Ataque informático en el SEPE. Un virus se coló la semana pasada en los ordenadores del Servicio Público de Empleo Estatal (SEPE), provocando la paralización de la actividad del organismo en todo el país. Ni gestionar prestaciones por desempleo, por ERTE o consultar la página web. Todo en negro. Más de 710 oficinas sin poder hacer ningún trámite de forma presencial ni tampoco las 52 telemáticas. ¿Qué es lo que afectó a su sistema informático? ¿Pueden estar los datos de los ciudadanos en peligro por este ataque?
Todo hace indicar que el virus que ha afectado a los ordenadores del SEPE ha sido del tipo 'ransomware', un viejo rockero del mundo de los ataques informáticos. "Los responsables informáticos del SEPE están intentando identificar por dónde ha entrado este virus (ransomware), que ha afectado tanto a los ordenadores de los puestos de trabajo como a los portátiles de la plantilla que se encuentra teletrabajando, con el fin de restablecer los servicios lo antes posible", explicó el sindicato CSIF en un breve comunicado.
Por hacer memoria: este tipo de virus es el que el 12 de mayo de 2017 paralizó toda Telefónica y provocó un efecto dominó en numerosas empresas que mandaron a sus trabajadores a casa hasta que el problema se solucionara. En aquel caso se trataba del virus WannaCry; en este, del Ryuk.
Lo que hacen este tipo de virus es que encriptan los datos a los que afectan. ¿Cómo sucede esto? Cuando alguien abre el archivo malicioso, el sistema del virus se propaga por los archivos distribuidos en todo el sistema informático y los encripta, les pone una clave secreta de tal modo que el archivo queda inutilizado hasta que esa clave se descifre o los ciberdelincuentes decidan eliminarla. Es, por así decirlo, un peaje que hay que pasar para acceder al archivo.
Un peaje porque los ciberdelincuentes, para levantar ese bloqueo, habitualmente piden un rescate económico. Según el director general del SEPE, Gerardo Gutiérrez, esto no habría ocurrido en este caso, pero lo más habitual es el chantaje "o me pagas, o me quedo con tus datos". En este caso, hubiera sido con el de todos los españoles registrados en el SEPE.
En principio, si se trata de un ataque de ransomware como se está comunicando, los datos correrían un peligro relativo. Es decir: siguen estando presentes en las bases de datos del SEPE, pero no se podría acceder a ellos debido a que están encriptados. Por el momento no se han podido cuantificar los daños que han sufrido, por lo que sería pronto para llegar a una conclusión.
Lo que sí ha trascendido es que los sistemas de la red troncal, los sistemas de correo electrónico y los puestos de toda la red son los que han sido afectados por la infección. Unos equipos que, como denuncia CSIF, se unen a que "las aplicaciones y sistemas informáticos tienen una antigüedad media de unos 30 años", lo que ha podido propiciar la brecha de seguridad.
Además, según se ha podido conocer, el SEPE ya habría pedido ayuda al Centro Criptográfico Nacional (CCN) para solicitar soporte en cuanto a la investigación de la procedencia de este virus en el sistema informático y de las medidas a adoptar para recuperar cuanto antes los archivos.
En ese sentido, la única opción que parece accesible es "abrir las tripas" del código del virus para descubrir cuáles son sus puntos débiles y por dónde se le puede atacar. En el caso de que los ciberdelincuentes finalmente pidieran un rescate, en la mayoría de las ocasiones terminan desbloqueando algunos archivos pero mantienen cifrados otros cuantos, para los que piden una cifra aún mayor.
Así pues, el mayor riesgo que corren ahora mismo los datos afectados del SEPE por este ciberataque es permanecer bloqueados un tiempo indefinido. No obstante, no sería de extrañar que en las próximas horas los investigadores del CCN e informáticos del SEPE dieran con la tecla para desactivar la amenaza y volver a la normalidad.
En una entrevista con la Cadena Ser, Gerardo Gutiérrez, director general del SEPE, ha confirmado que "los datos confidenciales están a salvo. No está afectado el sistema de generación de nóminas y el pago de prestaciones por desempleo y ERTE se abonarán con normalidad". "Un equipo de técnicos cualificados están trabajando en detectar el origen y el formato, que es el virus Ryuk en su última versión y esperamos tener respuesta en las próximas horas. Estamos haciendo un análisis de la situación para saber a qué nos enfrentamos y en unas horas podremos decir cuánto tiempo tendremos para responder", ha dicho.