Aún no se ha resuelto el ataque al SEPE, un acto vandálico con unas repercusiones tan graves sobre la estructura de un país que podría llegar a ser calificado como de ciberterrorismo. Todo apunta a Ryuk, el peligroso virus informático que ya hizo de las suyas en los ciberataques a hospitales de Canadá y Estados Unidos hace más de un año. No solo ha dejado inoperativa la web y ha obligado a suspender todas las citas, los datos sensibles de millones de españoles están en manos de los secuestradores. Y eso sin contar que se hayan podido instalar APTs.
La obsolescencia de los equipos de los trabajadores, tanto del SEPE como de otros organismos de la administración, era un secreto a voces, que ha sido confirmado por los representantes del sindicato CSIF.
Según ha podido saber Escudo Digital, en algunos Ministerios, e incluso en el SEPE, se ha seguido usando Windows 7, que ya ni siquiera permite actualizaciones ni pagando. Infectar con Ryuk el Servicio Público de Empleo ha debido ser un juego de niños para los ciberatacantes que utilizan este sistema atribuido a una banda de piratas informáticos rusos.
¿Por qué el SEPE y no Hacienda? Se preguntan en las redes muchos españoles medio en broma, medio en serio.
No se trata de la primera entidad que se ve vulnerada en España usando como antivirus McAfee, pero aparte de la falta de medios denunciada por los sindicatos, lo que de verdad le preocupa a los españoles que se han quedado en paro es qué va a ocurrir con sus prestaciones, tanto si se han quedado sin trabajo como están en ERTE.
Según ha podido saber Escudo Digital de fuentes solventes, los que se quedaron en el paro el mes pasado no se verán afectados, "ya que los datos están grabados y cobrarán este mes". El problema, si la situación se prolonga, es lo que se debería haber cerrado ahora, que tendría que entrar para abril. "Los datos grabados antes del ataque cobrarán. Pero si el ataque dura dos o tres semanas hasta abril, la gente pasará a cobrar en mayo". Y es que las nóminas se cierran sobre el día 28 de cada mes. La gente que ya tenía concedido la prestación de un ERTE no tendrá problemas, "no así los que reanudan de nuevo o solicitan una prestación", quienes están a expensas de cuándo se soluciona la incidencia. Se estima en 100.000 prestaciones diarias el volumen de trabajo que gestiona el SEPE, una cifra que puede aumentar con la crisis derivada de la pandemia.
¿Cuándo se solucionará la incidencia? Ryuk ya hizo de las suyas en el 2020 en el hospital de Torrejón y llevó varias semanas dar con la solución. Evidentemente sería impensable que el SEPE no tenga un backup, pero se está demostrando que tenemos funcionarios mucho más eficientes que los políticos de todos los partidos que han ido ocupando cargos importantes y han hecho caso omiso a las opiniones de los expertos cuyas nóminas paga la administración.
Funcionarios que se llaman así porque funcionan, y cuyo trabajo se externaliza a veces a empresas de difusa confianza que terminan delegando en becarios.¿Terminará pasando como en Estados Unidos, donde se echó la culpa del ciberataque a SolarWinds a un becario que usó una contraseña que podría haber violado un niño de cinco años?
Según informa ADSL ZONE, los informáticos estarían trabajando en restaurar copias de seguridad, pero según afirma dicho portal, el problema es que es posible que no tengan copias muy recientes o no puedan acceder a ellas.
Al visitar la página web del SEPE, o a la hora de consultar el código fuente de esta, en la parte superior de la web se mostraba la fecha del 28 de diciembre de 2020. Esto implicaría el uso de una copia de seguridad del año pasado; irónicamente, del día de los Santos Inocentes.
ADSL Zone también ha comprobado que están restaurando el front con trazas de http://archive.org.Esta web guarda una copia de seguridad de una página en un momento concreto para que pueda ser consultada en el futuro. El SEPE estaría utilizando la captura del 27 de febrero de 2021.
¿Está restaurando el SEPE su web con un backup de 2020 y luego aplicando cambios con la información almacenada en archive.org?, se preguntan en ADSL Zone. Sería una chapuza, afirman. Puede ser que tengan miedo de tocar backups que puedan estar comprometidos o que se puedan comprometer al intentar cargarlos, han manifestado expertos consultados por Escudo Digital.
"Estamos ante un ataque que se ha hecho solo por dinero, y no se debe ceder antelos chantajistas", señala Luis Corrons, Security Evangelist de Avast.
