargo, se recuperaron en cuestión de horas, lo que significa que detectaron el ataque en una fase temprana. El nivel de preparación en este caso no parece ser el mismo, y me temo que puede llevar semanas, si no más tiempo, volver a la normalidad. Aunque no tenemos la imagen completa”, matiza, “el hecho de que las operaciones de las oficinas se detuvieran y los servicios como el sitio web del SEPE cayeran, hace pensar que los atacantes tuvieron acceso a la mayor parte de su infraestructura”.

En este suceso “la superficie de ataque es enorme”, indica Corrons, “y el mínimo clic erróneo puede iniciar el ataque. En cualquier caso, se pueden tomar varias medidas para minimizar el riesgo: tener todo el software de los ordenadores actualizado, tenerlos protegidos con un software de seguridad y enseñar a los empleados a reconocer los ataques de phishing”.

“Ahora bien, si el sistema se ha visto comprometido, como es el caso, habrá que buscar pistas que permitan a la organización detectar dónde está la brecha lo antes posible. Supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red puede indicar que algo va mal y evitar un ataque a gran escala”, puntualiza.

Prevenir  y formar

Los estudios que se han hecho sobre concienciación en temas de seguridad muestran que en España todavía somos grandes desconocedores de lo que suponen los ataques de ransomware. El 42 % de los trabajadores españoles no sabe contestar qué es el ransomware y 3 de cada 10 dan una respuesta incorrecta.

“Las consecuencias de esta falta de concienciación en ciberseguridad pueden resultar devastadoras no sólo porque estos ataques son capaces de paralizar servicios vitales para la economía y las personas, como es el caso del SEPE, sino que además pueden suponer un el elevado coste económico y reputacional al dejar una gran cantidad de información sensible sobre los usuarios en manos de los atacantes”, razona Fernando Anaya, Country Manager de Proofpoint.

Los expertos desaconsejan caer en el chantaje. Pagar el rescate no es la solución, porque no hay garantías de que el ataque no vaya a seguir adelante. Lo mejor es prevenir y contar con “una respuesta preparada y probada antes de que se produzca un ataque”, explican desde Proofpoint, “contemplando distintos escenarios. En esta protección proactiva, las organizaciones necesitarían disponer de sólidas copias de seguridad de sus datos almacenadas de manera externa y aplicar rutinariamente parches que mantengan los sistemas actualizados. También se recomienda utilizar gateways de correo electrónico avanzados a fin de evitar que las amenazas lleguen a los empleados en primer lugar”.

Esto significa que hay que invertir en tecnología. Pero también es básico formar a los trabajadores. El ser humano sigue siendo el eslabón más débil de la cadena de seguridad, ya que una mala interacción puede desencadenar el desastre. Limitar privilegios y controlar los accesos es otra parte fundamental de la salud cibernética.