Los usuarios del Servicio Público de Empleo Estatal (SEPE) fueron los primeros en darse cuenta de que algo no funcionaba como debería. El error, continuo y sin mayor explicación, levantó la liebre: el servicio en sí no paró, pero demostró que los virus son la mayor preocupación hoy en día. Y no sólo los de origen biológico.
El ciberataque recibido por la plataforma dependiente del Ministerio de Trabajo dejó al aire las costuras de nuestras instituciones: los problemas de seguridad. Y subrayó la importancia de estar protegidos ante estos ataques que, cada vez más, tienen una vertiente criminal… y geopolítica.
Porque, tal y como están las cosas y según apuntan las fuentes de ciberseguridad consultadas por laSexta, Ryuk, el virus que ha paralizado al SEPE, sólo es uno más dentro del mar de ‘ransomware’ que pulula por la red. Y es casi imposible saber su autoría.
De momento, como ha afirmado el Ministerio de Trabajo, ningún dato de los usuarios se ha visto comprometido. También han negado haber sido víctimas de un secuestro de sus datos y, por tanto, que les hayan reclamado dinero para recuperarlos. Pero, ¿entonces? ¿Qué ha pasado?
Ransomware y secuestros
En pocas palabras: un ransomware ha dejado cifrado todos los sistemas del SEPE. "El ransomware es un software malicioso que logra infectar un equipo o dispositivo y, después de inutilizar todo el sistema, muestra mensajes que exigen el pago de un rescate con la finalidad de que el sistema recupere el normal funcionamiento", explica en conversación con laSexta Eusebio Nieva, director técnico de Check Point para España y Portugal.
Este tipo de ciberataque es utilizado "para la obtención de un beneficio económico por parte del cibercriminal y se puede instalar mediante enlaces engañosos en un mensaje de correo electrónico, sms o sitio web", comenta el especialista en ciberseguridad. "Es uno de los ataques más utilizados en la actualidad contra las empresas y de los que más daño puede llegar a ocasionar a una institución o compañía".
Aunque suene a marciano, es algo cada vez más común en nuestro país. Los datos así lo avalan. Según fuentes del sector, en España se produjo un aumento del 160% en el número de ataques que utilizan un ransomware en 2020. La cifra supera a las de países como Alemania (+145%), Reino Unido (+80%) o Francia (+36%). De forma general, en el tercer trimestre del año pasado se produjo un aumento del 50% en la media de ataques por ransomware detectados en comparación con la primera mitad del 2020.
¿Quién nos ha atacado?
Es en este momento en el que entran en juego las lógicas geopolíticas. "Esto es una cuestión de dinero. Estaremos en la posición del tipo de economía que somos. Cuanto más potente es una economía, más atacada es. Estamos dentro de los objetivos de los ciberdelincuentes. Es cibercrimen, pero realmente es lo que ha pasado toda la vida", indica José Rosell, socio director de S2 Grupo.
La Inteligencia española cree que Rusia podría haber provocado el ciberataque al SEPE, con el objetivo de desestabilizar y generar descontento en España. En nuestro país, cerca de tres millones de personas cobran una prestación por desempleo y hay casi 900.000 trabajadores en ERTE.
Y es cierto que existen fallas en las relaciones entre el Gobierno de España y el Kremlin. Comenzando por las fricciones que sienten los representantes rusos al tratar con Josep Borrell, jefe de la diplomacia europea, por las sanciones a Rusia de la UE o los apoyos rusos al independentismo catalán. Por no hablar de la presencia militar española en el Mar Negro o los ataques a la democracia española. La investigación sigue su curso, pero los expertos consultados por esta cadena alertan: es prácticamente imposible poder conocer la autoría.
Así, es "complicado atribuir el delito a alguien. Hay muchos ataques de falsa bandera, en los que el criminal se hace pasar por otro. Es complicado de seguir", certifica Rosell. "Realmente, atribuir los ataques a una entidad, o a un grupo, o a un Estado es complicadísimo. De hecho, no se hace".
"Públicamente no hay ningún indicio de que pudiera ser así. Es casi imposible poder atribuir. Cuando cifran, los ciberdelincuentes borran las pruebas. Te puedes montar las historias que quieras", sonríe el experto. "Lo mismo que le ha pasado al SEPE le pasa a empresas privadas y organismos públicos casi todos los días. No hay causa directa pública".
¿Cómo se infectó el SEPE?
