El día 9 de marzo de 2021 se produjo un ciberataque contra el Servicio Público de Empleo Español (SEPE), paralizando los sistemas informáticos de sus 710 oficinas presenciales y las 52 que actúan telemáticamente.

A primera hora de la mañana, los empleados de este organismo se dieron cuenta que no funcionaban el programa principal ni el servicio para fichar, y pronto empezaron a descubrir archivos que no reconocían con extensiones “.RYK”. Habían sido infectados con un virus informático.

Pronto se les dio la orden de apagar todos los ordenadores, y empezó una carrera frenética para poder recuperar la operatividad del sistema y que sus operaciones no se vieran retrasadas en demasía, siendo el SEPE un organismo vital para millones de personas en este país, especialmente en el marco de una pandemia como la que vivimos.

Esa misma tarde pudieron confirmar que se enfrentaban a Ryuk, un conocido ransomware que había comenzado a cifrar los archivos y había obligado a apagar cualquier máquina que requiriese de servicio informático, desde ordenadores hasta impresoras o teléfonos fijos.

Los ransomware son un virus caracterizado por aprovechar fallos de seguridad para bloquear los ordenadores y encriptar los archivos informáticos de aquellos dispositivos que infecta, pidiendo los ciberdelincuentes dinero a cambio de devolver los datos y restaurar el sistema.

Además, en las últimas épocas aquellos que están detrás de este tipo de ataques roban también parte de los datos para poder pedir un rescate, chantajeando a las víctimas con publicar esta información sensible.

En este caso, el director del SEPE, Gerardo Gutiérrez, ha negado siempre que se produjese alguna extorsión.

Tras un gran esfuerzo por parte del personal técnico (más de 19.000 horas extras se dedicaron a solucionar este problema), fueron dos días los que se necesitaron para reabrir el portal web, cuatro más para retomar el sistema de cita previa y dos más para garantizar la interoperabilidad con la Gerencia Informática de la Seguridad Social. Aún así, el incidente no se consideró resuelto hasta el día 20 de abril.

Analizando este episodio desde el punto de vista de las crisis de seguridad, hay múltiples aspectos que hemos de tener en consideración.

En primer lugar, hemos de ver qué actuaciones de identificación y prevención se habían realizado para evitar esta situación. Teniendo en cuenta el alcance del ataque, vemos que se llevaron a cabo tanto actuaciones positivas como negativas en este sentido.

Por un lado, sabemos que el virus únicamente afectó a los documentos compartidos de Windows, quedando a salvo el sistema de generación de nóminas, pago de prestaciones por desempleo y ERTE, así como la totalidad de la información confidencial. Los ciberatacantes no pudieron acceder a todos estos datos gracias a una estrategia de seguridad que realiza el SEPE, que consiste en un volcado diario de todos estos datos. Si estos sistemas y, especialmente, si los datos sensibles de los ciudadanos se hubieran puesto en peligro, la situación habría sido muchísimo más grave.

Asimismo, la respuesta fue inmediata, apagando todos los dispositivos conectados al sistema, tanto los de las oficinas presenciales como los de aquellos empleados que trabajaban telemáticamente, para aislar y minimizar el impacto y alcance del ataque. Por ello, podríamos pensar que tenían un protocolo de actuación previamente determinado.

Además, el SEPE realiza copias de seguridad constantes de sus archivos, la última fechada de solo un día antes del ataque, lo que ayuda a retomar la actividad en un periodo de tiempo menor en caso de requerirse (en este supuesto, los datos no fueron afectados, por lo que no haría falta recurrir a esta copia).

Por último, el hecho de que el virus afectase únicamente a una parte del sistema, hace pensar que la red estaba correctamente aislada, con muros de seguridad entre los distintos departamentos.

No obstante, también hubo errores en la esta fase de la gestión de crisis. Meses atrás el Defensor del Pueblo afirmaba que los medios materiales y personales del SEPE eran “claramente insuficientes”, queja respaldada y ampliada por los propios empleados y el CSIF, que denunciaba la necesidad de inversión tecnológica, dado que las aplicaciones y sistemas informáticos del SEPE tienen una antigüedad media de unos 30 años.

