Cómo funciona el virus informático que ha paralizado al SEPE y qué datos están en peligro

Se llama Ryuk y su objetivo es crear el caos para después pedir un rescate a cambio de restaurar la normalidad. El ciberataque de este ransomware al Servicio Público del Empleo Estatal (SEPE) ha dejado inoperativa su web y ha paralizado la actividad de las 710 oficinas que prestan servicio presencial y de las 52 telemáticas desde ayer, según CSIF. Este suceso deja patente una vez más que las empresas y organismos públicos son uno de los principales objetivos de los ciberdelincuentes. Para entender en profundidad lo ocurrido, varios expertos en ciberseguridad explican cómo funciona el virus que ha secuestrado al SEPE y cuáles son sus efectos.

¿Qué es Ryuk?

El ransomware que ha atacado al SEPE es un programa de software malicioso que tiene la capacidad de cifrar archivos y dejar ordenadores inutilizados con la idea de obtener dinero a cambio de devolver el funcionamiento normal al sistema. Suele causar pérdidas temporales o permanentes de información, interrumpe la actividad normal, ocasiona pérdidas económicas y daños de reputación.

Los ciberatacantes usan esta técnica para obtener un rescate, “pero lo primero que hay que decir es que los rescates -que normalmente no transcienden- no se pueden pagar; es un delito”, explicó a Efe el experto en ciberseguridad José Rosell, socio director de la empresa S2 Grupo.

¿Desde cuándo se lleva planificando el ataque?

“Cuando se produce un ataque a gran escala como este quiere decir que los atacantes ya llevaban un tiempo dentro de la red, comprometiendo la mayoría de los sistemas de la organización”, advierte Luis Corrons, Security Evangelist de Avast.

¿Cómo han entrado en el SEPE?

Normalmente, este tipo de virus suelen entrar o por un correo malicioso que lleva un adjunto o por un enlace (url) que se conecta a una “web ya preparada para infectar a quien la visita”, aclaró José Rosell.

¿Qué archivos y sistemas se han visto afectados?

El ciberataque solo ha afectado a los archivos compartidos del organismo y no a su sistema informático con el que, por ejemplo, se generan las nóminas para el pago de prestaciones como las de los Expedientes de Regulación Temporal de Empleo (ERTE), señalaron desde el SEPE.

¿Por qué no retoman parte de la actividad?

Luis Corrons recuerda que el SEPE necesita que los ordenadores conectados a su red funcionen para poder trabajar. “Sin embargo, hasta que se haya eliminado la infección, se hayan restaurado las copias de seguridad y se haya parcheado el origen del ataque, cualquier ordenador que se conecte a esta red estará en peligro. Por tanto, no podrán trabajar de ninguna manera. Además, un ataque de ransomware encripta todos los datos, por lo que, si la información de los servidores se ha visto afectada, no tendrán ningún dato con el que trabajar”, añade.

¿Cuándo se reestablecerán los servicios?

Fuentes del SEPE han explicado a LA RAZÓN que un equipo de informáticos estuvo la noche trabajando para intentar devolver el sistema a la normalidad, pero hasta ahora no ha sido posible. Además, el hecho está siendo investigado por el Centro Nacional de Inteligencia (CNI).

Los plazos aún se desconocen, aunque Corrons teme que no será un proceso sencillo. Explica que hace unos meses Endesa también sufrió un ataque de ransomware, pero fueron capaces de recuperarse en cuestión de horas gracias a una detección temprana. “El nivel de preparación en este caso no parece ser el mismo, y me temo que puede llevar semanas, si no más tiempo, volver a la normalidad. Aunque no tenemos la imagen completa, el hecho de que las operaciones de las oficinas se detuvieran y los servicios como el sitio web del SEPE cayeran, hace pensar que los atacantes tuvieron acceso a la mayor parte de su infraestructura”, explica.

¿Han robado datos?

Hasta ahora parece que no. “En estos momentos podemos confirmar que no se ha visto afectada la confidencialidad de los datos de los usuarios ni el sistema de gestión para el pago de prestaciones y de ERTE”, aclaró a LA RAZÓN Gerardo Gutiérrez. No obstante, los datos de los usuarios están en peligro hasta que se solucione el problema de raíz. “En la mayoría de los casos, los atacantes no se limitan a cifrar los datos, sino que se llevan una copia de toda a información para aumentar la petición del rescate. Si la víctima no quiere pagarlo, amenazan con publicar los datos robados o venderlos”, advierte Luis Corrons, Security Evangelist de Avast.

¿Están pidiendo un rescate?

Por el momento, aunque el objetivo de los ciberdelincuentes es obtener dinero a cambio de devolver los sistemas a la normalidad, “no hay ningún tipo de rescate que se haya solicitado”, señaló el director general del SEPE, Gerardo Gutiérrez.

¿Cómo protegerse de este tipo de ataques?

Luis Corrons aconseja tener todo el software de los ordenadores actualizado, tenerlos protegidos con un software de seguridad y enseñar a los empleados a reconocer los ataques de phishing. Una vez se ha comprometido el sistema, “habrá que buscar pistas que permitan a la organización detectar dónde está la brecha lo antes posible. Supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red puede indicar que algo va mal y evitar un ataque a gran escala”, recomienda.