Imposible tramitar ERTE o apuntarse al paro: cómo un ciberataque ha dejado KO al SEPE
  1. Tecnología
Semanas para volver a la normalidad

Imposible tramitar ERTE o apuntarse al paro: cómo un ciberataque ha dejado KO al SEPE

El Servicio Público Estatal de Empleo sufre desde este martes el secuestro de buena parte de sus sistemas por un 'ransomware' llamado Ryuk que cifra todos los archivos que se encuentra

placeholder Foto: Foto: EFE.
Foto: EFE.

Desde la mañana de este martes nadie en el Servicio Público Estatal de Empleo (SEPE) puede hacer una nueva gestión, simplemente recibir papeles, organizar archivos o realizar otro tipo de tareas que no necesiten de un solo servicio informático. Imposible tocar los ordenadores, pero tampoco las impresoras, ni siquiera los teléfonos fijos. Y, según fuentes internas y oficiales, no se sabe cuándo van a poder volver a hacerlo. Este centro español, uno de los más afectados por la crisis del coronavirus, pues de él depende buena parte de la gestión de puntos clave como los ERTE, está intentando sobrevivir a un virus, esta vez informático, que ha secuestrado buena parte de sus sistemas, los ha encriptado y ha obligado a prácticamente parar toda la maquinaria.

La noticia saltaba este martes cuando el propio SEPE anunciaba un parón en sus sistemas por causas ajenas al centro, pero poco a poco se han ido conociendo más detalles. Esas "causas ajenas" era un ciberataque basado en un 'ransomware' que poco después se supo que era Ryuk, en concreto, y según Gerardo Gutiérrez, director general del SEPE, la última versión de este virus, de origen ruso y que ya afectó en el pasado a otras instituciones españolas como el Ayuntamiento de Jerez de la Frontera. Eso sí, antes de todo esto, los empleados ya habían tenido que detener por completo todo su trabajo, incluso el más básico.

Foto: Una oficina de empleo, en una imagen de archivo. (EFE)

"A ver, el SEPE nunca cierra, y por esto tampoco lo va a hacer, los trabajadores seguiremos como podamos, pero es verdad que hemos tenido que apagarlo y parar todo. En algunos centros han mandado a la gente a casa y los pocos que han continuado lo han hecho pues con trabajo manual", explica en conversación con Teknautas, Pilar Alcázar, delegada de Madrid UGT en el SEPE. Incluso el aviso para que los trabajadores apagaran todos sus equipos ha tenido que ser especial. "Los teléfonos no funcionaban así que nos han avisado por megafonía, como en los simulacros y avisos de bomba. Claro, tampoco había una forma más rápida y sencilla de avisar a todo el mundo", comenta Álcázar.

Con este parón a primera hora los rumores se han disparado y se ha empezado a hablar de tiempos y posible afectación. "Al encender el ordenador veías letras raras en los archivos y otros dicen que se añadían tres letras al final de los archivos (todo apunta a que era la extensión 'ryk', señal de que ha sido modificado por 'Ryuk'). Y bueno la gente ha empezado a hablar de 'ransomware' y que podíamos estar semanas sin servicio. A ver en qué queda al final, porque no podemos, literalmente, parar semanas", asegura la empleada del SEPE. De momento no hay opción posible, solo puedes adelantar trabajo manual, de archivo o recepción de solicitudes en papel y no tienen ni idea de qué va a pasar a continuación. "A mí, que trabajo en un escritorio en remoto ya me han dicho que es muy posible que me tengan que formatear el ordenador, y si es así me van a hacer una buena, cuatro meses de trabajo a la basura".

Algo parecido señala Josetxo Gándara, responsable de Acción Sindical del sector de la Administración General del Estado de FSC-CCOO, que destaca la imposibilidad de trabajar hasta en lo más esencial. "Solo podemos encender el ordenador, pero nada más. Ni gestionar nuevos ERTE, ni cambiar datos... Por no poder no podemos ni llamar o imprimir, porque todo está conectado y puede estar afectado. Imagino que han decidido tumbar todo el sistema por seguridad y ahora tendrán que ir casi ordenador a ordenador para ver hasta dónde ha llegado, pero vamos que esto huele a que va para largo".

Por suerte, el propio director del SEPE acababa asegurando a mediodía que no estaban en riesgo los datos confidenciales, los pagos de las prestaciones ni la generación de nóminas, pero aún no se sabe nada sobre el final la vuelta a la normalidad de los sistemas. "Claro, todos esos procesos los tenemos automatizados y no hace falta tocar nada para que sigan funcionando. El problema son las nuevas tramitaciones o cualquier gestión. En eso el sistema está parado al 100%", añade Gándara. Pero, ¿cómo funciona este virus para tener que estar que tumbar por completo una maquinaria de este tamaño? 710 oficinas de servicio presencial y 52 telemáticas fuera de servicio hasta nuevo aviso.

