El Servicio Público de Empleo Estatal (SEPE) continua paralizado a consecuencia del ataque de ransomware que sufrió esta semana y que ha afectado a todas sus oficinas del territorio nacional. El ransomware conocido como Ryuk ha dejado inoperativa su web y ha obligado a suspender la actividad y a posponer todas las citas. Ante esta situación, hemos hablado con el experto en ciberseguridad Luis Corrons, Security Evangelist de Avast, para conocer el alcance de este ataque y las posibles soluciones para afrontarlo.
¿Qué consecuencias puede tener para el SEPE un ataque como el que ha sufrido?
L. C.: Un ataque como este paraliza por completo el proceso de trabajo del SEPE, lo que agravará aún más el estado de colapso que vive la institución debido a la avalancha de archivos que debe gestionar desde el inicio de la pandemia. Cuando se produce un ataque a gran escala como este quiere decir que los atacantes ya llevaban un tiempo dentro de la red, comprometiendo la mayoría de los sistemas de la organización.
El SEPE necesita que los ordenadores conectados a su red funcionen para poder trabajar. Sin embargo, hasta que se haya eliminado la infección, se hayan restaurado las copias de seguridad y se haya parcheado el origen del ataque, cualquier ordenador que se conecte a esta red estará en peligro. Por tanto, no podrán trabajar de ninguna manera.
Además, un ataque de ransomware encripta todos los datos, por lo que, si la información de los servidores se ha visto afectada, no tendrán ningún dato con el que trabajar.
¿Están los datos de los usuarios del SEPE en peligro?
L. C.: En la mayoría de los casos, los atacantes no se limitan a cifrar los datos, sino que se llevan una copia de toda a información para aumentar la petición del rescate. Si la víctima no quiere pagarlo, amenazan con publicar los datos robados o venderlos.
¿Cómo pueden protegerse instituciones como el SEPE de este tipo de ataques?
L. C.: Estamos hablando de una organización de más de seis mil empleados y cientos de oficinas en toda España. La superficie de ataque es enorme, y el mínomo clic erróneo puede iniciar el ataque. En cualquier caso, se pueden tomar varias medidas para minimizar el riesgo: tener todo el software de los ordenadores actualizado, tenerlos protegidos con un software de seguridad y enseñar a los empleados a reconocer los ataques de phishing.
Ahora bien, si el sistema se ha visto comprometido, como es el caso, habrá que buscar pistas que permitan a la organización detectar dónde está la brecha lo antes posible. Supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red puede indicar que algo va mal y evitar un ataque a gran escala.
¿Cómo de grave ha sido el ataque al SEPE?
L. C.: Hace unos meses, Endesa sufrió un ataque de ransomware que también fue noticia. Sin embargo, se recuperaron en cuestión de horas, lo que significa que detectaron el ataque en una fase temprana. El nivel de preparación en este caso no parece ser el mismo, y me temo que puede llevar semanas, si no más tiempo, volver a la normalidad. Aunque no tenemos la imagen completa, el hecho de que las operaciones de las oficinas se detuvieran y los servicios como el sitio web del SEPE cayeran, hace pensar que los atacantes tuvieron acceso a la mayor parte de su infraestructura.