El código fuente de la web del SEPE dispara las dudas sobre la capacidad del organismo público para recuperarse del ciberataque

Este miércoles es el segundo día consecutivo en el que los ordenadores del Servicio Público de Empleo Estatal están apagados. Los profesionales siguen tomando nota de los demandantes de empleos y de los trámites a resolver a papel y a boli.

El Ministerio de Trabajo ha confirmado a Business Insider España que detrás del ciberataque se encuentra un ransomware llamado Ryuk. Los ransomware, por su naturaleza, son códigos maliciosos que una vez infectan un sistema tratan de propagarse por toda la red. Una vez se extienden, comienzan a encriptar los archivos y los datos de los dispositivos hasta volverlos inutilizables. 

De este modo, los ciberdelincuentes que operan el código luego piden un rescate económico a cambio de entregar una contraseña con la que las víctimas podrían recobrar la normalidad en sus sistemas informáticos.

El gran hackeo al SEPE es obra de Ryuk: cómo ha podido llegar el ciberataque, qué ha fallado y por qué ahora mismo es una de las mayores amenazas de internet

El director general del SEPE, Gerardo Gutiérrez, no pudo dar este martes en la Cadena Ser una fecha estimada para la recuperación de los servicios. El apagón informático del organismo público llega en un momento crítico, ya que los ERTE que está gestionando el servicio están siendo esenciales para evitar el colapso de la economía española en plena crisis sanitaria.

Todavía no se conocen demasiados detalles del incidente. Sin embargo, algunos expertos han comprobado el código fuente de la página web del SEPE, que a primera hora de este martes estaba caída y ahora parece funcionar con aparente normalidad.

Lo que han descubierto ha resultado ser inquietante.

Dónde están las copias de seguridad

En estos momentos, y según ha podido corroborar Business Insider España, el código fuente de la página web del SEPE incluye referencias a Archive.org. Archive es una iniciativa sin ánimo de lucro con el propósito de ser un museo digital de internet, por lo que de forma automatizada guarda capturas de pantalla y pantallazos de la caché de miles de sitios web de todo el mundo.

Con esas referencias en el código fuente, muchos desarrolladores españoles han deducido que el SEPE, para restaurar su propia página web, ha recurrido a un tercero (Archive). La pregunta que sigue al análisis es sencilla: ¿por qué no se ha usado una copia de seguridad propia?

En concreto, la página web del SEPE recuperada dataría del pasado 28 de diciembre, momento en el que Archive tomó una de las versiones en caché del portal.

La alternativa habitual a pagar por un rescate de un ransomware es suspender el servicio, recuperar la última copia de seguridad elaborada, y retomar el trabajo desde la fecha en la que se perdió. A falta de que sea el propio Ministerio de Trabajo el que dé nuevos detalles, desarrolladores y expertos en seguridad informática están sembrando las redes de preocupación.

En una primera entrevista con la Cadena Ser, el director general del SEPE, Gerardo Gutiérrez, aseguró que durante el ataque informático no se había comprometido ningún dato confidencial ni de ciudadanos demandantes de empleo ni de empresas. Solo aquellos datos compartidos a través de Windows, lo que confirmaría que el Ryuk que ha atacado al organismo sería una nueva variante del código malicioso capaz de propagarse a través de las redes LAN con estos sistemas operativos.

Cuándo podrá recuperarse el SEPE

Lo que está claro es que no iba a ser cosa de un solo día. Desde que a mediodía del martes el ciberataque trascendiera, los ordenadores siguen apagados y los profesionales del SEPE solo pueden continuar desarrollando su labor lo mejor posible de forma analógica.

Algunos expertos consultados por Business Insider España destacaban que la recuperación dependerá del tipo de copia de seguridad que el SEPE hubiese diseñado para contingencias como las que vive en estos momentos.

Las mafias del 'ransomware' se sofistican: ya tienen en cuenta los ingresos de sus víctimas al exigir un rescate, según una investigación de IBM

"Si lo que se ha caído por el ransomware son los sistemas de los usuarios, es decir, de los empleados de oficina, y no las bases de datos... no sería necesario siquiera recurrir a la copia de seguridad". Eusebio Nieva, director técnico de Check Point para España y Portugal, detalla que muchos empleados perderán el trabajo que habían hecho durante los últimos días. "Se replataformarían equipos, haciendo instalaciones de cero".

"El problema es si además de esos equipos han caído también servidores internos o el sistema de directorio activo, que es donde se guardan los permisos de los empleados para acceder al sistema", apunta. "Dependiendo de cómo haya sido la afectación, y de cómo de actualizadas estaban las copias de seguridad, se podrían hablar de días o de una semana, es muy difícil hacer una predicción".

De hecho, Nieva recuerda que mucha gente configura las copias de seguridad para que se hagan de la forma más rápida posible, "no para que se recuperen de la forma más rápida posible". En ocasiones, algunas copias de seguridad, conocidas comúnmente como incrementales, lo que hacen es guardar una copia de los datos. Por ejemplo, de los trámites que realicen los funcionarios del SEPE en el día a día.

Para recuperar el sistema en este caso, sería necesario rescatar una copia de seguridad antigua del SEPE y añadir manualmente todos esos datos "incrementados" que se han ido acumulando, con la posibilidad de que se pierda trabajo de bastantes días.

Apagón en el SEPE con 900.000 personas en ERTE

Mientras la inquietud sobre cómo se va a recuperar el SEPE de este ciberataque no para de crecer, La Vanguardiarecupera este miércoles dos datos claves: ya se han tenido que paralizar 200.000 citas programadas para estos días y hay 900.000 personas dependiendo de que se abonen debidamente los Expedientes por Regulación Temporal de Empleo (ERTE).

A esto hay que sumar una convocatoria de huelga de dos días de los sindicatos del SEPE que denuncian desde hace semanas la falta de medios en el ente público.