90 días en alerta: los especialistas no descartan que el ciberataque al Ministerio de Trabajo sea un segundo golpe del que ya sufrió el SEPE

Un analista de ciberseguridad comprueba un mapa con ciberamenazas.
Un analista de ciberseguridad comprueba un mapa con ciberamenazas.
REUTERS/Beck Diefenbach
  • Especialistas de Tarlogic, Panda Security o Kaspersky no descartan que el ataque al Ministerio de Trabajo sea un segundo golpe del ciberataque al SEPE.
  • Se ha producido exactamente 90 días después. Otra hipótesis es que los atacantes hayan vuelto a confiar en el ransomware Ryuk por su éxito en el pasado.
  • Descubre más historias en Business Insider España.

A finales de mayo el Consejo de Ministros aprobó un conjunto de medidas para mejorar la ciberseguridad de la Administración pública. Pretendían implementar un Plan de Coche de Ciberseguridad y actualizar el Esquema Nacional de Ciberseguridad.

Tras lo ocurrido ayer, no está muy claro si ha llegado a tiempo.

El 9 de marzo se detectaba un ciberataque con el ransomware Ryuk sobre el SEPE. El Servicio de Empleo, dependiente del Ministerio de Trabajo y Economía Social que dirige la vicepresidenta Yolanda Díaz, sufrió un apagón informático para evitar que el código malicioso continuase propagándose a través de sus sistemas. Los funcionarios tuvieron que regresar al papel y al boli, y con ese método estuvieron tomando cita de los demandantes de empleo durante días.

Ahora, 9 de junio, 90 días después, 3 meses exactos, Ryuk vuelve a atacar al Ministerio de Trabajo. Esta vez ha dejado fuera de servicio a varios de sus funcionalidades en línea. Los funcionarios han vuelto a tener que apagar el ordenador e incluso se han tenido que marchar a casa, según han reconocido algunos a medios como El Mundo.

El gran hackeo al SEPE es obra de Ryuk: cómo ha podido llegar el ciberataque, qué ha fallado y por qué ahora mismo es una de las mayores amenazas de internet

Los ransomware son un tipo de código malicioso que asalta las redes de sus víctimas y las intenta comprometer. Su fin último es propagarse todo lo posible y comenzar a cifrar los archivos de los dispositivos, para que los sistemas informáticos de sus víctimas queden inutilizables. Después envía una nota solicitando un rescate, como es muy habitual en otros ransomware del estilo.

En marzo, el director del SEPE anunció que no habían recibido ninguna nota de rescate. Pero claro está en ciberseguridad que una cosa es lo que se dice en público y otra lo que ocurre en privado.

El Ministerio de Trabajo sí ha aprendido algo con respecto al incidente de marzo. En esta ocasión, ha sido la Administración la que se ha adelantado al problema para tratar de comunicar el incidente lo antes posible y evitar que terceros controlen el mensaje. En esta ocasión se conoció el incidente a través de un tuit publicado por el propio Ministerio, que todavía no ha respondido a las preguntas que Business Insider España remitió ayer por la mañana.

Sin embargo, otros medios como El Confidencial sí han podido corroborar que el incidente lo vuelve a protagonizar Ryuk, por lo que la primera pregunta que viene a la cabeza es que cómo ha sido posible.

Business Insider España ha hablado con varios especialistas de las principales compañías de ciberseguridad en el mercado español para tratar de deconstruir cómo ha sucedido el incidente. Fue comunicado hace cuestión de horas y el análisis forense no ha concluido, pero estas son las hipótesis que hay encima de la mesa.

El 'ransomware' pudo permanecer latente en el SEPE

José Lancharo es el director de BlackArrow, la marca de soluciones de ciberseguridad avanzada de Tarlogic. Esta empresa española trabaja con firmas del Ibex 35, a las que provee de equipos de ataque y defensa (Red Teams y Blue Teams) así como un servicio de protección pensado para evitar incidentes con ransomware, Threat Hunting.

"Estamos en una dinámica en la que la pregunta que hay que hacerse no es si me puede tocar a mí, sino cuándo me va a tocar a mí", avanza en declaraciones a este medio. Considera que el incidente se haya detectado en el Ministerio de Trabajo exactamente tres meses después del ataque que se registró frente al SEPE "es mucha casualidad".

"Normalmente este tipo de ataques generan persistencia. Tú como ransomware, antes de salir a la luz en el sistema de tu víctima, antes de comenzar a cifrar, antes incluso de pedir el rescate, tratas de garantizar tu persistencia. Dejas alguna puerta abierta para poder volver a entrar más adelante", detalla. Matiza que es pronto para determinar qué ha ocurrido en el incidente a Trabajo. Pero la posibilidad está ahí.

