Libros Recomendados

Juan A. Aguilar

El ataque de los hackers, que el pasado 9 de marzo tumbaron el sistema informático del Servicio Estatal de Empleo (SEPE), ha llegado en un momento complicado en que las citas se concedían a 3 meses y sus empleados estaban sufriendo una carga de trabajo del 300%.

Los hechos de estos últimos días han demostrado que el organismo carece de medios para resolver una caída de su sistema informático, habiendo sido incapaz en este tiempo de desencriptar los discos duros de sus equipos, afectados por el ransomware Ryuk.

Es difícil hacerse a la idea del tamaño del desastre, porque las fuentes afirman que el organismo ni siquiera cuenta con una cuantificación aproximada del número de expedientes que se han visto afectados.

Pero este tipo de acciones no debería causar gran sorpresa. En un mundo cada vez más digital, y en plena pandemia, el sector de la salud ha sido uno de los blancos preferidos de los ciberdelincuentes. Ahora, le ha tocado al SEPE, al servicio estatal de empleo.

Lo que hacen normalmente los ciberdelincuentes es exigir cantidades desorbitadas de dinero a las esas empresas u organismos. El director general del SEPE, Gerardo Gutiérrez, niega que se haya solicitado rescate. Gutiérrez ha asegurado también que no se ha comprometido la información, es decir, que no se han robado datos. “La copia de seguridad está intacta y no se ha visto afectado el sistema de pagos, por lo que todos van a cobrar el desempleo, las ayudas y los ERTES que ya estaban aprobados”.

Otro asunto son las prestaciones en trámite o las que se iban a gestionar en estos días, que se retrasarán aún más. También preocupa que se hayan robado datos confidenciales de los demandantes de empleo o de ayudas. No hay que olvidar, que el SEPE gestiona información tan sensible como cuentas bancarias o documentos de identidad de los trabajadores.

El arma: Ryuk

El principal sospechoso del ciberataque contra el SEPE es un virus informático llamado Ryuk, que secuestra los datos de ordenadores y redes informáticas.

¿Cómo funciona este programa malicioso? El un arma de tipo 'ransomware', una extorsión que se realiza a través de un 'malware' que se introduce en los equipos informáticos: ordenadores, portátiles y dispositivos móviles. Este tipo de software se caracteriza por entrar en las redes del objetivo, en este caso el SEPE, y cifrar -inutilizar- los ordenadores y pedir un rescate para liberarlos. Su objetivo principal es el dinero y lo que hay detrás son fundamentalmente grupos mafiosos. Normalmente, este tipo de 'bichos' suelen entrar por un correo malicioso que lleva un adjunto o por un enlace (url) que se conecta a una web ya preparada para infectar a quien la visita.

Algunos especialistas destacan que el ataque bien pudo llegar de esa forma o mediante un phishing conocido como spear phishing. Al igual que un correo fraudulento que se hace pasar por un mensaje legítimo, el spear phishing cuenta con la particularidad de que para funcionar los atacantes han espiado y estudiado al milímetro a una determinada persona.

Por ejemplo, estos ciberdelincuentes podrían haber enviado un correo fraudulento a un empleado del SEPE haciéndose pasar por un familiar o por un amigo, lo que le haría confiar y pinchar en un enlace que no debía y que automáticamente descargó Ryuk en los sistemas informáticos del SEPE.

Que el ataque tiene la firma de Ryuk es algo que se apoya en las declaraciones de algunos empleados que, a primera hora (antes de que se apagaran todos los equipos), encontraron archivos con la extensión RYK, característica de este malware.

Este ransomware, también se distribuye mediante una botnet, un red de dispositivos y ordenadores vulnerables infectados y controlados remotamente, llamada Trickbot.

También hay que recordar que uno de los puntos fuertes de Ryuk es su persistencia ya que cuenta con múltiples herramientas para intentar prevalecer en los sistemas infectados aun cuando éstos sean sometidos a labores de desinfección.