Para Nieva, al ser preguntado sobre cómo han podido atacar al SEPE, "la forma más fácil y lógica es que hayan accedido a través de archivos adjuntos en correos electrónicos de algún dispositivo de la institución desprotegido de algunos de los miembros del SEPE, pero eso aún no se ha podido comprobar".
"Es primordial destacar que el SEPE cuenta con aproximadamente unos 6.000 trabajadores y tiene alrededor de 700 oficinas en todo el país. Todo esto deja la puerta abierta a muchísimas posibles brechas de seguridad, cada empleado, cada dispositivo es una posibilidad más para que un cibercriminal intente colar cualquier tipo de ataque", comenta.
Los ataques son algo relativamente novedoso. El primero que saltó a los titulares fue el llamado Wannacry, en el año 2017. Ese ransomware infectó más de 230.000 computadoras en más de 150 países. Afectó principalmente a empresas y particulares de Rusia, Ucrania, India y Taiwán, pero partes del servicio nacional de salud de Gran Bretaña (NHS), Telefónica España, FedEx, Deutsche Bahn, y las aerolíneas LATAM también se vieron comprometidas.
"Ya había antes, no fue el primero, pero fue el hito", rememora José Rosell. "Tuvo impacto en la sociedad, y muchos afectados". Después hubo otro ataque, con un malware llamado Petya, que tuvo impacto en la economía y en muchas compañías, principalmente en el Banco de Ucrania. En España ha habido "muchísimos casos: hospitales, ayuntamientos, empresas. Hemos registrado un pico muy fuerte en el segundo semestre de 2019".
Así funciona Ryuk
Ryuk es un ‘ransomware’ que se emplea en exclusiva para ataques dirigidos contra objetivos específicos. "Este tipo de malware realiza ciberataques altamente sofisticados y penetra en la infraestructura de la empresa aprovechando todas las vulnerabilidades disponibles en el sistema de la misma para así conseguir robar el máximo de información posible", explica Eusebio Nieva.
El ransomware afecta de 3 formas muy claras: bloquea los equipos físicos, imposibilita el acceso y control de la información a su usuario y tiene consecuencias como pérdidas económicas, especialmente si se accede a pagar el rescate. Una vez el ciberdelincuente consigue el acceso a la red e infecta y encripta todos los sistemas exigiendo un pago de rescate por restablecer el funcionamiento del mismo.
Esta variante de ransomware se usó por primera vez a mediados de 2018 y ha experimentado un aumento significativo en su actividad. Según datos de Check Point facilitados a laSexta, Ryuk llegó a atacar a una media de 20 empresas por semana en 2020. A esto hay que añadirle el hecho de que Ryuk apunta directamente a las entidades sanitarias, ya que ha impactado a casi a un 4% de organizaciones a nivel mundial en el tercer trimestre del pasado año, casi el doble que en el periodo anterior (2,3%).
En el caso del SEPE, y como confirmó el director del servicio, Gerardo Gutiérrez, en Cadena Ser, el ataque solo ha afectado a los datos compartidos de Windows, y no a todo el sistema informático ni el sistema de gestión de nóminas.
¿Cómo nos podemos proteger?
Al ser un problema del siglo XXI, a muchas entidades les ha pillado con las defensas bajas. Es por eso que desde la Inteligencia española ya se trabaja en este tipo de protecciones. Dentro del CNI, por ejemplo, se ha desarrollado el CCN (Centro Criptológico Nacional), una división que se dedica sólo a la ciberseguridad. Ellos, en colaboración con S2 Grupo, por ejemplo, han desarrollado la ‘vacuna’ contra estos virus. De momento, van 65 ‘inyecciones’.
La herramienta española se llama Microclaudia. A ella se conectan ordenadores, se instalan las vacunas y, cuando llega el ‘bicho’, consigue que éste se crea que ya está en el ordenador y que no necesita infectar más. Los expertos, además, creen "primordial" que, además de formar a los empleados para que puedan identificar y evitar potenciales amenazas, es importante realizar copias de seguridad de toda la información corporativa con regularidad y combinando formatos digitales y físicos.
"De esta forma, aunque se cifren los equipos, se podrá recuperar los datos desde alguna fuente externa", explica Eusebio Nieva. Asimismo, también es clave tener todos los sistemas y aplicaciones actualizados con la última versión disponible, ya que incorporan parches de seguridad para vulnerabilidades ya conocidas, incrementando así el nivel de seguridad.