El ciberataque al SEPE y sus consecuencias: el análisis de los especialistas

El ransomware de origen ruso Ryuk mantiene, 24 horas después de iniciarse el ataque, paralizada la infraestructura TI del Servicio Público Estatal de Empleo (SEPE), dependiente del Ministerio de Trabajo y Economía Social. Un organismo vital, más en tiempos de covid, del que dependen 100.000 prestaciones diarias, entre las que se encuentran el pago de cerca de 700.000 ERTE mensuales (Expendiente de Regulación Temporal de Empleo), y que en estos momentos están en el aire. A pesar de que se ha activado una línea de información telefónica de información al respecto (060), las 710 oficinas físicas y las 52 telemáticas de la administración se encuentran sin actividad. El Centro Nacional de Inteligencia (CNI) ya ha abierto una investigación de lo sucedido a través del Centro Criptológico Nacional (CCN-Cert). 

Para Fernando Maldonado, analista principal de IDG Research, la alarma no es que las administraciones sufran ciberataques, pero sí que estos consigan detener sus operaciones. Asimismo, añade, “hemos empezado a ver incidentes cada vez más sofisticados que vienen acompañados de robos de información; es decir, piden dinero dos veces, una por desbloquear y otra por no hacer públicos los datos robados”. De llevarse a cabo, esto último sería una consecuencia muy negativa para la Administración Pública española dado el carácter sensible de la información de la ciudadanía, aunque tal y como expresa el experto en ciberseguridad, Javier Blanco, aún es muy pronto para conocer el alcance real del ataque. “Primero, se tiene que realizar un análisis forenses que si se realiza de forma ágil puede tardar semanas”.

En cualquier caso, los primeros pasos de mitigación que han dado los profesionales del SEPE son los adecuados, según Maldonado. “Es necesario mantener la calma a pesar de que la presión para restablecer el servicio es muy fuerte”. Por ejemplo, dice, es importante comprobar los logs para saber si se está filtrando información.

Poca madurez técnica en la Administración Pública

Ambos expertos coinciden en que el problema general del sector público es que cuenta con recursos limitados, “a pesar de tener buenos trabajadores y una estrategia solvente”, tal y como apostilla Maldonado. Pero, lidiar con este legacy les pone en el peor escenario posible desde el punto de vista de la seguridad. El ataque pone más de manifiesto, si cabe, el necesario esfuerzo de modernización que se debe realizar, acompañado de unos presupuestos “acordes al nivel de riesgo incurrido”.

“La ciberseguridad al 100% es imposible, no se puede evitar un ataque de este calibre si un grupo de ciberdelincuentes te pone en su punto de mira”, afirma Blanco. “Pero sí se puede prevenir para reducir la superficie de exposición, y para eso están los sistemas de monitorización, equipos de respuesta, segmentación de la red, etc”. El experto cree que el incidente no menoscabará la confianza de la ciudadanía en los servicios públicos, pues “ya era bastante baja en general. En unos meses, los españoles olvidaremos este suceso y nuestras vidas seguirán con normalidad”. De todos modos, apostilla Maldonado, lo que sí espera la gente es una respuesta ágil y que se priorice su seguridad para mantener la confianza en estos organismos.

Un virus con acento ruso

El ransomware ruso Ryuk, protagonista de este incidente, lleva actuando des de 2018. Sus víctimas son elegidas específicamente, como organizaciones a las que resulte muy crítico sufrir una brecha de disponibilidad. Entre estas se pueden encontrar desde medios de comunicación hasta infraestructuras críticas. Una característica particular de este virus es que puede deshabilitar la opción de restauración de los sistemas Windows en los equipos infectados, lo que hace que sea aún más difícil recuperar la información cifrada sin pagar un rescate. “Viendo el caso particular, no descarto que los datos capturados si no se paga el rescate”.