La más evidente de estas deficiencias era que el SEPE no tenía un plan de contingencia adecuado a las exigencias de la Estrategia Nacional de Seguridad. En España la ciberseguridad de las instituciones y organismos públicos está regulada en el Real Decreto 3/2010, en cuya reforma del año 2015 se determinó el Esquema Nacional de Seguridad como sistema de obligado cumplimiento para las administraciones públicas, con objetivo de “crear las condiciones necesarias de seguridad en el uso de los medios electrónicos”. Esta Estrategia Nacional de Ciberseguridad está coordinada por el Centro Criptológico Nacional del CNI (CCN-CNI). El SEPE, a pesar de tratarse de un organismo dependiente de la Administración Pública y de contar con un presupuesto de algo más de 13 millones de euros para la parte informática 12, no cumplía con el ENS, y no disponía de los certificados oficiales del CCN que acreditan que los sistemas están protegidos contra ciberataques.

Esta falta de previsión se evidenció, por ejemplo, cuando al restaurar la página web emplearon una copia de “archive.org", una organización que recopila sitios web, que databa del año 2020. Se evidenció que carecían de un backup actualizado de su propia página web, disponiendo únicamente de una copia de seguridad de la web realizada en el año 2016.

Además, si bien tenían en plantilla a 70 especialistas informáticos, la mayoría no estaban especializados en ciberseguridad. Al acudir el resto de técnicos contactados, estos evidenciaron las múltiples fallas en la seguridad de este sistema.

Con respecto a la fase de detección del ataque y respuesta al mismo, ya hemos determinado que las actuaciones iniciales fueron inmediatas. A primera hora de la mañana, todos los empleados recibieron la orden de desconectar y aislar todos los equipos, siendo informados de que había sido detectado en el sistema un virus informático.

Se informó al CCN-CERT del incidente y pusieron en marcha una serie de actuaciones para asegurar la continuidad del servicio y el restablecimiento de la actividad habitual lo antes posible.

Cabe destacar que informaron del problema mediante su cuenta de Twitter a la población, guiando a los ciudadanos de cómo proceder desde esta vía hasta que se restauró la web. 16

Las funciones básicas del SEPE, como podría ser el pago de prestaciones, no se vieron afectadas, aunque sí se retrasó su gestión unos días, puesto que todavía no era seguro que los empleados utilizasen sus equipos. La atención pasó a ser completamente presencial y telefónica, cumplimentándose los documentos y solicitudes necesarios de manera manual y habilitándose incluso un número telefónico para solicitar información (060, un punto de acceso general).

De este modo, y bajo la dirección de un gabinete de crisis que se creó, se produjo una rápida movilización del personal disponible, tanto empleados del SEPE como del Centro Criptológico Nacional y de McAffee, su proveedor de antivirus, para solicitar soporte y ayuda técnica en la desinfección y restauración de los sistemas. También colaboraron empleados de la Secretaría General de Administración Digital, así como de Telefónica. Durante 20 horas diarias, 7 días a la semana durante 3 semanas, incluyendo Semana Santa, este personal estuvo movilizado.

Estos expertos realizaron copias de seguridad de más de 8 petabytes, de manera que pudiesen restaurar los sistemas una vez los ordenadores estuviesen libres del virus. Además, contaban con las copias de toda la información realizada tan solo un día antes del ataque.

Gracias a esta rápida respuesta a la crisis, el tiempo de recuperación (RTO) fue menor del que podría esperarse. Si bien se tardó más de un mes en recuperar totalmente el sistema informático, el restablecimiento de los servicios críticos fue de aproximadamente una semana, aunque algunos trámites tardaron algo más en volver a estar accesibles mediante la web.

Con las medidas de seguridad adecuadas, aseguraron los expertos, combatir este tipo de virus puede tardar tan solo un par de días, pero sin estas protecciones, un problema así podría llevar entre dos y tres semanas. La secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, declaró en este respecto que la actuación fue especialmente rápida, “habiendo tardado otros gobiernos entre seis y siete meses en restablecer su sistema”.