Un secuestro masivo

Como decíamos, Ryuk no es un actor nuevo, ni a nivel internacional ni en nuestro país. Sus ataques ya han causado estragos en ayuntamientos, hospitales o fundaciones. Y gente como Jorge Louzao lo conocen bien. "Es un tipo de programa que cifra todo lo que encuentra y ni siquiera es seguro que pueda descifrarse, porque muchas veces ni los propios ciberdelincuentes tienen la llave para hacerlo, son un poco chapuzas en su programación", señala este experto en ciberseguridad en conversación con este periódico. Por eso, asegura, una vez afectado todo depende de las copias de seguridad que tengas. "Viendo lo que se sabe del caso del SEPE yo diría que han llegado bastante lejos. Vamos, no sé cómo tienen montada su estructura, pero huele a una afectación importante. Y ahí hay pocas opciones para solucionar el problema", añade.

Foto: Una oficina de empleo, en una imagen de archivo. (EFE)

Estos ataques de 'ransomware' de programas como Ryuk se basan en dos puntos clave. Por un lado son ataques dirigidos que aprovechan vulnerabilidades del sistema para colarse hasta la cocina. Una vez conseguido el hueco, el 'gusano' cifra todo lo que se encuentra y automáticamente empieza a pedir un rescate a cambio de una importante cantidad de dinero, normalmente a pagar en criptomonedas. Los sistemas quedan bloqueados y se opta por el tumbado total de la estructura para evitar que se extienda. "Habrá que ver los sistemas de este servicio, pero, por ejemplo, da igual tener copias de seguridad en una red local compartida porque eso también lo va a encriptar, arrasa con todo lo que está conectado, sin distinciones".

Una buena opción en estos casos, asegura, es tener todas esas copias en una nube del tipo de Onedrive o en 'contenedores' que no tengas continuamente conectados. "Al final estas nubes tienen sistemas 'antiransomware' propios y hacen multitud de copias de cada archivo", añade.

placeholder Foto: EFE.
Foto: EFE.

Como explicaba Sergio de los Santos, especialista en ciberseguridad de ElevenPaths, en un artículo tras el ciberataque al Ayuntamiento de Jerez, las claves de estos virus están en su sofisticación. "Al final este tipo de virus funcionan casi como un producto empresarial más. Los que lo crean y lo explotan lo hacen de forma muy profesional, sabiendo exactamente su objetivo y lo que buscan, y hacen todo para conseguirlo. Por eso es tan complicado detectarlos a priori".

De los Santos asegura que Ryuk se trata de una evolución de un virus nacido en 2017 llamado Hermes y que funcionaba de forma muy similar. "Para que te hagas una idea, estos virus funcionan por campañas. Se actualizan se ponen a punto y se lanzan hasta que los sistemas de control se actualizan y consiguen encontrar una barrera contra estos gusanos. En ese momento vuelven a modificarlos y la rueda sigue". Justo, el director del SEPE aseguraba que el Ryuk que les ha afectado es "la última versión".

"Al contrario que Wannacry y demás, son virus que intentan pasar desapercibidos. Atacan objetivos muy concretos, casi todo empresas o instituciones, les sacan el dinero y se van. Así no hacen saltar las alarmas y es más complicado que el resto se preparen contra él", terminaba De los Santos.

¿Cómo se soluciona esto y cuánto tiempo tarda?

En cuanto a cómo puede salir de esta el SEPE y hasta cuándo puede durar el problema, es muy complicado aventurarse sin conocer el alcance del ataque, pero en otros casos similares el asunto se ha alargado semanas o meses, con formateos ordenador a ordenador, limpieza de servidores y todo tipo de comprobaciones. En este caso, el servicio de empleo cuenta con la ayuda del Centro Criptográfico Nacional, dependiente del CNI, pero Louzao deja claro que no es un trabajo sencillo. "No puedo dar fechas sin conocer cómo funcionan, pero ya te digo que no es un trabajo sencillo ni rápido. Esto va a necesitar su tiempo y por lo que vemos van a precisar de una limpieza a fondo".

Foto: De derecha izquierda: Mariluz Alcántara, Engels Genao y Lucía Collantes.

Según este experto, la vuelta a la normalidad pasa normalmente por volver a levantar la red aislando el virus y todos los puntos afectados. Una nueva red limpia, pues con los archivos encriptados hay poco que hacer. "En este caso y viendo que usaban terminales y sistemas muy antiguos pueden haber tenido suerte y que el 'ransomware' no se haya podido ejecutar en algunos terminales, o que estos estén separados por servidores no habiendo afectado a todos los equipos del SEPE, pero son suposiciones hasta que sepamos algo más", señala.

El director del SEPE aseguraba este martes que en horas podrían dar un tiempo aproximado de recuperación, pero al cierre de este artículo no han ofrecido más información al respecto. De momento no peligran los pagos de prestaciones, pero un parón prolongado podría complicar el trabajo o la tramitación de nuevos expedientes, según han aclarado desde el sindicato CSIF.

Señor con maletín

Detrás de toda gran historia hay otra que merece ser contada

Conoce en profundidad las 20 exclusivas que han convertido a El Confidencial en el periódico más influyente.
Saber más
Ransomware Ciberataque
El redactor recomienda