El Ministerio de Trabajo sufre un segundo ciberataque con el virus que tumbó el SEPE
El organismo ha vuelto a sufrir un ciberataque con el 'ransomware' Ryuk, el mismo que tumbó el SEPE varias semanas. El alcance es importante y se ha calificado internamente como "crítico"
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa51%2Fd52%2F769%2Fa51d527696311273df7fcfc0ae259cf6.jpg)
Solo tres meses después de sufrir el mayor ciberataque de los últimos años, que tumbó el Servicio Público de Empleo Estatal (SEPE), el Ministerio de Trabajo ha recibido un segundo ataque con la misma técnica. Empleados del ministerio han confirmado a El Confidencial que se trata del 'ransomware' Ryuk, que secuestra los sistemas y pide un rescate para liberarlos. Es exactamente el mismo tipo de ataque utilizado para dejar fuera de juego al SEPE durante más de dos semanas o a Everis y la Cadena SER en 2019. El incidente, según ha podido saber este diario, se ha calificado internamente como "crítico".
Responsables técnicos del ministerio y del Centro Criptológico Nacional (CCN+CERT, dependiente del CNI) "están trabajando de manera conjunta para determinar el origen y restablecer la normalidad lo antes posible", ha dicho esta mañana en un comunicado el Ministerio de Trabajo. Fuentes consultadas aseguran que en esta ocasión el ataque no ha afectado al SEPE, sino a sistemas internos del organismo, pero el alcance es bastante grande en términos del número de equipos y sistemas afectados. Internamente se la ha calificado como incidente crítico, lo que da una idea de la importancia del mismo. Aún se desconoce si ha habido algún impacto en servicios ofrecidos al ciudadano.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fccc%2F676%2F8f9%2Fccc6768f976100e8cada083e2d796687.jpg)
Responsables del ministerio han pedido a todos los funcionarios y empleados desconectarse de la red del organismo, por lo que muchos han tenido que irse a trabajar desde casa y otros seguir trabajando conectados a otras redes habilitadas.
⚠️ El Ministerio de Trabajo y Economía Social se ha visto afectado por un ataque informático. Los responsables técnicos del Ministerio y del Centro Criptológico Nacional están trabajando de manera conjunta para determinar el origen y restablecer la normalidad lo antes posible.
— Ministerio Trabajo y Economía Social (@empleogob) June 9, 2021
Este mismo 'ransomware', Ryuk, inutilizó en marzo los sistemas del SEPE hasta tal punto que hizo imposible ofrecer servicios clave como tramitar los ERTE o apuntarse al paro. Durante dos semanas no se pudo tocar los ordenadores, pero tampoco las impresoras, ni siquiera los teléfonos fijos. Ryuk fue usado también para secuestrar los sistemas de otros organismos en España, como el Ayuntamiento de Jerez y de Bilbao, o de compañías en todo el mundo, desde múltiples medios de comunicación en EEUU, como 'Los Angeles Times', escuelas, hospitales y multinacionales como la francesa Sopra Steria. En el 2019 la Cadena SER y Everis sufrieron un grave ataque con este ransomware. Everis reconoció recientemente en sus cuentas anuales que el ciberataque le supuso un coste total de 15 millones de euros, en términos de "horas no productivas y costes directos de recuperación".
Especialistas en ciberseguridad consultados señalan lo preocupante del tratamiento interno de "crítico" de este incidente. "Lo que ocurrió con el SEPE no llegó internamente a ser catalogado así, y estuvo dos semanas caído, así que imagina qué puede estar pasando esta vez", señalan. Dependiendo de la gravedad de los ataques, estos son etiquetados en un nivel u otro de respuesta, lo que determina también los recursos y la urgencia con la que se debe actuar.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd46%2Fd7b%2F443%2Fd46d7b443bf5f36561f370aa1994bf1e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd46%2Fd7b%2F443%2Fd46d7b443bf5f36561f370aa1994bf1e.jpg)
¿Cómo funciona exactamente Ryuk? El principal vector de entrada suele ser el 'e-mail'. Alguien dentro de un organismo o empresa recibe un correo con un adjunto en el que, al abrirlo, se descarga el virus y de ahí salta a otros ordenadores conectados a la red para cifrarlos uno a uno en pocos minutos. Como explicaba recientemente Sergio de los Santos, especialista en ciberseguridad, las claves están en su sofisticación. "Este tipo de virus funcionan casi como un producto empresarial más. Los que lo crean (un grupo de origen ruso llamado Grim Spider) y lo explotan lo hacen de forma muy profesional, sabiendo exactamente su objetivo y lo que buscan. Por eso es tan complicado detectarlos 'a priori".
Ryuk es una evolución de un virus nacido en 2017 llamado Hermes y funciona de forma muy similar. "Operan por campañas. Se actualizan, se ponen a punto y se lanzan hasta que los sistemas de control se actualizan y consiguen encontrar una barrera contra estos gusanos. En ese momento vuelven a modificarlos y la rueda sigue. Son virus que intentan pasar desapercibidos. Atacan objetivos muy concretos, casi todo empresas o instituciones, les sacan el dinero y se van. Así no hacen saltar las alarmas y es más complicado que el resto se preparen contra él", explica de los Santos. Fuentes del Ministerio de Trabajo aseguran que, de momento, no ha habido petición de rescate, como suele ser común en este tipo de acciones.
Solo tres meses después de sufrir el mayor ciberataque de los últimos años, que tumbó el Servicio Público de Empleo Estatal (SEPE), el Ministerio de Trabajo ha recibido un segundo ataque con la misma técnica. Empleados del ministerio han confirmado a El Confidencial que se trata del 'ransomware' Ryuk, que secuestra los sistemas y pide un rescate para liberarlos. Es exactamente el mismo tipo de ataque utilizado para dejar fuera de juego al SEPE durante más de dos semanas o a Everis y la Cadena SER en 2019. El incidente, según ha podido saber este diario, se ha calificado internamente como "crítico".