Para lograr una total desinfección de su infraestructura, el SEPE tendrá que aislar los nodos de su red, e ir aplicando todas las medidas de limpieza uno por uno, en todos los sistemas potencialmente afectados, tanto aquellos que ya hayan dado señales de la infección (es decir, aquellos cuyo contenido ya se ha cifrado), como los que no las han dado, pero han estado en contacto con los que sí. Recordemos que basta con que un sistema siga infectado por Ryuk, en estado latente, para que pueda replicarse la infección global a partir del mismo afectando de nuevo a todo el sistema.

Ahora bien, Ryuk es un viejo conocido. Se analizó por primera vez en agosto de 2018 y no siempre responde a un ataque personalizado o dirigido. Así, el ataque al SEPE puede haber sido fortuito o un ataque personalizado para algún propósito. Pero no basta con que alguno de los empleados haya pinchado en un enlace o documento en un correo diseñado para ello, es necesario también que los sistemas no estuviesen debidamente protegidos.

Antecedentes

Este tipo de ataque está creciendo de forma exponencial debido a que es muy rentable para los delincuentes, entre otras cosas porque cada vez hay más dispositivos "secuestrables".

Si hacemos un poco de historia, en España, el primero en conocer la virulencia de Ryuk fue el Ayuntamiento de Jerez. En octubre de 2019 el consistorio sufrió un ataque de este virus. Igual que ha sucedido en el SEPE, obligó a cambiar los ordenadores por papel, los trámites telemáticos por los presenciales y la velocidad de la red por la paciencia. Se cree que el descuido de un empleado fue la causa más probable del ciberataque. Como hemos señalado, los ataques de tipo 'ransomware' suelen tener su origen en la apertura de archivos infectados por parte de los trabajadores.

A finales de 2019 protagonizó el ataque a la empresa de seguridad Prosegur, a Everis y a la Cadena Ser y más o menos en las mismas fechas, como contaba Panda Security, varios ayuntamientos se vieron afectados y extorsionados por este malware. También es sospechoso de lo ocurrido el año pasado con ADIF (de lo que se sigue esperando explicaciones). En el plano internacional, fueron sonados los efectos que provocó en el mayor grupo petrolero de México, Pemex.

Es decir, el Ryuk es un malware conocido desde hace años y se tiene experiencia de cómo actúa y cómo enfrentarlo, por lo que es necesario que estemos ante una negligencia corporativa o personal para que el ataque pueda tener éxito.

La causa es la negligencia habitual

Aunque el director general del SEPE desmiente cualquier solicitud de rescate, la naturaleza de este tipo de ataques siempre la misma: el ciberdelincuente infecta un ordenador, trata de propagarse a otros ordenadores, cifra el contenido y pide un rescate para recuperarlo. Existen diversas variantes, si se cifra todo el contenido o solo parcialmente, o si se amenaza con publicar el contenido como parte de la extorsión. Además, el pago se solicita generalmente en criptomonedas y suele ser incluso negociable, siendo este sector de la ciberdelincuencia uno de los que más se ha profesionalizado en los últimos tiempos.

En el caso del SEPE, parece evidente que los ciberdelincuentes se han encontrado con el terreno abonado para sus acciones. La página web del SEPE ha delatado algunos de los problemas, de los cuales todavía no se conoce la profundidad, pero sí se ha podido ver la evolución en este tiempo. La página pasó de no mostrar nada, a tener un certificado del mismo día 9 de marzo, mal configurado, puesto que aplica sólo a subdominios y no al dominio principal.

 

Al entrar en la página mostraba un aviso en grande:

El SEPE está siendo objeto de un incidente de seguridad durante el cual se ha visto afectada la disponibilidad de sus sistemas de información y comunicaciones. Las primeras actuaciones urgentes efectuadas se han producido con la mayor celeridad posible y con el objetivo principal de contener el incidente, aislar y, por tanto, mitigar su impacto en los sistemas del SEPE.

