Sindicatos y colegios de Informáticos estallan y denuncian precariedad y falta de recursos en la administración mientras el SEPE trata de recuperarse del ciberataque

El primer gran ciberataque que ha impactado en España y ha trascendido a los medios de comunicación tuvo lugar hace exactamente una semana.

La víctima no fue otra que el Servicio de Empleo Público Estatal. El SEPE.

Los trabajadores se vieron obligados a apagar los ordenadores y a tomar nota a bolígrafo y papel de aquellos demandantes de empleo que solicitaban alguna cita o querían ser atendidos en las oficinas de forma presencial. No les quedaba otra: desde Sistemas se dio la orden de apagar todo para evitar que el ataque se propagara más a través de la red de la organización.

Fue un ataque con ransomware, un popular tipo de código malicioso que se ha convertido en una de las infecciones digitales más prevalentes, copando hasta el 90% de los ciberataques durante la pandemia. El ransomware que golpeó al SEPE fue, además, uno conocido como Ryuk, según confirmó entonces el Ministerio de Trabajo a Business Insider España.

El gran hackeo al SEPE es obra de Ryuk: cómo ha podido llegar el ciberataque, qué ha fallado y por qué ahora mismo es una de las mayores amenazas de internet

Una semana después el SEPE trata de recobrar la normalidad. Este lunes anunciaban a través de las redes sociales que recuperaban el sistema de cita previa a través de su web, que volvió a activarse a finales de la semana pasada y en su código fuente se pudo apreciar que habían rescatado el portal de Archive.org, un portal sin ánimo de lucro que altruistamente confecciona un 'museo de internet' con versiones en caché de miles de dominios.

El hecho de que el SEPE recuperase su propia página web de un tercero que ni siquiera es proveedor alimentó la paranoia: ¿no tiene el organismo público acceso a sus propias copias de seguridad? Hace semanas, Vozpópuli incidía además en las quejas de muchos funcionarios del Servicio, que lamentaban cómo la edad media de sus sistemas informáticos podía alcanzar los 35 años. El SEPE licitó un megacontrato de 10 millones de euros para renovar y reparar muchos de estos ordenadores.

Todavía hay muchas incógnitas alrededor del ciberataque. El SEPE ha contratado a ElevenPaths, la división de ciberseguridad de Telefónica, para que colabore en la investigación, como adelantaba este lunes La Información.

Ciberataque mediante, y con una huelga de dos días a la vuelta de la esquina, los problemas del SEPE son varios. ¿Cómo se originan? ¿Hay culpables?

Falta de recursos en la administración pública

Colegios profesionales, asociaciones y sindicatos de ingenieros informáticos entienden que sí. Pero defienden a sus compañeros y dan un golpe sobre la mesa.

Carlos de Manuel Clemente es decano del Colegio Oficial de Ingenieros Técnicos en Informática de Castilla-La Mancha (COITICLM), además de vicesecretario de la Asociación de Titulados en Informática (ALI) y tesorero del Sindicato de Ingenieros Técnicos en Informática (SITIC). Cuando se le pregunta si existe la suficiente inversión y los suficientes recursos materiales y humanos para defender los Sistemas en la administración pública, responde con contundencia.

"No".

Con él coincide Enrique Gómez Esteban, vocal en el Colegio de Ingenieros Informáticos de la Comunidad de Madrid (CIICM) además de consultor y perito judicial, que además conoce bastante bien el SEPE (antes INEM) porque trabajó en su departamento TI hace años.

España puede convertirse en una superpotencia en ciberseguridad con una fórmula sencilla: más soberanía tecnológica, una visión estratégica y una apuesta decidida por el talento

No existe esa inversión "y hay otro problema añadido: la falta de regulación de la profesión puede provocar ciberataques como este y peores cosas", advierte Clemente. "Sin esa regulación, los profesionales informáticos no podemos trabajar con la libertad y las garantías suficientes siendo apolíticos, neutrales y centrándonos en nuestro trabajo", lamenta.

Clemente se refiere, en concreto, a que el trabajo del día a día de un técnico informático en la administración pública viene dado y determinado por el político de turno. "Eso es un error". "Cuando un ingeniero en Informática determina qué cuestiones se deben hacer o no en una administración, muchas veces sus recomendaciones se pasan por el filtro político y se hacen a conveniencia, con otras cuestiones que no son puramente técnicas y que conllevan a que pasen cosas como esta".

Subcontratas con contratos temporales y precarios

Gómez Esteban va más allá. En muchos casos los profesionales que trabajan en la administración pública no tienen la fuerza para hacer sus recomendaciones porque su capacidad de decisión es muy limitada. Y además, dos tercios de los profesionales que se desempeñan en la administración son externos. "A lo mejor el 50% de los que trabajan en un organismo como el SEPE son subcontratados y en muchos casos sus contratos no son indefinidos". "No se les puede exigir responsabilidades".

"Tienen que hacer su trabajo y punto", lamenta.

Clemente considera que lo ideal es que los profesionales informáticos tuvieran más poder de decisión. "Tendemos a pensar que en la informática muchas cosas son gratis y eso es un grave error", incide. "Los profesionales tienen poco o nada que decir en temas como concursos o compras de equipos", destaca su colega de la Comunidad de Madrid, Enrique Gómez.

Esto es lo que pagan los ciberdelincuentes en la 'dark web' por tus datos: las tarjetas de crédito españolas robadas son de las más caras, solo 30 euros

Aunque Clemente, decano del Colegio de Castilla-La Mancha, va más allá: esto no ocurre solo en la administración pública. "También lo he visto en pymes". Se refiere a casos de mala gestión de una copia de seguridad. "Muchos de mis compañeros han estado trabajando en la pandemia sudando tinta, porque han tenido que adaptar empresas e instituciones al mundo digital de forma rapidísima".

"Algunas veces sacrificando la seguridad porque no contaban con dinero para licencias de una red virtual privada (VPN) o de un cortafuegos (firewall)". 

Lo peor es lo que intuye Carlos de Manuel Clemente. "Seguimos igual y seguiremos igual durante un tiempo", vaticina. "Hace falta mucha inversión, también en educación, por ejemplo". "No estábamos preparados tampoco desde el punto de vista de usuario. Ninguno de nosotros ha tenido formación TIC en nuestra escolarización, pero mis hijos hoy tampoco reciben la adecuada".

"La primera vez que avisamos [de la falta de inversión en educación] fue con la creación de nuestro colegio profesional, allá en 2003", abunda. "Avisábamos en la importancia de invertir en la educación, no solo en la parte docente, sino también en la de infraestructura y servicios. En el extranjero nos siguen llevando años de ventaja".