El SEPE sigue parado por cuarto día consecutivo. Y no hay perspectivas de que la situación cambie. Escudo Digital ha podido saber las hipótesis que manejan los investigadores de fuentes absolutamente solventes. El ciberataque de phishing con el virus Ryuk ha sido mucho más potente de lo que en principio se ha dado a entender, y puede tener consecuencias muy dañinas para la ciberseguridad de nuestro país, incluso para sus empresas. Son tantos los datos que se entrecruzan que vamos a ir analizando las claves de lo ocurrido de forma cronológica.
1.-Los eurofighters españoles que interceptaron aviones rusos en el Báltico hace dos semanas
Los cazas eurofigthers españoles del Ejército del Aire desplegados en Rumanía, interceptaban el pasado 4 de marzo en su primera misión de alerta sobre el Mar Negro dos cazas SU-30 rusos que se desplazaban en el espacio aéreo internacional cerca del territorio de la OTAN. Según informó Infodefensa. Los cazas españoles recibieron las instrucciones del Centro de Operaciones Combinadas de Torrejón para despegar desde Rumanía, después de que la OTAN detectase que los SU-30 volaban sin señal de transpondedor y plan de vuelo, y sin contacto con el control del tráfico aéreo civil.
2.- Rusia decide tomar venganza
España juega en las grandes ligas de la OTAN en misiones como las de la policía aérea en el Báltico, que afecta directamente a Rusia y desde hace años. Y aunque tenemos armamento moderno como el Eurofighter, en algunas cuestiones como la ciberseguridad hace falta algo más para ir seguros. Para jugar en la Champions League del tablero geoestratégico mundial, es necesario tener un balón de cuero y no de goma, que si bien sirve para jugar, no es lo más adecuado cuando uno se enfrenta a los mejores del mundo en ciberataques. Los rusos lo saben y podrían haber pedido más intensidad en el juego a su equipo. Y no lo habrían hecho directamente, pero sí mediante un grupo interpuesto. El ciberataque puede venir de cualquier grupo entre los habituales que usan este ransomware, como Fin6,Grimspider Unc187 y WizardSPider, como grupos interpuestos por Rusia o afines a su política exterior, o mediante un ataque de "falsa bandera". En estos casos, y ante la presencia de España en misiones OTAN que afectan a Rusia desde hace años, podrían haber realizado una operación de sembrado de APTs, por si hiciera falta activarlo en el futuro, como podría haber sido el caso. En el ciberataque del SEPE, ya se habrían localizado trazas de infección hace un mes, según fuentes cercanas a la investigación. Los interpuestos habían plantado su semilla por si la tenían que utilizar. En el 2018 ya hubo un ciberataque a la red eléctrica española cuando se produzco la crisis de los oleoductos y tuvo lugar el conflicto de Ucrania.
Hay más precedentes. Aún se recuerdan los casos en los que personal desplegado en el Báltico vio cómo sus líneas eran pirateadas. Tal y como contó ECD en 2018, militares españoles destacados en la misión de la OTAN en Letonia detectaron comportamientos extraños en sus teléfonos móviles. Aquel fenómeno condujo al Estado Mayor de la Defensa y al Ejército de Tierra a abrir una investigación. Se apuntó entonces que Rusia podría estar llevando a cabo una operación de desgaste psicológico contra militares de la la OTAN desplegados a pocos cientos de kilómetros de sus fronteras, en el este de Europa.