Para la pandemia de la ciberdelincuencia todavía no hay vacuna: "Veremos menos ataques pero serán más peligrosos", adelantan algunos especialistas

Cuando se detecta un ataque de estas características, lo más habitual es identificar qué han hecho y cómo los ciberdelincuentes han podido generar esa persistencia. A veces, este tipo de códigos maliciosos minimizan el ruido que pueden generar en un sistema. Lo habitual en un programa es que se conecten con la consola de mando desde la que los propietarios pueden ejecutar sus códigos cada segundo o minuto.

"Pero pueden dejarse tareas programadas". El ransomware del SEPE ha podido estar tres meses latente, dormido, sin "llamar a casa", sin pedir instrucciones a sus operadores. De este modo es mucho más difícil de detectar.

Otras hipótesis

Hervé Lambert, responsable global del área de consumo de Panda Security, no descarta que esto sea lo que haya podido suceder. Tanto él como el propio Lancharo recuerdan que este tipo de incidentes los gestiona el Centro Criptológico Nacional (CCN) a través de su Equipo de Respuesta a Emergencias y a Incidentes (CERT). Son "unos profesionales".

Pero esta hipótesis "no deja de ser una alternativa válida", abunda Lambert. "Puede ser una de ellas. Hay otras", remacha. "Estamos en un momento en el que hay muchísimos ataques de manera constante". Pero el especialista se hace una pregunta inevitable en estos momentos. "¿Nos hemos confiado?".

Pero otra hipótesis es la posibilidad de que o bien un colectivo de ciberdelincuentes se haya hecho con los servicios de Ryuk porque saben que el ransomware ya tuvo éxito con el SEPE, o bien que haya sido una cuestión fortuita fruto de uno de tantos ataques "automatizados" que estos colectivos pergeñan, como explica el profesor de la OBS Business School y director de Cornerjob, Martín Piqueras, especialista en seguridad informática.

"Estas 'empresas' que se dedican a hacer ciberataques tienen sistemas que buscan constantemente vulnerabilidades y van atacando. No son ataques gobernados por una persona que se encarga de decidir cuándo es un buen momento para atacar, ni el incidente tiene por qué ser fruto de residuos que se quedasen en los sistemas del SEPE. Las organizaciones suelen hacer limpieza de los mismos tras un ciberataque", remacha el docente.

Sí es verdad que muchos ransomware "son polimórficos". "Van cambiando de forma y cambian también las puertas que buscan para querer cruzar. Si tu sistema de defensa solo ha bloqueado un posible vector de entrada, es posible que el ransomware haya logrado entrar por otro. Pueden ser varias las circunstancias que se han dado".

Los ciberdelincuentes ponen el foco en la Administración

La ministra de Trabajo, Yolanda Díaz
La ministra de Trabajo, Yolanda Díaz
Ministerio de Trabajo y Economía Social

Lancharo deja caer la idea de que pueda haber una campaña. Aunque incorpora algunos matices. "Viéndolo desde fuera lo parece, porque el año pasado fueron las aseguradoras" (Mapfre o SegurCaixa Adeslas sufrieron ataques) "y este la Administración". En los últimos meses, además del SEPE, han caído ayuntamientos como el de Castellón, y se han detectado intentos de ataques a diferentes ministerios. Incluso la web del Consejo de Seguridad Nuclear se vio comprometida hace unas semanas.

"El hecho de que parezca que los ataques van por sectores puede responder a que los propios medios de comunicación tienden a unir puntos", destaca, "porque en ocasiones no se ve un patrón claro". "Los ciberdelincuentes funcionan como si fuesen comerciales. Otras veces han sido campañas contra la banca".

El FBI accede al criptomonedero de los ciberdelincuentes que bloquearon el oleoducto de Colonial en EEUU y recuperan parte del rescate pagado

De lo que no duda ni Lancharo ni Daniel Creus, especialista en el equipo GReAT de análisis e investigación de Kaspersky, es que detrás de estos incidentes hay una intencionalidad económica. Lancharo recuerda que en ocasiones estos incidentes se pueden hilar con el propósito de generar inquietud a empresas. Que piensen que la afectada ha sido una competidora cercana.

"Hay que ir un poco a la naturaleza del grupo que hay detrás del incidente", enfatiza Creus, de Kaspersky. "Este grupo es un poco híbrido", dice, en referencia a los operadores de Ryuk. "Les da un poco igual a qué empresas atacar, siempre y cuando puedan ser un objetivo interesante". "En 2020, cuando estalló la pandemia, el sector sanitario estuvo en alerta y a los ciberdelincuentes les dio absolutamente igual".

Ryuk siempre demanda un rescate

Aunque en el ciberataque del SEPE no trascendió si Ryuk finalmente exigió un rescate económico (ni mucho menos si se acabó pagando), Lancharo detalla que los operadores detrás de este código malicioso llevan un tiempo en el que ya no trasladan una nota de rescate.

