El Servicio Público de Empleo Estatal (SEPE), encargado de gestionar las prestaciones por desempleo y últimamente de millones de ERTE, fue víctima hace unas semanas de un ataque informático que paralizó sus servicios electrónicos y presenciales de concesión de citas y el resto de trámites.
El ciberataque dejó fuera de servicio la actividad del organismo, tanto en las 710 oficinas que prestan servicio presencial como en las 52 telemáticas.
Cómo ocurren este tipo de ciberataques, qué persiguen los atacantes y cómo debemos protegernos todos, son preguntas difíciles de contestar en el espacio de una columna periodística, sin embargo nunca está de más dedicar unas líneas a ello.
En general los ciberataques -más allá de la obviedad de que un atacante trata de consumar el ataque- ocurren por un error humano de la organización atacada y por deficiencias en las medidas preventivas para hacer frente.
En el caso del SEPE, debe hacerse mención a que a día de hoy todavía no figura en el listado de administraciones certificadas por el Centro Criptológico Nacional y que su falta de medios humanos y materiales era conocida. Han salido a la luz en distintos medios noticias de meses previos al ataque donde varias voces habían solicitado más medios de todo tipo.
Por ejemplo, en diciembre de 2020, el Defensor del Pueblo expresaba que el SEPE dispone de "medios materiales y personales claramente insuficientes, no solo para situaciones extraordinarias como las derivadas de la Covid-19, sino también para el ejercicio ordinario de sus funciones".
Sin embargo, diversas organizaciones públicas y privadas, algunas con gran disponibilidad de recursos han sufrido similares tipos de ataques cibernético en los últimos tiempos (Prosegur, Microsoft, Acer etc.). De modo, que no solo son los medios disponibles lo que evita un ciberataque, sino también la cultura de la organización y sus miembros en materia de prevención ante ciberataques.
En cuanto a qué persiguen los ciberataques, suele ser dinero, así de sencillo. Si bien las formas de conseguirlo son bastante diversas. En ocasiones se consigue por el engaño al usuario que hace una transferencia no consentida, en otras por el robo y uso ilícito de sus datos bancarios y en otras solicitando un rescate a cambio de los datos robados o “encriptados”.
En el caso del ciberataque al SEPE, el tipo de ataque es de los que suelen exigir un rescate, aunque hasta ahora se ha negado cualquier posibilidad al respecto.
Este tipo de ataques finalizan con un cifrado (bloqueo) de todos los archivos de los sistemas, a menudo cambiando las extensiones de fichero (por ejemplo, de un documento .DOCX o PDF. a un fichero .RYK). Tras ello, normalmente los autores del ciberataque dejan además un fichero de texto llamado "RyukReadme.txt" en el que se informa de las condiciones del rescate (habitualmente pagos en criptomonedas) y de cómo obtener la clave que desbloquea los archivos..
Ante estas situaciones, nunca hay que pagar el rescate. Sin embargo hay empresas que no tienen otra forma de recuperar sus datos y se lo plantean.
Para que esto no ocurra, las recomendaciones son claras por parte de todos los expertos: Los miembros de la organización deben estar formados y concienciados en materia de ciberseguridad, los equipos deben estar siempre actualizados, debe contarse con mecanismos de protección adecuados a cada empresa (antivirus, firewall, VPN etc.) y tener y cumplir una buena política de copias de seguridad.
Las copias de seguridad son la piedra angular de una recuperación pronta cuando el ataque ya ha sucedido
