¿Qué se sabe hasta ahora del ciberataque que ha puesto en jaque al SEPE?

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

“Por causas ajenas al SEPE la página web y la sede electrónica no están operativas. Estamos trabajando para restaurar el servicio lo antes posible”. Este es el mensaje colgado en la web del SEPE, a la que este miércoles se puede acceder aunque sin poder navegar por las diferentes pestañas. En esa ‘foto-fija’ se informa también de que se comunicara el restablecimiento en el momento en que el servicio esté disponible.

Como informamos ayer, un ataque de ransomware ha paralizado la actividad del SEPE en toda España, un ciberataque ha afectado tanto a su actividad presencial desarrollada en las 710 oficinas como a su web y a la sede electrónica. 

Hoy se sabe que ya no solo es el equipo informático del organismo el que se está ocupando de resolver el ciberincidente, sino que también el Centro Criptológico Nacional (CCN) del CNI está involucrado. Además, está confirmado ya que el ransomware que ha provocado el desastre ha sido la última versión Ruyk, tal y como apuntaban los primeros indicios. Este es un malware muy utilizado en ciberataques y que ya causó graves daños en Prosegur y el Ayuntamiento de Jerez y, según Daniel Creus, analista senior del equipo de Investigación y Análisis (GReAT), “cabe destacar que recientemente ANSSI (Agencia Nacional de Seguridad Francesa) publicó un informe sobre Ryuk exponiendo una nueva y reciente técnica añadida a este ramsonware: la capacidad de propagarse por una red local de manera automática (capacidades de “gusano”). Ryuk fue identificado por primera vez en agosto de 2018 y desde entonces se ha visto siendo utilizado por diversos grupos de criminales profesionales consiguiendo un gran impacto global en diversas empresas e instituciones en distintos sectores”.

Por otro lado, de acuerdo con Gerardo Gutiérrez, director general del SEPE, en distintos programas de radio, “los datos confidenciales están a salvo. No está afectado el sistema de generación de nóminas y el pago de prestaciones por desempleo y ERTE se abonarán con normalidad”. Además, parece ser los cibercriminales no han pedido un rescate, sino que lo que perseguían era causar daño y claramente lo han conseguido paralizando la actividad de un organismo que ha tenido que retrasar, de momento, en torno a 200.000 citas.

Para Luis Corrons, experto en ciberseguridad de Avast, un ataque como este paraliza por completo el proceso de trabajo del SEPE, lo que agravará aún más el estado de colapso que vive la institución debido a la avalancha de archivos que debe gestionar desde el inicio de la pandemia. “Cuando se produce un ataque a gran escala como este quiere decir que los atacantes ya llevaban un tiempo dentro de la red, comprometiendo la mayoría de los sistemas de la organización”, ha dicho.

El SEPE necesita que los ordenadores conectados a su red funcionen para poder trabajar. Sin embargo, hasta que se haya eliminado la infección, se hayan restaurado las copias de seguridad y se haya parcheado el origen del ataque, cualquier ordenador que se conecte a esta red estará en peligro. “Por tanto, no podrán trabajar de ninguna manera”, ha subrayado.

Sobre el tiempo que llevará la remediación, este experto recuerda que, hace unos meses, Endesa sufrió un ataque de ransomware del que se recuperó recuperó en cuestión de horas, lo que significa que detectaron el ataque en una fase temprana. Sin embargo, a su juicio, “el nivel de preparación en este caso no parece ser el mismo, y me temo que puede llevar semanas, si no más tiempo, volver a la normalidad. Aunque no tenemos la imagen completa, el hecho de que las operaciones de las oficinas se detuvieran y los servicios como el sitio web del SEPE cayeran, hace pensar que los atacantes tuvieron acceso a la mayor parte de su infraestructura”.