"Cuando estos actores entran en la red de una víctima intentan elevar sus privilegios, conseguir el mayor número de privilegios posibles para poder desplegar el código en el mayor número de dispositivos posibles". Pero sus rescates y sus solicitudes no suelen ser explícitos desde hace un tiempo.

"Únicamente ponen un correo de contacto". Cuando el director del SEPE comunicó en marzo que no se había recibido ninguna solicitud de rescate, es posible que la negociación con los ciberdelincuentes ni siquiera hubiera empezado. "Siempre hay un rescate. Lo que ocurre es que por ahora no se ha esclarecido cuál es el medio o la vía para el mismo".

20.000 disquetes enviados a finales de los 80 a un congreso de la OMS en Suecia: así fue el misterioso primer ataque con 'ransomware' de la historia

"Es muy temprano para sacar conclusiones", coincide Lambert, de Panda Security. "Esta vez las filtraciones se están controlando muy bien por parte del Ministerio".

Frente a la idea de que estos ataques pudiesen estar constantemente dirigidos contra el Ministerio de Trabajo, Creus, de Kaspersky, introduce otra variable. "Estos grupos, además de ser criminales muy organizados y de larga trayectoria, básicamente lo que buscan es el lucro económico. Pudo haber algún remanente del ataque anterior, pero no se sabe. Realizan ataques indiscriminados a empresas que puedan ser relevantes y que puedan ser de gran impacto".

"Es más. Estos grupos se dedican a lo que en ciberseguridad se denomina caza mayor. Tienen recursos y experiencia. Son dinámicos, a pesar de que suelen ser grupos muy cerrados. A lo mejor no es que hayan utilizado el ransomware como servicio, sino que simplemente han asociado que con ese ransomware ya se consiguió atacar a un organismo del Ministerio de Trabajo", destaca.

Hay que redefinir el modelo de seguridad en la Administración

Hervé Lambert, de Panda Security, es contundente. "No sabemos si ha habido un poco de desidia".

En conversación con Business Insider España trata de ser "un poco conservador". "Voy a tratar de no dar mi opinión demasiado pronto". Pero recuerda que estamos "en un momento" en el que se producen "constantemente" este tipo de ataques. "Creo que hay que reforzar los modelos de seguridad. Tienen que ser mucho más preventivos".

El 99,97% de los 200 millones de dominios analizados por este hacker español pueden ser suplantados, y así es como empiezan la mayoría de ciberataques

Lambert se refiere a modelos como el de Zero Trust que distintas compañías de ciberseguridad tratan de implementar. Confianza cero: "Hay que bloquear todo lo que no se conozca". La escalofriante amenaza que el IRA hizo hace más de 30 años contra Margaret Thatcher cobra hoy más relevancia que nunca. "Los atacantes necesitan tener suerte una única vez. Los que se defienden necesitan tener suerte siempre", parafrasea el especialista.

"Todo va demasiado rápido y la Administración no va lo suficientemente rápida", lamenta. "Falta concienciación, falta inversión". Cuando se produjo el ciberataque al SEPE, asociaciones como ASTIC y colegios profesionales de Ingenieros informáticos rememoraron que la temporalidad y la precariedad en el sector TIC de la Administración pública es una de las principales lacras y uno de los principales obstáculos para garantizar una ciberseguridad idónea.

Todo regado con la necesidad de seguir insistiendo en la concienciación de los usuarios. Martín Piqueras, profesor en la OBS Business School, recuerda que los trabajadores siguen considerándose uno de los eslabones más importantes. 

"El vector de entrada principal casi siempre son las personas. Las estadísticas indican que en cualquier organización, aun teniendo las mejores prácticas de ciberseguridad y prevención, entre un 3% y un 5% de los empleados responden de forma incorrecta a un ataque de phishing", incide.

"Las organizaciones más avanzadas, como banca o infraestructuras críticas, se hacen autoataques de phishing para detectar qué empleados no están siendo lo suficientemente avezados. Se considera un éxito si menos de un 3% caen en la trampa. Con lo cual, si nos vamos a las Administraciones públicas, es bastante probable que alguna de estas prácticas no se estén llevando a cabo". También es un problema, recuerda, la poca prioridad que se tiene en la Administración para la actualización de los sistemas.

LEER TAMBIÉN: El mayor oleoducto de EEUU paralizado o la red de aguas de una ciudad envenenada: por qué son tan críticos los ataques a industrias que usan dispositivos IoT, según un experto español

LEER TAMBIÉN: Los rescates de 'ransomware' provocaron en 2020 pérdidas de mínimo 125 millones de euros a firmas españolas, y ahora las administraciones están en la diana

LEER TAMBIÉN: El nuevo estándar de seguridad de Google es parte de su plan para eliminar definitivamente las contraseñas de internet

VER AHORA: Los expertos analizan los modelos de trabajo, la regulación y la ciberseguridad en los nuevos espacios híbridos en el evento Next Now