X

La buena información es más valiosa que nunca | Suscríbete a infoLibre por sólo 1 los primeros 15 días

Buscador de la Hemeroteca
Regístrate
INICIAR SESIÓN
¿Olvidaste tu contraseña?
infolibre Periodismo libre e independiente
Secciones
SEGURIDAD INFORMÁTICA

Ciberataque al SEPE: “Es cuestión de tiempo que pidan un rescate”

  • Las incursiones de ransomware responden a un “modelo de negocio” que incluye desarrolladores, programas a medida, comisiones y criptomonedas
  • La parálisis del sistema informático del SEPE afecta también a las demandas de empleo y pensiones de las comunidades autónomas y la Seguridad Social
  • Mapfre, Adeslas, los ayuntamientos de Bilbao y Jerez y un buen número de hospitales han sido víctimas de ataques similares en los dos últimos años
  • Publicamos esta información en abierto gracias a los socios y socias de infoLibre. Sin su apoyo, nuestro proyecto no existiría. Hazte con tu suscripción o regala una haciendo click aquí. La información que recibes depende de ti.

Publicada el 11/03/2021 a las 06:00 Actualizada el 11/03/2021 a las 09:35
Las oficinas del SEPE han tenido que cerrar por culpa de un ciberataque.

Las oficinas del SEPE han tenido que cerrar por culpa de un ciberataque.

ÓSCAR CAÑAS / EUROPA PRESS

Los funcionarios del Servicio Público de Empleo Estatal (SEPE) de Boiro, en la provincia de A Coruña, han creado grupos de WhatsApp para comunicarse con sus superiores en las jefaturas y en la dirección provincial del organismo. Y atienden “con lápiz y papel” a los ciudadanos que tenían cita previa para este segundo día sin ordenadores ni teléfonos. Su directora, Pilar Seoane, cuenta que han tenido que desempolvar impresos para renovar las demandas de empleo que se habían quedado “olvidadas en cajas antiguas” a fin de iniciar los trámites. El SEPE fue de los primeros organismos públicos que se convirtieron en “oficinas sin papel” cuando la Administración se apresuraba por volverse electrónica. Pero este martes ha regresado al siglo XX tras quedar inoperativo e incomunicado por culpa de un ciberataque que ha inutilizado el sistema informático de sus casi 800 oficinas en toda España, el mismo que gestiona decenas de miles de prestaciones de desempleo y de los ERTE.

Los responsables del SEPE repiten este miércoles que no ha habido sustracción de datos y que ni los sistemas operativos y de gestión ni los servidores han resultado dañados. Las nóminas de prestaciones, por tanto, no se verán afectadas. También dicen que nadie ha exigido un rescate por recuperar los archivos que los piratas informáticos han bloqueado. Sin embargo, José Lancharro, director de la división de BlackArrow, y Borja Merino, responsable del servicio de threat huting de la empresa de ciberseguridad Tarlogic, lo dudan: “Es sólo cuestión de tiempo que pidan un rescate”, destacan. Se trata del modo habitual de operar de estos delincuentes. Suelen enviar un correo electrónico a un funcionario que contiene un adjunto malicioso comprometen un ordenador. “Ya tienen un pie en el sistema”, explican, “luego pueden tardar días, o sólo horas, en conseguir los privilegios suficientes para infectar toda la red, por lo general no es un proceso instantáneo”.

Cuando han cifrado todos los ficheros, pasan a la extorsión, que puede ser doble: exigen dinero para liberar la información secuestradapara evitar que ésta se haga pública. En este caso, pueden ser millones de datos confidenciales de ciudadanos. “Los delincuentes suelen dejar un fichero con un texto donde incluyen los datos necesarios para pagar”, advierten Lancharro y Merino. Normalmente, en criptomonedas, una forma casi anónima, barata –sin comisiones–, sin control de las autoridades e internacional, de mover dinero.

Los precios varían, según la valoración que los propios piratas hayan realizado del material secuestrado y cuyo rescate (ransom en inglés, de ahí ransomware) exigen. Merino menciona el millón de dólares que llegaron a pedir por el material bloqueado a una empresa privada europea. Pese a que la recomendación unánime de policías y expertos es que no se ceda al chantaje, se calcula que hasta un 40% de las víctimas paga. Al menos es la cifra reconocida públicamente , lo que da pie a pensar que la cifra real es superior. “Quien paga desde luego no lo dice”, apunta.

Programas a medida, comisiones por ganancias

Detrás de estos ciberataques hay un nuevo tipo de delincuentes que viven de la extorsión. Los responsables de Tarlogic aseguran que se trata de un “modelo de negocio”, y muy lucrativo. Grupos perfectamente organizados que compran un ransomware, en el caso del SEPE un programa denominado Ryuk que ya ha aparecido en múltiples ciberataques anteriores. Cualquiera, apuntan Lancharro y Merino, puede adquirir “un ejemplar, pero también toda la plataforma” a un desarrollador y luego explotarlo. El desarrollador cobra una comisión de lo que obtiene el que extorsiona. Incluso puede prepararse un malware a “medida”, lo que hace inútiles hasta los antivirus más actualizados, subrayan los expertos de Tarlogic.

Es lo que puede haber ocurrido en el SEPE. Sus responsables aseguran que no se ha comprometido información sensible porque cuentan con una copia de seguridad de todos los archivos realizada el día anterior al ataque. Pero José Lancharro llama la atención sobre la fecha que figuraba en un primer momento en la página web del SEPE tras el ciberataque, 2018 aunque después la fecha ha cambiado.“Quizá ese backup no es el más actualizado ni el idóneo”, advierte. Porque es posible que la entrada de los piratas se produjera antes de esa última copia de seguridad y estaría, por tanto, contaminada. 