Actualmente se está trabajando con el objetivo de restaurar los servicios prioritarios lo antes posible, entre los que se encuentra el portal del Servicio Público de Empleo Estatal y luego paulatinamente resto de servicios al ciudadano, empresas, oficinas de prestaciones y empleo.

Los plazos de solicitud de las prestaciones se amplían en tantos días como estén fuera de servicio las aplicaciones.

En ningún caso, esta situación afectará a los derechos de los solicitantes de prestaciones.

De la misma manera, no es necesario renovar la demanda de empleo. Se renovará automáticamente o se podrá renovar una vez restablecido el servicio sin pérdida de derechos.

Pero si nos fijamos, podemos ver en el encabezado de esta página una fecha, que poco tiene que ver con la fecha actual: 28 de diciembre de 2020.

 

Pocas horas después se eliminó la fecha y hora incorrectas, pero varios usuarios en Twitter ya la habían publicado y empezaron a publicar el mapa web y revisar enlaces internos, por lo que se pudo confirmar que la copia de la web que está actualmente en producción es una modificación rápida extraída de www.archive.org, que es una organización sin ánimo de lucro que se dedica a recopilar todos los sitios web a los que se puede acceder, en una tarea colosal que documenta en vivo la historia de la Red. ¿Es esto un indicador de que no existían o se habían inutilizado los backups del sistema informático del SEPE? Alguien debería dar una explicación…

En medio de este revuelo, con algunos curiosos buscando información e indagando al respecto, dado que no hay comunicado oficiales sobre el alcance de lo ocurrido, se pudo averiguar que existía una licitación pública para sistemas informáticos de 13.300.866,61 €. En la misma licitación podemos ver que el plazo para presentar la oferta es el 17/05/2016, casualmente es el mismo año que muestra el banner de mantenimiento que puso el SEPE tras el ataque.

Otro de estos detalles que permiten pensar en una negligencia generalizada es que el Servicio de Empleo Público no estaba todavía certificado por el Centro Criptológico Nacional. El CCN es un órgano dependiente del CNI que vela por el cumplimiento y la certificación de administraciones y empresas sobre el Esquema Nacional de Seguridad.

Según avanzó Invertia, el organismo de empleo no figuraba en la lista de administraciones certificadas en el Esquema Nacional de Seguridad del CCN. Sí forman parte diversas consejerías autonómicas de Andalucía y Castilla-León, varios ayuntamientos y diversas entidades de la Administración General del Estado, universidades y otras entidades. El listado es público y accesible y se puede consultar aquí.

La ASTIC, una organización de técnicos de sistemas de la propia Administración, advertía en un reciente comunicado que en la pandemia se había primado la continuidad de servicios o negocio sobre la seguridad. Reivindicaba que ya era hora de "recuperar el tiempo perdido".

Los sindicatos y colegios profesionales de informáticos salieron a la palestra para denunciar la falta de recursos y la precariedad laboral de los técnicos de sistemas de la Administración Pública, y cómo esta situación ha impedido que ésta estuviera preparada para hacer frente a este ciberataque.

De hecho, fueron las quejas de los empleados del SEPE -aireadas en estos últimos meses en la prensa- las que dieron lugar a que el SEPE destinara hace un mes diez millones de euros a reparar sus equipos... que actualmente cuentan con una edad media de 35 años de antigüedad, según denunciaba Vozpópuli.

A mayor abundancia, el pasado verano de 2020, el Gobierno lanzó una licitación de un contrato "para monitorizar y analizar las aplicaciones informáticas del SEPE". El ministerio reconocía así que el SEPE carecía de medios humanos y materiales para llevar a cabo por sí mismo esta tarea de monitorización, con lo que el proyecto fue finalmente externalizado en GFI Informática (propiedad del grupo catarí Manai International) por 312.007 €, una cifra  35% inferior a lo presupuestado (ver aquí).

Tapar el desastre con una cabeza de turco: Rusia

Los expertos coinciden en que para poder luchar contra este tipo de ataques deberían tratarse tres puntos importantes. Claramente, el SEPE no ha estado a la altura en todos o alguno de ellos y de esta forma su sistema era muy vulnerable.