3.-La doctrina Gerasimov y los bulos
El jefe del Estado mayor de defensa Valeri Gerasimov publicó en el 2013 un anticipo de lo que ha puesto en marcha Rusia en materia de defensa y ataque, "el Valor de la Ciencia de la Anticipación", donde uno de los capítulos más destacables es que las batallas "en el futuro tendrán lugar tanto en el mundo físico como en el Mundo virtual". Los ataques en el espacio se van a producir en cualquier fase de un conflicto. Si Rusia se siente agredida, actúa en el ciberespacio. Hay operaciones de influencia, de información y también de operaciones en red. En el caso del posible ataque deliberado al SEPE, se entremezclarían varios elementos. Y es que Gerasimov insiste en que el adversario incrementa la presión tanto militar como no militar para ampliar el descontento entre la oposición (...) debilitar al Gobierno y conseguir un estallido de la violencia. El hecho de que España tenga cuatro millones de personas en el paro que pueden ver retrasado el cobro de sus prestaciones puede contribuir a crear bulos que desprestigien al Gobierno y desestabilicen al enemigo. Se busca una mentira que pueda sonar a verdad por el descontento con el SEPE, y aparecerán bulos, señalan nuestras fuentes, para minar la confianza de los españoles en el sistema. "Se trata de algo muy rentable para el atacante", señalan nuestras fuentes, porque hay mucha teoría de la conspiración en marcha. Si se quiere intoxicar a la opinión pública estamos ante el caso perfecto. Puede haber incluso una revolución. Pero el daño económico que se puede provocar al país va mucho más allá. Putin llegó a decir que la intensidad de las acciones en el espacio serían proporcionales a la situación internacional.
4.-Se pone en marcha el proceso de Data Killer, asesinato de datos
El SEPE es la diana perfecta para un ciberataque de grandes proporciones, en este caso no ha sido vertical, sino horizontal, ya que ha afectado a 710 oficinas de servicio presencial y 52 telemáticas fuera de servicio hasta nuevo aviso. ¿Y por qué es la diana perfecta en estos momentos? Porque tiene dos elementos que pueden causar mucho daño.
5.- Todas las empresas del IBEX están interconectadas con el SEPE
Desde hace muchos años, los trabajadores no tienen que llevar los papeles de sus cotizaciones de forma presencial a las oficinas del paro. La gran mayoría de las empresas españolas están conectadas con el SEPE, y por supuesto las del IBEX. El virus Ryuk, activado mediante un correo electrónico por cualquier empleado de forma involuntaria al pinchar un enlace malicioso, tiene capacidades para infectar a otros organismos y grandes empresas que están conectadas con el SEPE. Hay empresas que su sistema de gestión empresarial está conectado con el SEPE. Al producirse el ataque se cortaron todas las comunicaciones, pero se ignora si los malos llevaban un mes dentro del SEPE y han podido sembrar ya Amenazas Persistentes Avanzadas de malware.
6.-Daños colaterales a la Seguridad Social
Vozpópuli dio a conocer ayer que el Instituto Nacional de la Seguridad Social se habría visto afectado de forma colateral, no estaba operativa la aplicación que utilizan para tramitar las nuevas peticiones de pensión pública o las prestaciones de maternidad y paternidad; ni tampoco la plataforma 'Tu Seguridad Social (TUSS)', a través de la que se pueden realizar trámites como obtener certificados o informes, solicitar la tarjeta sanitaria europea o conocer cómo evoluciona la pensión. En un principio tituló que había sido víctima del ciberataque del SEPE, hoy ha matizado que el daño ha sido solo colateral. Según expertos consultados, todo lo que ha estado en contacto con el SEPE es susceptible de haber sido dañado.
7.-El hecho de que no pidan rescate dirige el foco a Rusia
Los atacantes no buscan dinero, ya han sido pagados para cometer su misión. Apoya las teorías de una venganza brutal. Ello indica que puede haber un gobierno con un grupo interpuesto entre medias para que no puedas decir que ha sido este o el otro. Normalmente lleva un tiempo, y es probable que el sistema estuviera comprometido desde hace tiempo, normalmente usan tres fases: una para la entrada inicial, otro para el robo de la información, y otro para el cifrado de archivos. Tal vez, de no haberse producido el incidente de losEurofighter, el cifrado no se habría llegado a producir. Cuando es un Gobierno el que ataca posiblemente, tiene que haber un desencadenante. Al no pedir un rescate, está claro que ya lo hay.
