Qué hay detrás del ciberataque que ha paralizado el SEPE

Este martes un ataque informático contra el Servicio Público de Empleo Estatal (SEPE) paralizó la actividad de sus oficinas en todo el país. Aunque no ha expuesto los datos personales de sus usuarios ni afectará al pago de nóminas, ERTES o prestaciones por desempleo, el golpe supone un problema más para una institución ya afectada por la sobrecarga generada por la pandemia y su crisis social. El responsable del bloqueo de las 710 oficinas físicas y 52 telemáticas del SEPE es un virus informático conocido como Ryuk, un tipo de ‘ransomware’ que se infiltra en sistemas para encriptar sus datos e impedir así el acceso a ellos. Para desbloquear esos datos que retienen como rehenes exigen a sus víctimas que se les pague un rescate por grandes sumas de dinero, normalmente mediante criptomonedas, pues son casi imposibles de rastrear. “Normalmente dejan instrucciones en el sistema de como proceder al pago”, señala Marc Almeida, analista técnico y programador. Los hackers pueden amenazar con bloquear indefinidamente el acceso a los datos o incluso exponerlos. En este caso, el virus ha servido para bloquear los datos de la Agencia Tributaria y de la Seguridad Social que el SEPE cruza para realizar los pagos. Eso ha llevado a que los funcionarios, ya sobrecargados por la ola de peticiones causada por la pandemia, tengan que trabajar ahora con papel y bolígrafo. Virus para secuestrar datos Este ‘bicho’ es conocido entre los ciberexpertos, pues apareció en 2018 y ya se ha utilizado en muchos otros ataques, especialmente contra grandes empresas y organizaciones. En el último año, el Instituto Nacional de Ciberseguridad (INCIBE) ha detectado más de 100.000 ataques cibernéticos en España, 45 de los cuales se produjeron contra hospitales o laboratorios para robar datos sanitarios en plena pandemia. Friendly reminder: en la digievolución del #ransomware, una de sus facetas es la de golpear dos veces: - Cifrado y rescate inicial. - Rescate pare "evitar" la venta de los datos exfiltrados. He tratado de resumirlo en modo esquema: pic.twitter.com/0s1ndJd3KX — Marc Almeida #sigoEnCasa (@cibernicola_es) 10 de marzo de 2021 “Saben que la presión mediática porque se solucione rápido y el impacto que tiene el ataque sobre su reputación las puede llevar a pagar el rescate”, explica Carlos Seisdedos, experto en ciberseguridad de ISecAuditors. Aunque la inmensa mayoría de esos ataques se producen por motivos económicos, el director del SEPE, Gerardo Gutiérrez, explicó en la Cadena Ser que no se había exigido un pago. “Si no se pide un rescato es que se trata directamente de un ataque ciberterrorista”, asegura Seisdedos. Sin embargo, el experto explica que tiene información de que sí se habría producido una petición de rescate que no se ha hecho pública. Cómo combatir el ataque La generalizada exigencia de pago de los hackers lleva a las víctimas a un dilema. Podrían pagar, pero --además de considerarse un delito-- eso no significa que devuelvan la información encriptada y puede exponer la vulnerabilidad de esas empresas e instituciones afectadas. Por otro lado, pueden tratar de resolver la encriptación de sus datos y desactivar el virus. Seisdedos cree que ese es el camino tomado por el Ministerio de Trabajo, que junto a expertos del Centro Criptológico Nacional (CCN) está intentando recuperar el control de sus sistemas. El Centro Nacional de Inteligencia (CNI) también investiga el caso. Aunque no hay certezas, se sospecha que Ryuk está gestionado por cibercriminales rusos. Sin embargo, se puede acceder a ese virus a través del mercado negro, lo que hace que el origen y los motivos del ciberataque contra el SEPE sean aún una incógnita. “Dudo mucho que se haga público lo que ha sucedido, pues el ataque ha golpeado a una parte troncal como es el SEPE”, apunta Almeida. Esa información no suele hacerse pública. Tardará en resolverse También es un interrogante la falla a través de la cual ese parásito informático se infiltró en el sistema del SEPE. Aunque será el análisis forense el que determine esas causas, ambos expertos señalan a la posibilidad de que se trate de un “factor humano”, eso es, a través de virus enviados por correo electrónico. “Muchos están teletrabajando con sus equipos informáticos desde casa, lo que hace que sea más fácil comprometer la red”, explica Seisdedos. La puerta de entrada podrían ser también otras fallas del propio sistema. La exposición de un organismo tan esencial actualmente como el SEPE hace que se redoble la presión por solucionar ese ciberataque. Así, funcionarios del SEPE explicaron a EL PERIÓDICO sus temores de que el bloqueo se prolongue varios días, pues la parálisis de sus servicios puede atascar el pago de prestaciones de cara al próximo mes. Sin embargo, ambos expertos apuntan a que el problema aún tardará en resolverse “unos cuantos días”.

Qué hay detrás del ciberataque que ha paralizado el SEPE

El virus informático utilizado se infiltra en el sistema, secuestra datos y pide un rescate para desbloquearlos

Los expertos consultados creen que la paralización del sistema puede tardar días en resolverse

Lo más visto