Para evitar el ataque ransomware al SEPE se deberían haber tomado las siguientes tres medidas:

  • Mantenimiento y actualización de los sistemas informáticos

Tanto los servidores, dispositivos de usuarios, sistemas operativos, plataformas web y programas de protección, entre otros, deben estar siempre actualizados a sus últimas versiones para evitar vulnerabilidades que los exponen a ataques externos. Todo apunta a que el SEPE se “relajó” en este aspecto, sobre todo con algunas pantallas vistas los últimos días donde partes de su web no se habían actualizado desde 2016.

  • Formación en ciberseguridad del personal

Los usuarios de los sistemas informáticos son el punto más débil en la ciberseguridad. Es necesario que dispongan de formación específica para que puedan trabajar bajo protocolos y políticas de seguridad. De esta manera se impide que puedan caer en prácticas que pongan en riesgo a los sistemas, como robos de identidad o phishing o permitir la entrada de programas maliciosos que se instalen en el sistema, como ha sucedido en este caso.

  • Invertir en ciberseguridad

Para evitar este tipo de ataques o minimizar sus consecuencias es necesario disponer de herramientas modernas de seguridad como consolas de seguridad, antivirus y cortafuegos, alta disponibilidad, servidores replicados, monitorización de incidentes, sistema de contraseñas seguras, etc. ¿Había algo de esto en el SEPE cuando ni siquiera tenían el certificado del CCN?

No se ha cumplido ninguno de los puntos anteriores y ahora se pagan las consecuencias. En buena lógica, los responsables, tanto técnicos como políticos, deberían responder de tanta negligencia. Pero estamos en España y ahora toca echar balones fuera, salvar el puesto de los responsables y cargarle el muerto a alguna cabeza de turco para poder “justificar” tanta desidia.

Y ya están preparando el escenario para señalar al “culpable”, uno que se sepa no va a hacer acto de presencia para negarlo todo: Rusia.

A ello parece que se dirigen los Anacletos que están “investigando en profundidad” el ataque al SEPE, según informa Ignacio Cembrero en El Confidencial. Según ellos, el objetivo de un golpe como el sufrido por el SEPE es más bien desprestigiar a la institución pública y al Estado al que pertenece y suscitar el descontento de la ciudadanía por la cancelación de miles de citas en toda España y la paralización de la tramitación de nuevas prestaciones por desempleo especialmente en tiempos de crisis. Para que tenga “sentido” es necesaria una potencia que trate de ajustar cuentas con España... ¿y quién mejor que Rusia dado que en este país se fabricó hace tres años el programa malicioso Ryuk?

Aunque Ruyk ha sido utilizado por ciberdelincuentes de todo el mundo y han efectuado numerosos ataques, que la realidad no invalide el “relato” de los Anacletos. Según “fuentes” de la investigación, muchos de esos ataques son probablemente por encargo del FSB ruso, que, como los demás servicios secretos, no actúa directamente sino a través de intermediarios. ¿Pruebas? Por supuesto, ninguna…

El tema es salvar el culo de los responsables de la Administración y mantener la fantasmagoría de la “injerencia rusa” como la que en España fabrican algunos funcionarios del Instituto Nacional de Ciberseguridad (Incibe) y del Centro Criptológico Nacional (adscrito al Centro Nacional de Inteligencia), señalando a Moscú ahora como responsable de las desdichas del SEPE.

Al fin y al cabo… ¿no dice un “informe” de la NSA y demás servicios secretos de EEUU que Rusia ha interferido en los procesos electorales norteamericanos desde tiempos de George Washington? Si lo dice el que manda… no le van a llevar la contraria los Anacletos patrios. Y así justificamos el sueldo y los verdaderos responsables de este desastre se van, una vez más, “de rositas”.

CANAL

 

elespiadigital.com
La información más inteligente

RECOMENDACIONES

El Tiempo por Meteoblue