Autor: Jose Corrochano | Analista de ciberseguridad
Los ciberataques se han convertido en una de las mayores preocupaciones a los diferentes países del escenario internacional, ya que son uno de os mayores problemas a los que se tiene que enfrentar tanto las organizaciones públicas como las privadas.
En el caso de España, en el sector privado es importante resaltar la variedad de entidades y grandes empresas que han sufrido importantes problemas en sus sistemas internos; entre otras, destacan: Acciona, Adeslas, Endesa, Everis, Mapfre o Telefónica. En lo que respecta al ámbito público se han producido dos ataques que han provocado cierta preocupación en las altas instituciones del Estado como fueron los que afectaron al Servicio Público de Empleo Estatal (SEPE) y al Ministerio de Trabajo y Economía Social.
El pasado 9 de marzo, el SEPE vio como sus sistemas informáticos fueron infectados de manera crítica y con un alcance muy importante por un `ransomware´ de tipo `Ryuk´, que desactivó sus sistemas hasta impedir realizar los servicios principales de tramitación de los Expediente de Regulación Temporal de Empleo (ERTE), y apuntarse al servicio del Instituto Nacional de Empleo (INEM) durante más de dos semanas.
Por otra parte, el Ministerio de Trabajo y Economía Social (dirigido por Yolanda Díaz), a su vez, 3 meses exactos después, el miércoles 9 de junio ha sufrido otra intrusión del virus `Ryuk´ en sus sistemas inutilizándolos. Este segundo ataque sí que es especialmente relevante ya que este Departamento posee amplias funciones, ya que es una infraestructura crítica de nuestro país (debido al elevado nivel de paro, un 15,98%, y a la 2º mayor tasa de desempleo joven de Europa, un 38%, sólo por detrás de Grecia).
Además, de este órgano superior de la Administración del Estado dependen varios organismos que gestionan algunas de las principales ayudas y subvenciones, del ámbito laboral, para la ciudadanía: la Secretaría de Estado de Empleo y Economía Social (que engloba la Dirección General de Trabajo y la Secretaría General de Relaciones Laborales), el SEPE, y la Unidad Administradora del Fondo Social Europeo y el fondo de Garantía Salarial.
El problema del Ransomware Ryuk
El virus de tipo `Ryuk´ es una modificación mejorada del virus Hermes creado en 2017 por un grupo criminal ruso denominado Wizard Spider (ante conocido como Grim Spider). Su forma de entrar en un sistema, por eso se cataloga como un ransomware, es a través de un email: un miembro del objetivo recibe un correo electrónico que, al abrir, se descarga el virus y este se introduce de forma silenciosa, así se extiende al resto de dispositivos del sistema para cifrarlos uno a uno. Posteriormente piden un rescate, usualmente en bitcoins, para liberar el sistema. Según el propio Ministerio no se ha pedido ningún rescate.
Este ransomware ha afectado a numerosas empresas en todo el mundo: colegios, hospitales, medios de comunicación (“Los Ángeles Times”), etc. En nuestro país se hizo conocido en 2019 por tener como objetivos a la emisora “Cadena Ser” y la multinacional de Everis, así como los Ayuntamiento de Bilbao o Jerez.
¿Quién está detrás de este `hackeo´?
La última acción contra el Ministerio de Trabajo ha sido realizada, supuestamente por la misma organización criminal, especializado en ciberataques de ransomware a empresas multinacionales, aunque no se descarta que haya sido una segunda actuación contra el SEPE ya que se ha producido exactamente 90 días después, y mediante el mismo método.
Tras el primer acceso a sus sistemas, este ransomware ha podido quedarse “latente” y tras 3 meses “activarse” de nuevo. Además, también ha podido haber buscado una nueva vía de entrada al sistema, ya que este tipo de virus se caracterizan por ser capaces de adaptar varias formas.
Otro de los elementos característicos de estos ciberdelitos es la petición de un rescate, en criptomonedas, normalmente bitcoin, mediante un correo electrónico. En este caso (ni tampoco en el del SEPE) ha trascendido si ha habido esta demanda ni si el departamento realizó el pago.
