SEGURIDAD INFORMÁTICA

Ciberataque al SEPE: “Es cuestión de tiempo que pidan un rescate”

Las incursiones de ransomware responden a un “modelo de negocio” que incluye desarrolladores, programas a medida, comisiones y criptomonedas
La parálisis del sistema informático del SEPE afecta también a las demandas de empleo y pensiones de las comunidades autónomas y la Seguridad Social
Mapfre, Adeslas, los ayuntamientos de Bilbao y Jerez y un buen número de hospitales han sido víctimas de ataques similares en los dos últimos años
Publicamos esta información en abierto gracias a los socios y socias de infoLibre. Sin su apoyo, nuestro proyecto no existiría. Hazte con tu suscripción o regala una haciendo click aquí. La información que recibes depende de ti.

Las oficinas del SEPE han tenido que cerrar por culpa de un ciberataque. ÓSCAR CAÑAS / EUROPA PRESS

Los funcionarios del Servicio Público de Empleo Estatal (SEPE) de Boiro, en la provincia de A Coruña, han creado grupos de WhatsApp para comunicarse con sus superiores en las jefaturas y en la dirección provincial del organismo. Y atienden “con lápiz y papel” a los ciudadanos que tenían cita previa para este segundo día sin ordenadores ni teléfonos. Su directora, Pilar Seoane, cuenta que han tenido que desempolvar impresos para renovar las demandas de empleo que se habían quedado “olvidadas en cajas antiguas” a fin de iniciar los trámites. El SEPE fue de los primeros organismos públicos que se convirtieron en “oficinas sin papel” cuando la Administración se apresuraba por volverse electrónica. Pero este martes ha regresado al siglo XX tras quedar inoperativo e incomunicado por culpa de un ciberataque que ha inutilizado el sistema informático de sus casi 800 oficinas en toda España, el mismo que gestiona decenas de miles de prestaciones de desempleo y de los ERTE.

Los responsables del SEPE repiten este miércoles que no ha habido sustracción de datos y que ni los sistemas operativos y de gestión ni los servidores han resultado dañados. Las nóminas de prestaciones, por tanto, no se verán afectadas. También dicen que nadie ha exigido un rescate por recuperar los archivos que los piratas informáticos han bloqueado. Sin embargo, José Lancharro, director de la división de BlackArrow, y Borja Merino, responsable del servicio de threat huting de la empresa de ciberseguridad Tarlogic, lo dudan: “Es sólo cuestión de tiempo que pidan un rescate”, destacan. Se trata del modo habitual de operar de estos delincuentes. Suelen enviar un correo electrónico a un funcionario que contiene un adjunto malicioso comprometen un ordenador. “Ya tienen un pie en el sistema”, explican, “luego pueden tardar días, o sólo horas, en conseguir los privilegios suficientes para infectar toda la red, por lo general no es un proceso instantáneo”.

Cuando han cifrado todos los ficheros, pasan a la extorsión, que puede ser doble: exigen dinero para liberar la información secuestrada y para evitar que ésta se haga pública. En este caso, pueden ser millones de datos confidenciales de ciudadanos. “Los delincuentessuelen dejar un fichero con un texto donde incluyen los datos necesarios para pagar”, advierten Lancharro y Merino. Normalmente, en criptomonedas, una forma casi anónima, barata –sin comisiones–, sin control de las autoridades e internacional, de mover dinero.

Los precios varían, según la valoración que los propios piratas hayan realizado del material secuestrado y cuyo rescate (ransom en inglés, de ahí ransomware) exigen. Merino menciona el millón de dólares que llegaron a pedir por el material bloqueado a una empresa privada europea. Pese a que la recomendación unánime de policías y expertos es que no se ceda al chantaje, se calcula que hasta un 40% de las víctimas paga. Al menos es la cifra reconocida públicamente , lo que da pie a pensar que la cifra real es superior. “Quien paga desde luego no lo dice”, apunta.

Programas a medida, comisiones por ganancias

Detrás de estos ciberataques hay un nuevo tipo de delincuentes que viven de la extorsión. Los responsables de Tarlogic aseguran que se trata de un “modelo de negocio”, y muy lucrativo. Grupos perfectamente organizados que compran un ransomware, en el caso del SEPE un programa denominado Ryuk que ya ha aparecido en múltiples ciberataques anteriores. Cualquiera, apuntan Lancharro y Merino, puede adquirir “un ejemplar, pero también toda la plataforma” a un desarrollador y luego explotarlo. El desarrollador cobra una comisión de lo que obtiene el que extorsiona. Incluso puede prepararse un malware a “medida”malware, lo que hace inútiles hasta los antivirus más actualizados, subrayan los expertos de Tarlogic.

