La infraestructura del SEPE, víctima de un ataque de ransomware

Todos los servicios del SEPE (Sistema Nacional de Empleo) no están operativos desde hace primera hora de la mañana. Esto afecta a su página web, a la sede electrónica, a los sistemas de las oficinas y, según hemos podido leer en Twitter, también al servicio de atención telefónica del Servicio Público de Empleo Estatal de España. La caída del servicio ha sido comunicada por la propia entidad a través de Twitter, en un mensaje sobre la web y la sede electrónica, y por múltiples usuarios de la red social que afirman que las oficinas tampoco están funcionando ni las oficinas ni el servicio de atención telefónica.

Esa es, a estas horas, la única información ofrecida por el SEPE con respecto a esta caída general de sus sistemas. Una caída sobre la que no hay explicaciones, plazos previstos para la recuperación… nada. Solo un tweet en el que se informa parcialmente del problema (no se mencionan en ningún momento el problema de las oficinas y el servicio telefónico) y, claro, múltiples respuestas en las que los usuarios critican la gestión o preguntan cómo proceder para realizar sus gestiones.

Sin embargo, según fuentes de confianza citadas por Vozpopuli, no se trata de una caída, en la acepción que empleamos habitualmente para dicho término, y que suele estar relacionada con un fallo en los sistemas. No, en este caso estaríamos hablando de un ataque de ransomware que habría logrado comprometer elementos clave de la infraestructura IT del SEPE, haciendo imposible el funcionamiento de cualquiera de sus servicios a través de cualquiera de las vías por las que normalmente son accesibles.

Según hemos podido saber, los ordenadores de las oficinas fueron apagados tal y como se detectó el ataque, una medida habitual al detectar malware en los sistemas y que, en este caso, impide que prolifere la difusión del mismo en la red de la entidad afectada. Algo crucial en este caso, pues tanto el volumen como el grado de sensibilidad de la información gestionada por el SEPE hacen que su posible caída en malas manos sea un enorme riesgo.

Por causas ajenas al @empleo_SEPE , la web y la sede electrónica del #SEPE no se encuentran disponibles. Se avisará cuando estén nuevamente operativas. Lamentamos las molestias causadas. pic.twitter.com/YPa9Dps2UX

— SEPE (@empleo_SEPE) March 9, 2021

Y esto es el punto que, sin duda, más me preocupa en este momento. No le resto importancia, ni mucho menos, a las gestiones que no se vayan a poder efectuar desde el cierre de los sistemas hasta la restauración segura del servicio. Al contrario, soy muy consciente de las potenciales implicaciones de esta situación (especialmente en estos tiempos de coronavirus y ERTEs) para muchísimas personas que dependen del SEPE para tener los ingresos mínimos para subsistir.

Lo que más me preocupa es que, por norma general, los ataques de este tipo constan de varias fases, y una de ellas es la exfiltración de la información que posteriormente será secuestrada. De esta manera los ciberdelincuentes cuentan con un poderoso elemento de presión para forzar a sus víctimas a pagar, con la amenaza de que, en caso contrario, dicha información será hecha pública o puesta a la venta al mejor postor. Y esto es preocupante en cualquier empresa y entidad, pero ahora recordemos que hablamos del SEPE, y de la ingente cantidad de información que tiene sobre los trabajadores españoles.

Cualquier persona que haya visitado una oficina del SEPE en los últimos años, habrá podido constatar que el parque informático de buena parte de las mismas dejó atrás la obsolescencia hace ya tiempo, y que ahora ya puede considerarse como vintage. Una circunstancia que lleva asociado un incremento en los riesgos a los que se enfrentan, puesto que en muchas ocasiones pueden tener que estar empleando sistemas operativos y aplicaciones que hace ya mucho tiempo que dejaron de recibir servicio y actualizaciones y, por lo tanto, son campo abonado para la entrada del malware.

SEPE, ransomware y pandemia

Y esto, que ya supondría un problema en circunstancias normales, se ve incrementado exponencialmente con la carga extra de trabajo que ha supuesto la pandemia, complicando aún más la situación a los trabajadores, lo que a su vez se traduce en que de manera inconsciente puedan asumir mayores riesgos. No es ningún secreto que la puerta de entrada de muchos ataques de ransomware es el phishing, y tampoco se sorprenderá nadie al saber que un empleado sobrecargado de trabajo es más propenso a caer en este tipo de engaños.

Pese a que hasta el momento no hay un comunicado público por parte del SEPE (algo que debería haberse producido ya), la entidad sí que habría emitido un comunicado interno, en el que se informa a los trabajadores tanto sobre el problema como sobre las medidas que se han adoptado, y que van desde el apagado masivo y aislamiento de redes y sistemas, hasta una solicitud de asistencia tanto a McAffe, uno de sus proveedores de soluciones de seguridad, como al Centro Criptológico Nacional, en lo que se entiende que es un intento de descifrar los activos, eliminar todo el malware que todavía persiste en los sistemas y recuperar la operativa del SEPE a la mayor brevedad.

Esta historia acaba de empezar a escribirse (aunque su prólogo se remonta atrás en el tiempo) y todavía tendrán que darse bastantes pasos hasta que todo vuelva a la normalidad. La recuperación tras un ataque de ransomware nunca es inmediata, y dado el volumen de información gestionado por el SEPE cabe esperar que en este caso se pueda alargar bastante.

Y antes de que eso ocurra, o como muy tarde cuando se resuelva el incidente, espero (sí, quizá deba hacerlo sentado) que el SEPE de explicaciones públicas de lo ocurrido: análisis forense, medidas adoptadas, etcétera. No olvidemos que hablamos de una entidad pública, y que por lo tanto está obligada a ser transparente… algo que todavía estamos esperando de ADIF, tras el ataque de ransomware que sufrió el año pasado.

Imagen: GoboFR