El SEPE no contaba con certificados del Centro Criptológico en el momento en el que sufrió su gran hackeo, del que todavía se recupera

El SEPE continúa a medio gas a raíz del ciberataque que sufrió la semana pasada. Mientras sus técnicos de Sistema tratan de restaurar todos los servicios a la mayor celeridad, día tras día se van conociendo detalles sobre qué ocurrió detrás del incidente.

Uno de estos detalles es que el Servicio de Empleo Público no estaba todavía certificado por el Centro Criptológico Nacional. El CCN es un órgano dependiente del CNI que vela por el cumplimiento y la certificación de administraciones y empresas sobre el Esquema Nacional de Seguridad.

Según avanza Invertiaeste jueves, el organismo de empleo no figuraba en la lista de administraciones certificadas en el Esquema Nacional de Seguridad del CCN. Sí forman parte diversas consejerías autonómicas de Andalucía, varios ayuntamientos y diversas entidades de la Administración General del Estado. El listado es público y accesible y lo puedes consultar aquí.

Fuentes especialistas consultadas por el medio económico destacan que la adaptación al Esquema Nacional de Seguridad es "una actuación en proceso constante" y que el CCN ya viene trabajando precisamente con el SEPE en adaptar y adecuar sus sistemas informáticos a los requerimientos que exige esta certificación.

Lo que sí se sabe por el momento es que en el SEPE impactó un código malicioso de tipo ransomware conocido como Ryuk. Cuando el martes trascendió la noticia, que avanzó Vozpópuli, los técnicos del organismo tuvieron que apagar todos los sistemas para evitar que el programa intruso se propagara a través de las redes internas de la entidad.

Este apagón informático duró días, lo que obligó a los funcionarios del SEPE a trabajar durante días a papel y boli, tomando nota de los demandantes de empleo que solicitaban una cita o un trámite, a expensas de que se recuperara la normalidad.

Los ciberataques a la administración se disparan tras el golpe al SEPE: un organismo de Hacienda alerta de que lo están suplantando con correos maliciosos

Los ransomware suelen impactar en empresas y administraciones públicas con el objetivo de cifrar los archivos, los discos duros y en general los servidores de una organización. Cuando esta se ve comprometida, suele recibir un mensaje de los ciberdelincuentes que operan el programa atacante exigiendo un rescate económico si la víctima quiere recobrar la normalidad.

En los últimos meses estos ataques con ransomware se han transformado y los criminales informáticos ahora también hacen un segundo chantaje: si las víctimas no pagan ese rescate, los ciberdelincuentes amenazan con publicar toda la información sensible que hayan robado durante el ataque.

Colegios, sindicatos y asociaciones han lamentado la desinversión en materia de ciberseguridad que se ha registrado en los últimos años en la Administración Pública. La ASTIC, una organización de técnicos de Sistemas de la propia administración, advertía en un reciente comunicado que en la pandemia se había primado la continuidad de servicios o negocio sobre la seguridad. Reivindicaba que ya era hora de "recuperar el tiempo perdido".

Todavía no está claro cómo pudo llegar Ryuk al SEPE. Los ransomware pueden distribuirse mediante correos maliciosos de phishing y mediante redes de bot (botnet). En otras palabras: no siempre son ataques dirigidos y premeditados.

Durante los peores meses de la pandemia muchos de los colectivos de ciberdelincuentes que operan estos ransomware prometieron que no atacarían hospitales, centros sanitarios o laboratorios. Sin embargo, muchos de estos códigos maliciosos, al distribuirse mediante ejércitos de bots —impresoras, webcams, servidores comprometidos y controlados como si fuese un ejército de zombis— a veces disparan a todo.

Algunos especialistas destacaron a Business Insider España que el ataque bien pudo llegar de esa forma o mediante un phishing conocido como spear phishing. Al igual que un correo fraudulento que se hace pasar por un mensaje legítimo, el spear phishing cuenta con la particularidad de que para funcionar los atacantes han espiado y estudiado al milímetro a una persona.

Por ejemplo, estos ciberdelincuentes podrían haber enviado un correo fraudulento a un empleado del SEPE haciéndose pasar por un familiar o por un amigo, lo que le haría confiar y pinchar en un enlace en el que no debía y que automáticamente descargó Ryuk en los sistemas informáticos del SEPE.