Los servicios del Servicio Público de Empleo Estatal (SEPE) han sido bloqueados de manera temporal tras un ataque informático. El hackeo es preocupante porque significa una parálisis en gestiones tan esenciales como la gestión de los pagos por desempleo o de los ERTE, de los que dependen cientos de miles de ciudadanos.
El ciberataque también se traduce en el bloqueo de las 710 oficinas que el SEPE pone a disposición de la ciudadanía de forma presencial, así como las 52 telemáticas.
A la espera de que se aclare el origen y el alcance real del ataque, ¿qué sabemos sobre el programa que ha producido el colapso del sistema público de empleo?
El SEPE afirma que los datos más sensibles están “absolutamente salvados”
El causante de este caos es Ryuk, un virus informático que se engloba dentro de los ransomware. ¿Qué significa este palabro? Aquí te lo explicamos en detalle, pero en esencia designa a todos aquellos programas que infectan ordenadores para encriptar la información que tienen dentro y hacer que su propietario no pueda acceder a ella.
Una vez realizado este proceso, los hackers suelen pedir un rescate para que los dueños de la información puedan acceder a ella de nuevo. Un secuestro en toda regla pero con la información (más o menos sensible dependiendo del objetivo) como rehén.
¿Esto significa que los datos personales y laborales de los españoles están ahora en manos de hackers? Según ha afirmado el director general del SEPE, Gerardo Gutiérrez, en declaraciones a la Cadena SER, no les han pedido "ningún tipo de rescate" y "los datos confidenciales están absolutamente salvados". Además, ha indicado que el ataque no ha afectado al "sistema de gestión de nóminas" ni a "ninguno de los servicios de atención a la ciudadanía".
Victos A. Villagrá, director del máster en Ciberseguridad de la Universidad Politécnica de Madrid, explica a Maldita Tecnología que el bloqueo temporal de todos los servicios del SEPE tiene sentido ya que una vez que saltan las alarmas “hay que evitar que el virus se expanda entre los terminales del servicio público”.
¿Cómo se ha colado Ryuk en los ordenadores del servicio de empleo?
Aunque las causas concretas del fallo de seguridad están siendo investigadas por el Centro Criptológico Nacional (CCN), Villagrá explica que la hipótesis más razonable pasa porque un empleado del SEPE “ha pinchado donde no debía, seguramente en un correo malicioso y el antivirus no lo ha detectado”, desencadenando toda la alarma.
“Lo preocupante es que tengan un antivirus que no lo haya detectado, ya sea porque lo tengan desactualizado o porque sea una variante diseñada específicamente. Porque con el Ryuk clásico lo lógico es que salte el antivirus”, añade.
Una vez que el virus, en este caso Ryuk, se instala en uno de los ordenadores, lo primero que intenta es realizar “movimientos laterales”. Es decir, invadir otros ordenadores vecinos para alcanzar la mayor cantidad de datos posibles con el ataque.
Una vez detectado el ataque, los responsables de la ciberseguridad del servicio han decidido bloquear todas las comunicaciones internas, “desconectar el servidor web e iniciar una investigación rápida, una medida normal y preventiva”, sostiene el experto.
Según informan fuentes del Ministerio de Trabajo a ABC, el ataque “solo” ha buscado bloquear el sistema del SEPE, “con el objetivo de dañar”, y no se habría producido ningún robo de datos.
Un virus que “detona” tras expandirse lo máximo posible
Nuestra maldita Paula González, experta en ciberseguridad y jefa de Auditoría en GMV, explica que este tipo de virus suele emplearse para robar información de “empresas y organizaciones grandes”. Actúa en tres pasos:
- El primer paso es la distribución. González explica que hasta hace no mucho tiempo este tipo de malware se colaba en los ordenadores de sus víctimas a través de un troyano (es decir, haciéndose pasar por un programa legítimo y limpio). Aunque ahora también se dan casos de ciberdelincuentes accediendo de manera física a los dispositivos o a través de bots.
- Una vez que llega a la víctima “intenta replicarse por los sistemas que vea como adecuados para él” a lo largo de las redes compartidas de los ordenadores. Según los responsables del SEPE que han explicado el caso, este Ryuk circuló por las carpetas compartidas del servicio público.
- Finalmente llega la “detonación”, que consiste en el “cifrado de aquellos sistemas dónde se haya expandido y publicar una nota de rescate. Generalmente se pide el traspaso de cierta cantidad de bitcoins a una cartera virtual concreta.
Para acabar de entender el ataque, González explica que los ataques realizados con Ryuk “suelen ser dirigidos”. Es decir, no son ataques al bulto y donde caiga, cayó, “sino que es algún actor malicioso que tenía al SEPE como objetivo”.
Este artículo ha sido actualizado con los superpoderes de la maldita Paula González.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.