Una vez se puso fin a la amenaza, se inició la fase de recuperación post crisis, en la cual se han de analizar los fallos y reforzar los sistemas, en vista de que no se vuelva a plantear una situación similar en el futuro.

Tras un análisis de la situación, la jefa del Área de Arquitectura, Calidad, Seguridad y Desarrollos Transversales del SEPE, Gema Paz, determinó la necesidad, entre otras medidas, de llevar a cabo un monitoreo constante (24 horas, 7 días a la semana) del sistema, para poder detectar instantáneamente cualquier intento de ciberataque.

Con el objetivo de mejorar todas estas fallas e implementar las nuevas medidas, el SEPE, el CCN-CERT y la Secretaría General de la Administración Digital están colaborando para crear un Centro Operativo de Ciberseguridad propio de este organismo.

Una vez finalizado el análisis desde el punto de vista de la gestión de la seguridad de la información, cabe realizar unas conclusiones finales, aportando posibles soluciones.

En la actualidad, la tecnología está presente en todas las áreas de nuestra vida, y tiene una tremenda importancia. De ahí a que los ciberataques sean cada vez más frecuentes y sofisticados, teniendo objetivos cada vez más grandes para conseguir elevados rescates. Esta situación se ha intensificado con la pandemia de coronavirus, en que ha aumentado la dependencia a las tecnologías por el teletrabajo, y la necesidad de volcar toda la actividad a la red de manera urgente ha provocado que se llevasen a cabo mediante procedimientos que no eran totalmente seguros.

Como consecuencia de esta situación, el Gobierno, preocupado por el aumento de ciberataques a los organismos públicos, se ha propuesto adoptar una serie de medidas en materia de ciberseguridad.

Respecto al ataque del SEPE, han considerado necesario y de gran importancia actualizar sus equipos informáticos y lograr una “arquitectura digital óptima”, para lo cual han destinado 150 millones de los Presupuestos Generales del Estado de 2021.

Entre las medidas generales, la más importante es la puesta en marcha de un proyecto de ‘Plan de Recuperación, Transformación y Resiliencia’ que se financiará con fondos europeos.

Dentro de este plan, se llevarán a cabo diversas actuaciones, entre las que destaca la implantación de un ’Plan de choque de Ciberseguridad’, para "adaptar a la normativa y a la evolución social y a la tecnológica todo el Esquema Nacional de Seguridad". Dentro de este plan, se regularán temas como la detección de amenazas, protección de virus y refuerzo de capacidades de recuperación.

Otra de las medidas será la creación de un Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS). Su actuación será centralizada, simplificándose así la estructura organizativa de la seguridad y mejorando su eficacia.

Además, preven también la reforma y modernización del Esquema Nacional de Seguridad, elaborado hace más de 10 años y que requiere una adaptación a las tecnologías más modernas y a los nuevos retos.

Los expertos en la materia denuncian desde hace años la falta de regulación en este sentido, por lo que las medidas propuestas por el Gobierno son necesarias y se han de implantar cuanto antes.

Además, la Administración está muy poco preparada. Es vital que se invierta en mejorar los equipos informáticos, muy anticuados por lo general, tanto en el caso de las Administraciones públicas como las empresas privadas, así como en concienciar de la importancia de conocer cómo se deben actuar ante estos ataques y cómo prevenirlos.

Con una preparación adecuada, el SEPE no hubiese sufrido el ataque que hemos comentado, puesto que existen programas desarrollados por el propio CNI que evitan que este tipo de ransomware infecte toda una red informática (por ejemplo, Microclaudia, que hace creer al virus que ha infectado a todo el sistema cuando únicamente ha afectado a un dispositivo, de manera que este deja de propagarse).

Además, teniendo una guía estricta y eficaz como el ENS, vemos que los organismos estatales que cumplen con sus indicaciones y cuentan con los certificados adecuados son poquísimos (9 en el ámbito estatal, 39 autonómico y 38 local), no siendo el SEPE todavía parte de dicha lista.

Sería necesario que todos los organismos, tanto públicos como privados, dispongan de unas estrategias de ciberseguridad claras, siguiendo unos protocolos adecuados para evitar y solucionar cualquier tipo de ataque.