Un ciberataque ha paralizado este martes los sistemas informáticos de las 710 oficinas presenciales del SEPE, el servicio público de empleo, así como los de sus 52 departamentos que prestan servicio de forma telemática. La ofensiva digital ha obligado a suspender todas las actividades del organismo, incluso la asistencia telefónica. Los empleados han recibido orden de apagar todos los ordenadores a primera hora de la mañana como medida de precaución ante la presencia de un “virus informático” que corría por el sistema.
La orden ha dejado a los más de 7.000 funcionarios del SEPE sin posibilidad de tramitar ninguna petición de información personal ni gestionar las altas en el sistema para trabajadores despedidos, demandantes de empleo o solicitudes de ayudas. Distintas estimaciones que han hecho sindicatos como CSIF o UGT apuntan que cada día que el sistema está caído son entre 100.000 y 120.000 las solicitudes de prestaciones que no se pueden resolver, lo que agrava los retrasos que arrastra el organismo desde que estallara la pandemia. Los expertos hablan de varios días para volver a la normalidad.
Las oficinas han amanecido este miércoles con el mismo problema, sin poder hacer uso todavía de los servicios informáticos. Aunque ya es posible acceder a la web del SEPE se advierte de que “por causas ajenas al SEPE la página WEB y la sede electrónica no están operativas”. Los pocos trámites que se están realizando son en papel, a la espera de que puedan restablecerse los sistemas informáticos.
Los efectos del ataque comenzaron a apreciarse desde primera hora de la mañana de este martes. Distintos funcionarios consultados por este medio explican que el servicio de fichaje y el principal programa que utilizan se encontraban caídos. En estos primeros instantes, hasta que se ha dado orden de apagar todos los ordenadores, algunos de estos empleados han detallado que habían encontrado archivos en carpetas compartidas que no reconocían y con extensiones .RYK. Esto apuntaba a Ryuk, un conocido ransomware. Del inglés ransom, rescate, este tipo de virus se caracteriza por cifrar todos los archivos informáticos de la víctima, de manera que los ciberdelincuentes aprovechan para exigir una suma económica a cambio de liberarlos.
Gerardo Gutierrez, director del SEPE, ha confirmado que se trata de “la última versión del virus Ryuk” y que el organismo ha sufrido “un ciberataque similar al que han recibido otras empresas o administraciones a nivel global”. Pese al ataque, fuentes del Ministerio de Trabajo han asegurado que “no ha afectado ni al pago de prestaciones ni a nóminas”. Tampoco se han apreciado secuestros de información, como ocurre con otros ataques con ransomware, ni pérdida de datos, puesto que se contaba con una copia de seguridad realizada el día anterior. “Los servicios de inteligencia e informática están analizando las causas y objeto de este ataque, que trata de afectar la reputación de este organismo de servicio público, clave en la protección social de nuestro país”, ha apuntado.
Pese a haber esquivado ese riesgo para los datos que maneja el SEPE, los funcionarios consultados apuntan a otro daño al organismo: la carga de trabajo. Distintos trabajadores del servicio estatal de empleo han coincidido en denunciar que un ciberataque como este, que provoca que los servidores se apaguen y no se pueda avanzar, son “la puntilla” para el SEPE, con una alta carga de trabajo en el último año desde que estallara la crisis sanitaria.
El apagado de los sistemas informáticos obligó a enviar a los trabajadores a casa, dejando a un reducido número al frente de las escasas tareas que se podrían realizar. Aunque algunas oficinas han optado por recibir documentación en papel durante las primeras horas, finalmente se ha optado por suspender las nuevas altas hasta que se lograse recuperar los sistemas. Ahora, se encuentran a la espera de poder volver al trabajo, aunque asumen que se puede prolongar durante varios días hasta recuperar la normalidad. “Los equipos informáticos están trabajando duro, pero esperamos que esto tarde, no se arregla en un día”, ha apuntado Françoise Calvo, representante de UGT en el SEPE. Los trabajadores consultados apuntan que el efecto de un día se puede amortiguar con un sobreesfuerzo de la plantilla, pero si se prolonga más el problema, podría afectar a retrasos en las aprobaciones de las ayudas y subsidios.
La principal ayuda que gestiona el SEPE es el desempleo para aquellos trabajadores a los que corresponde. A ello se suman otros subsidios como los vinculados a víctimas de violencia de género, ayudas para parados de larga duración mayores de 45 años, ayudas a familias vulnerables o, incluso, a excarcelados que hayan pasado más de seis meses en prisión. Y en el último año se han sumado, con gran peso en la labor diaria, las gestiones de los ERTE con motivo de la pandemia.