Los problemas que producen la desprotección
Las páginas web de los principales departamentos y organismos públicos del Estado deben seguir una serie de certificados de protección establecidas en el Esquema Nacional de Seguridad (o ENS), elaborado por el CCN. En el apartado “Sector Público Certificado” de la página del CCN se enumeran las entidades públicas que han recibido esta acreditación [1].
Actualmente, en este registro, se recogen muy pocas instituciones de la Administración General del Estado (AGE) y el poder ejecutivo; solamente aparecen ubicados el Ministerio de Asuntos Económicos y Transformación Digital, el Ministerio de Sanidad, el de Consumo y el de Agenda 2030 y Bienestar Social. Los otros 17 departamentos no están adecuadamente protegidos frente a posibles ataques.
En la Administración Pública, además de los problemas de certificación, es necesario destacar otros como la falta de inversión en el ámbito de las TIC, la poca formación de los trabajadores, o la calidad de los dispositivos y programas que se emplean en la actividad diaria.
Conclusiones: ¿Qué hacer para solucionar este problema?
La situación de desprotección a la que se ven sometidas las principales instituciones del Estado en el ámbito de la ciberseguridad se debe a múltiples causas, y por ser un fenómeno complejo, la estrategia a implantar para tratar de solucionarlo también debe desarrollarse en múltiples ámbitos:
- El aumento de la inversión en certificaciones y programas de software actualizados. Según el diario La Razón, “la mayoría de delegaciones del Servicio de Empleo usó hasta julio de 2019 software informático no homologado por la Agencia de Protección de Datos, a la que ocultó su uso para poder seguir utilizándolos”.
Y, además, en el caso del SEPE, sus dispositivos utilizaban Windows 7 con un servidor Web que había expuesto en Internet, facilitando la tarea enormemente a los ciberdelincuentes.
- Establecer una verdadera política de protección de sistemas y redes propias, fragmentándolas, según la propia división orgánica y funcional de los organismos, para que en caso de que uno se vea afectado no afecte a los demás, ni a otras unidades administrativas.
- Modificar los protocolos de respuesta ante nuevos posibles ataques y establecer pruebas periódicas al sistema por parte de diferentes pentester.
- Aumentar y mejorar la formación en ciberseguridad y fuentes abiertas para los empleados públicos, que evite que se produzcan brechas de seguridad de forma tan sencilla como en estos últimos dos casos.
Bibliografía
- Acuña, Sol. (10 de junio de 2021). “El Ministerio de Trabajo sigue sin poder controlar el ciberataque”. El Mundo. Extraído de: https://www.elmundo.es/economia/2021/06/10/60c1f57e21efa042668bfbb3.html
- Alberto. R Aguiar. (10 jun. 2021). “90 días en alerta: los especialistas no descartan que el ciberataque al Ministerio de Trabajo sea un segundo golpe del que ya sufrió el SEPE”. Business Insider. Extraído de: https://www.businessinsider.es/ciberataque-trabajo-podria-ser-nuevo-golpe-ataque-sepe-880105
- De Antonio, J. (10 de junio de 2021). “El SEPE usó durante años programas pirata pese al riesgo `muy crítico´ para la seguridad de sus sistemas”. La Razón. Extraído de: https://www.larazon.es/economia/20210611/klwxu3nojfgbxoama5e5w24gke.html
- Olivo, S. (16 de marzo de 2021). “Ciberataque al SEPE: el autor sería Wizard Spider, y gana casi 4 millones de dólares en un año con Ryuk”. Escudo Digital. Extraído de: https://escudodigital.com/ciberseguridad/ciberataque-al-sepe-el-autor-seria-wizard-spider-y-gana-casi-4-millones-de-dolares-en-un-ano-con-ryuk/
- Ortega, E. y Cedeira, Brais. “Trabajo y otros 15 ministerios no tienen la certificación de ciberseguridad que exige el CNI a pesar del asalto al SEPE”. El Mundo. Extraído de: https://www.elespanol.com/invertia/economia/empleo/20210610/trabajo-ministerios-no-certificacion-ciberseguridad-cni-sepe/587692693_0.html