Ahora quedan días, o incluso semanas por delante para averiguar desde cuándo están los agentes maliciosos en la red del SEPE, qué copias de seguridad están sanas y cuáles se deben recuperar, una tarea en la que están centrados los informáticos del Centro Criptológico Nacional y de la Secretaría General de la Administración Digital. Según responde esta secretaría a las preguntas de infoLibre, las administraciones públicas cuentan como mecanismo de seguridad con el Esquema Nacional de Seguridad (ENS), que detecta las intrusiones y los códigos dañinos, además de gestionar incidentes como el ocurrido en el SEPE esta semana.

El SEPE ha anunciado enseguida que los plazos de las solicitudes de prestaciones no van a computar mientras el sistema de gestión no se restablezca totalmente. De modo que no se resentirán los derechos de quienes solicitan las prestaciones y subsidios, mientras que las demandas de empleo se renovarán de forma automática mientras dure la parálisis informática. Sin embargo, Pilar Seoane, que también es secretaria general de la Sección Sindical de CCOO en el Ministerio de Trabajo, explica que el ciberataque también está perjudicando a las consejerías de Trabajo de las comunidades autónomas y a la Seguridad Social, que necesitan datos en poder del SEPE para tramitar demandas de empleo o pensiones, por ejemplo.

Los problemas del SEPE con la informática

En cualquier caso, los problemas del SEPE con la informática no son nuevos. Según denuncia Seoane, los programas de nóminas que utilizan los funcionarios “son de hace 30 años”, y soportan múltiples parches. Cuando se pusieron en marcha los ERTE, la avalancha de expedientes y su enorme complejidad de tramitación hizo estallar el pasado verano el programa informático de fabricación interna que se eligió para la tarea. Como publicó entonces infoLibre, los múltiples errores en los ficheros tuvieron que ser corregidos “a mano”, uno a uno, por los funcionarios, lo que redundó en un considerable retraso en la aprobación de las prestaciones para los trabajadores afectados.

Los presupuestos del Ministerio de Trabajo incluyen una partida de 73,6 millones de euros para digitalización, de los que 49,8 millones se destinarán al SEPE. Ya antes, los de 2016 asignaban 100 millones a la “modernización” del organismo, pero sólo se gastaron 60, según denunció en su momento UGT.

El SEPE no es el primer organismo público víctima de un ataque de este tipo, antes ya lo habían sufrido los ayuntamientos de Bilbao y Jerez de la Frontera (Cádiz). En 2019, más de 30 organismos públicos y empresas españolas resultaron afectadas por ciberataques por ransomware, de acuerdo con las cifras del Centro Criptológico Nacional. En agosto de 2020 Mapfre denunció a la Guardia Civil el pirateo que dejó durante días sin servicio a sus clientes. En septiembre el objetivo fue SegurCaixa Adeslas, pero su paralización, con problemas para realizar pruebas médicas y con las pólizas de los clientes, se prolongó durante al menos mes y medio. Un año antes, los perjudicados habían sido hospitales de Asturias, Castilla y León y la Comunidad Valenciana. El de Torrejón de Ardoz, en Madrid, también fue infiltrado por un programa con la extensión .ryuk en enero de 2020.

En general, según los datos del Centro Criptológico Nacional, el 23 % de las grandes empresas españolas sufrió algún incidente de seguridad en 2019. Ese año, el centro gestionó un total de 42.997 ciberincidentes, un 11 % más respecto a 2018, pero más del doble de los 20.807 que atendió en 2016. Una tendencia que durante 2020, el año del confinamiento, el teletrabajo y el acceso remoto, ha repuntado aún más, según advierten los expertos.

 

Suscríbete a infoLibre, forma parte de un periodismo honesto

Creemos en la información. Queremos que tú seas su dueño para que no dependa de nadie más. Por eso, nuestro proyecto se basa en la existencia de socias y socios comprometidos que nos permiten investigar y contar lo que pasa sin ataduras. Si eres uno de ellos, gracias. Sabes que puedes regalar una suscripción haciendo click aquí. Si no lo eres y quieres hacerte con una, este es el enlace. La información que recibes depende de ti.
Más contenidos sobre este tema




4 Comentarios
  • leandro leandro 12/03/21 02:16

    Da pero que mucho miedo . No tenemos una frontera ni moral ni física ni ninguna seguridad de lo que puede surgir de la red , y no hablo de twist ni faces ni cosao así , hablo de todo lo que hoy en día somos . y culpo al sistema americano de su dejadez para que esto haya sucedido porque se suponían ganrantes y europa con las bolas al aire . No puede ser .

    Responder

    Denunciar comentario

    0

    0

  • 74camilo 74camilo 11/03/21 15:31

    Ataques mafiosos a organismos públicos básicos cuando hay un gobierno de izquierdas. Curioso....

    Responder

    Denunciar comentario

    0

    1

  • CinicoRadical CinicoRadical 11/03/21 11:24

    como siempre detrás de los métodos de delincuencia .Una actualización de la administración no sería en vano.

    De origen ruso ,decían proceder el ataque .. Y que hacían copias de seguridad todos los días.
    Veremos.

    Responder

    Denunciar comentario

    0

    1

  • carmapeCar carmapeCar 11/03/21 07:59

    Con este ataque queda constancia de la inseguridad que tienen nuestras administraciones ante los delincuentes informáticos. Estamos casi desprotegidos y en manos de estos delincuentes. Que pueden hacer con nuestros datos que seguramente han robado?. Muchas leyes de protección de datos y luego, en lo principal, que es proteger los datos estamos totalmente expuestos. Que peligrosamente tienen las nuevas tecnologías, estamos totalmente desprotegidos

    Responder

    Denunciar comentario

    0

    4

 
Opinión