Luis Corrons, Security Evangelist de Avast, con quien se ha puesto en contacto Escudo Digital ha manifestado:
"Un ataque como este paraliza por completo el proceso de trabajo del SEPE, lo que agravará aún más el estado de colapso que vive la institución debido a la avalancha de archivos que debe gestionar desde el inicio de la pandemia. Cuando se produce un ataque a gran escala como este quiere decir que los atacantes ya llevaban un tiempo dentro de la red, comprometiendo la mayoría de los sistemas de la organización. El SEPE necesita que los ordenadores conectados a su red funcionen para poder trabajar. Sin embargo, hasta que se haya eliminado la infección, se hayan restaurado las copias de seguridad y se haya parcheado el origen del ataque, cualquier ordenador que se conecte a esta red estará en peligro. Por tanto, no podrán trabajar de ninguna manera. Además, un ataque de ransomware encripta todos los datos, por lo que, si la información de los servidores se ha visto afectada, no tendrán ningún dato con el que trabajar".
Corrons disiente de los que hablan de ciberterrorismo: "Se trata de un ataque realizado solo por dinero". No cree que se estén utilizando APTs, "porque el secreto de las APTs para hacer daño a largo plazo es actuar pasando desapercibido, la amenaza permanece larvada y dormida", y este ha sido un ataque muy escandaloso, donde los técnicos van a examinar con lupa el sistema después.
Está de acuerdo con la frase que se viene repitiendo en los últimos días: "Tenemos los mejores funcionarios del mundo", los trabajadores han sabido adaptarse, a veces con sus propios medios a las necesidades derivadas de la pandemia. La carga acumulada que han sufrido los trabajadores del SEPE ha sido "tremenda".Los políticos y las empresas tienen que saber lo que nos jugamos, que puede ser mucho.
El hecho de utilizar software antiguo "no significa que haya sido la causa del ciberataque, pero sí aumenta la superficie de exposición, de alguna manera invitas a la gente a que entre, pero hay muchas formas de entrar. En una entidad con 7.000 personas es fácil que alguien reciba un correo malicioso". Para eso existen las auditorías que realizan diversas empresas, donde "los responsables de informática envían correos señuelo y luego les avisan a sus trabajadores de cuando han picado o no han picado. Son simulacros que enseñan mucho".
El tiempo de recuperación de un ciberataque
Recuerda Luis Corrons que a veces no es tan importante lo protegida que esté la empresa como el tiempo que tarda en recuperarse. Y pone como ejemplo el ciberataque que sufrió Endesa: "En unas horas estaba resuelto. Endesa tiene un sistema de ciberseguridad ejemplar. Mientras en algunos ataques que se han llevado a cabo en instituciones importantes de Estados Unidos relacionadas, por ejemplo, con el sistema educativo, no se han dado cuenta hasta que todos los ordenadores de la red estaban infectados".
¿Debería pagar el Estado y ceder ante los chantajistas? El evangelista de Seguridad de Avast considera que no: "No se debe ceder al chantaje de los cibercriminales. Nunca tienes claro que no te la vayan a jugar. Aquí dicen que no se han llevado los datos. Yo no estaría tan seguro. Normalmente antes de cifrar los datos se llevan una copia, pero nunca te puedes fiar. En Estados Unidos hay hasta seguros que pagan, pero se ha dado el caso de que los chantajistas no cumplen, tras un primer pago descifran la mitad, y luego exigen otro".
"La licitación del SEPE para sistemas informáticos se hizo por 13 millones de euros, el precio de una casa en una urbanización de Marbella"
¿Cuál es el mejor Backup?, le preguntamos. Uno que no esté online, pero lo importante no es el backup. Pueden hacer públicos los datos, pueden volver a robarlos, lo importante es poner una "buena llave a la puerta para que los ladrones no entren". Hay que averiguar cómo han entrado, como en una casa particular, "para que no te vuelvan a robar la televisión una y otra vez".
Ante la cuestión clave que se hacen muchos ciudadanos: ¿Está mejor protegida Hacienda? , Corrons nos explica su opinión a título personal: "Hacienda es para cobrar y el SEPE para pagar, y además Hacienda lo sabe todo sobre nosotros, los datos son muy sensibles", aunque no niega que también lo sean los del SEPE.
La licitación de la ciberseguridad del SEPE y el soporte de las infraestructuras y sistemas informáticos del SEPE se hizo por concurso público por una cifra que rondaba los 13 millones de euros. Una cantidad ridícula, afirman diversas fuentes consultadas, si la comparamos con la ficha de cualquier futbolista o incluso con el precio de una mansión en la Zagaleta, en Marbella, donde las medidas de seguridad que destinan sus habitantes a protegerse son proporcionalmente mucho más altas que las que emplea el SEPE.