Servicios informáticos “caducados”
Luis González, representante del CSIF en Tarragona, recuerda que el SEPE arrastraba un problema con los servicios informáticos envejecidos, que están “caducados”, algo en lo que coinciden otras fuentes consultadas. El representante del sindicato, con gran presencia en el colectivo de funcionarios, recuerda que, aunque el problema pueda solucionarse pronto, supondrá un nuevo aumento de la carga de trabajo de la plantilla. El representante del CSIF recupera con esta situación algunas de las demandas que ha hecho el sindicato en los últimos meses, como tener una jornada de 40 horas para poder recuperar trabajo acumulado o el pago de las horas extra.
Una funcionaria del SEPE en Madrid lo explica así: “Si un día no podemos trabajar, al siguiente tendremos el doble de carga; si son dos días, será el triple”. “Una oficina normal, sin sobrecarga de trabajo, puede llegar a tramitar 100 expedientes en un día”, señala esta trabajadora. Como ella, otros funcionarios recuerdan que se trata de un contexto en el que se arrastra ya un fuerte cansancio tras un año de intensa actividad para la tramitación de ayudas a desempleados y los expedientes de los ERTE. “Mayor esfuerzo ya no podemos hacer”, añade el responsable sindical de UGT. Como dato, el pasado mes de febrero se cerró con más de 4 millones de parados, una cifra que no se alcanzaba desde hace más de cinco años.
Debido a la cantidad de gestiones que pasan por el SEPE, los funcionarios consultados recuerdan la especial relevancia que tiene su base de datos y lo vulnerable que sería en caso de una brecha de seguridad. “Un gran número de empleados han pasado por un ERTE en el último año, hay más de 4 millones de parados, a eso hay que sumar los datos que se tienen de las propias empresas”, explica una empleada. Como ella, distintos trabajadores han señalado su preocupación por el posible acceso del ciberataque a esta información, aunque finalmente el Ministerio ha señalado que no ha habido pérdida de datos.
El organismo encargado de responder a este tipo de ciberataques contra instituciones públicas es el Centro Criptológico Nacional, que forma parte del CNI y depende del Ministerio de Defensa. La ciberseguridad española se reparte entre este organismo y el Instituto Nacional de Ciberseguridad, que protege a usuarios y empresas privadas. A ellos se suma la Oficina de Coordinación Cibernética del Ministerio del Interior, encargada de mantener relación con otros países y compartir datos sobre las amenazas.
Varios días para recuperar la normalidad
No obstante, todos los especialistas recuerdan que la clave para parar un ciberataque no es contrarrestarlo con fuerza bruta informática, sino la prevención. Ryuk es capaz de inutilizar sistemas informáticos enteros durante semanas, pero si estos cuentan con los debidos cortafuegos de seguridad activados es posible contener la infección de forma eficaz. El SEPE ha explicado, además, que cuenta con copias de seguridad de sus archivos recientes, de este mismo lunes, lo que permite retomar la actividad en un corto período de tiempo.
“Lo primero y lo más básico en un ataque de ransomware es ser proactivo”, explica Javier Espejo, director de ciberseguridad de Transparent Edge Services. La primera medida de seguridad, detalla este experto, son esas copias de seguridad actualizadas, que permitan perder la mínima información posible en caso de corrupción de archivos. La segunda es dividir la red en partes: levantar muros entre los diferentes departamentos que el virus no pueda saltar. “Si tienes la red bien aislada, el ransomware va a afectar solo a una parte. De manera reactiva e inmediatamente visto el problema, hay que desconectar y aislar los equipos, empezar el análisis de lo sucedido, ver a qué ha afectado y comenzar con los procedimientos de recuperación”, detalla.
Ryuk es considerado por los expertos como una amenaza de ciberseguridad avanzada, puesto que permite modificarlo con facilidad y diseñar una nueva variante contra la que los antivirus no estén preparados. No obstante, con las citadas medidas de seguridad activas, recuperar un sistema informático de una infección de una mutación reciente de Ryuk puede limitarse a “unos pocos días”, avanza Eusebio Nieva, director técnico de la firma de ciberseguridad Checkpoint.
“Si la afectación hubiera sido completa y la infección ha llegado hasta los servidores, se suele tardar como mínimo un par de semanas en recuperar el sistema”, expone. “Ahora bien, si lo que ha resultado afectado es la parte de los usuarios, como es lo más probable, se puede recuperar la actividad normal en pocos días. Todo va a depender de cómo quieran poner en marcha los servicios, porque pueden empezar a hacerlo de manera independiente, es decir, determinadas oficinas, servicios internos que afecten solo a ciertos usuarios... el procedimiento es recuperar ese servicio, aislarlo para que no pueda ser infectado de nuevo y continuar con el siguiente hasta retomar la actividad de todo el sistema”, añade.
En cualquier caso, “es complicado” avisa Nieva, que el SEPE pueda recuperar por completo su actividad normal “antes del próximo lunes”.