Es lo que puede haber ocurrido en el SEPE. Sus responsables aseguran que no se ha comprometido información sensible porque cuentan con una copia de seguridad de todos los archivos realizada el día anterior al ataque. Pero José Lancharro llama la atención sobre la fecha que figuraba en un primer momento en la página web del SEPE tras el ciberataque, 2018 aunque después la fecha ha cambiado.“Quizá ese backup no es el más actualizado ni el idóneo”, advierte. Porque es posible que la entrada de los piratas se produjera antes de esa última copia de seguridad yestaría, por tanto, contaminada.

Ahora quedan días, o incluso semanas por delante para averiguar desde cuándo están los agentes maliciosos en la red del SEPE, qué copias de seguridad están sanas y cuáles se deben recuperar, una tarea en la que están centrados los informáticos del Centro Criptológico Nacional y de la Secretaría General de la Administración Digital. Según responde esta secretaría a las preguntas de infoLibre, las administraciones públicas cuentan como mecanismo de seguridad con el Esquema Nacional de Seguridad (ENS), que detecta las intrusiones y los códigos dañinos, además de gestionar incidentes como el ocurrido en el SEPE esta semana.

El SEPE ha anunciado enseguida que los plazos de las solicitudes de prestaciones no van a computar mientras el sistema de gestión no se restablezca totalmente. De modo que no se resentirán los derechos de quienes solicitan las prestaciones y subsidios, mientras que las demandas de empleo se renovarán de forma automática mientras dure la parálisis informática. Sin embargo, Pilar Seoane, que también es secretaria general de la Sección Sindical de CCOO en el Ministerio de Trabajo, explica que el ciberataque también está perjudicando a las consejerías de Trabajo de las comunidades autónomas y a la Seguridad Social, que necesitan datos en poder del SEPE para tramitar demandas de empleo o pensiones, por ejemplo.

Los problemas del SEPE con la informática

En cualquier caso, los problemas del SEPE con la informática no son nuevos. Según denuncia Seoane, los programas de nóminas que utilizan los funcionarios “son de hace 30 años”, y soportan múltiples parches. Cuando se pusieron en marcha los ERTE, la avalancha de expedientes y su enorme complejidad de tramitación hizo estallar el pasado verano el programa informático de fabricación interna que se eligió para la tarea. Como publicó entonces infoLibre, los múltiples errores en los ficheros tuvieron que ser corregidos “a mano”, uno a uno, por los funcionarios, lo que redundó en un considerable retraso en la aprobación de las prestaciones para los trabajadores afectados.

El SEPE recupera el servicio de cita previa y presolicitud de prestaciones

Los presupuestos del Ministerio de Trabajo incluyen una partida de 73,6 millones de euros para digitalización, de los que 49,8 millones se destinarán al SEPE. Ya antes, los de 2016 asignaban 100 millones a la “modernización” del organismo, pero sólo se gastaron 60, según denunció en su momento UGT.

El SEPE no es el primer organismo público víctima de un ataque de este tipo, antes ya lo habían sufrido los ayuntamientos de Bilbao y Jerez de la Frontera (Cádiz). En 2019, más de 30 organismos públicos y empresasempresas españolas resultaron afectadas por ciberataques por ransomware, de acuerdo con las cifras del Centro Criptológico Nacional. En agosto de 2020 Mapfre denunció a la Guardia Civil el pirateo que dejó durante días sin servicio a sus clientes. En septiembre el objetivo fue SegurCaixa Adeslas, pero su paralización, con problemas para realizar pruebas médicas y con las pólizas de los clientes, se prolongó durante al menos mes y medio. Un año antes, los perjudicados habían sido hospitales de Asturias, Castilla y León y la Comunidad Valenciana. El de Torrejón de Ardoz, en Madrid, también fue infiltrado por un programa con la extensión .ryuk en enero de 2020.

En general, según los datos del Centro Criptológico Nacional, el 23 % de las grandes empresas españolas sufrió algún incidente de seguridad en 2019. Ese año, el centro gestionó un total de 42.997 ciberincidentes, un 11 % más respecto a 2018, pero más del doble de los 20.807 que atendió en 2016. Una tendencia que durante 2020, el año del confinamiento, el teletrabajo y el acceso remoto, ha repuntado aún más, según advierten los expertos.

Más sobre este tema