8.-La Kill Chain, la cadena de la muerte
Lo normal es que en un proceso de este tipose roben los datos y se cifre la información, y se pida un rescate, si no ocurre eso, evidentemente, el interés es otro, no es económico, y el que lo ha hecho quiere que te des cuenta de que han sido ellos de alguna forma. Si Ryuk ha hecho más daño del que se esperaba en unas condiciones similares, también hace pensar que hay algo más que un grupo de ciberdelincuentes detrás de un ataque. Ha sido un multiataque. Se inicia la cadena de la muerte o Kill chain mediante el enlace que el usuario pulsa conectado a la red por vía remota o en la oficina, alguien que se equivoca, y eso provoca que se descargue un archivo que normalmente es un troyano como EMOTET que sirve para descubrir contraseñas del administrador que haya en la máquina. Imaginemos un administrador de sistemas que se ha controlado a esa máquina para hacer cualquier cosa. El malo la puede ver y si la usa en algún momento la puede capturar, y le sirve para entrar a todos los equipos de la red que usen la misma contraseña. Normalmente la contraseña del administrador local por comodidad es una para toda la red. Con una sola contraseña un administrador puede entrar en cualquier máquina. Irán buscando información sensible que les sea de interés para filtrarla. Y también para buscar la joya de la corona.
9.-La Joya de la Corona, el corazón de la red
Estamos hablando de la contraseña de los administradores de dominio, el que da permisos, permite hacer cosas, comprueba las contraseñas. Si cae, cae toda la red, y es lo que ha podido pasar en el caso del ataque al SEPE. Cuando el malo tiene la contraseña del administrador de dominio genera un usuario propio con privilegios y lanza el ransomware a toda la red, en este caso Ryuk. Y va a todas las máquinas que son visibles. Está claro que han llegado al corazón porque si no, no se infecta toda la red de golpe.
10.-El riesgo de que las copias de seguridad en línea pudieran haberse perdido
Imaginemos que hemos hecho una copia de seguridad en nuestra casa, y lo hacemos con un pendrive, y siempre lo tenemos pinchado, cuando llega el Ransomware descubre que hay información, y lo cifra también. Es como si no hubieras hecho copia de seguridad. Si el SEPE no tenía un sistema copias de seguridad fuera de línea o con ruptura de protocolo, como basado en 0 "fiber Channel", que impide que el ransomware "vea" las copias de seguridad para cifrarlas, el malware ha podido tener acceso a toda esa información y destruirla. Esperemos que eso no sea así, pero lo cierto es que para restaurar la copia de la web se ha usado elway back machine, que es una web que guarda la "historia" de Internet y proporciona acceso a la información que pudiera haber desaparecido.La fecha que salía para dicha "copia de seguridad" de oportunidad era la de diciembre del año pasado.
Según expertos consultados, existe una excusa plausible para no atender adecuadamente el mantenimiento de los sistemas y especialmente la actualización de los mismos, y es que en una situación situación como la que hemos vivido con la pandemia, ante el riesgo de que todo se caiga tras una actualización, con 4 millones de parados y empresas con ERE y ERTE, se opta por el "no lo toques por si acaso". Los trabajadores del SEPE parece que trabajaban con escritores virtuales en la nube, lo que puede parecer más segur, pero si se atiende a la Kill Chain de Ryuk, lo más probable es que el problema se haya iniciado con un trabajador que recibe un mensaje de correo de phishing y hace click sobre un enlace malicioso. La concienciación, formación y entrenamiento en ciberseguridad del personal es fundamental.
Lo que llama la atención es que si el mainframe del SEPE ha caído, habría que ver por qué lo ha hecho. Esto no es un ataque de unos de unos ciberdelincuentes cualquiera, y menos, sin rentabilizarlo pidiendo un rescate. Un curso de ataque a mainframe de tan solo siete días puede tener un coste de unos 180.000 euros.