El SEPE no tenía los certificados de seguridad exigidos por el CNI cuando sufrió el ciberataque
El órgano no cuenta con una estrategia de ciberseguridad adecuada a lo que establece la ley.
18 marzo, 2021 02:49Noticias relacionadas
El Servicio Público de Empleo Estatal (SEPE), que tramita millones de prestaciones y subsidios al mes, fue objeto de un asalto informático el pasado martes del que todavía no se ha recuperado al 100%. Aunque cualquier institución pública o privada puede ser objetivo de esta clase de 'pirateo', el órgano no contaba con una estrategia de ciberseguridad adecuada a lo que establece la ley.
Tal y como ha podido saber Invertia, a través de distintas fuentes con varias décadas de experiencia en la seguridad digital del Estado, los sistemas de defensa virtual del SEPE no cumplían con el Esquema Nacional de Seguridad (ENS) ni disponían de un certificado oficial que acreditase que sus sistemas informáticos estaban preparados para soportar ciberataques como el de la semana pasada.
El encargado de emitir estos certificados de seguridad oficiales es el Centro Criptológico Nacional (CCN). Dependiente del Centro Nacional de Inteligencia (CNI), el CCN tiene la misión de coordinar y marcar la reacción ante esta clase de acometidas a los sistemas informáticos de toda la Administración General del Estado (AGE).
Uno de los apartados del portal digital del CCN, titulado 'Sector Público Certificado', recoge el listado de entidades públicas que van recibiendo esa acreditación. Las que figuran en él poseen un sistema sólido de seguridad. Es decir, que sus sistemas de seguridad virtuales cumplen con la legislación, marcada por el Esquema Nacional de Seguridad (ENS).
En ese espacio tan solo unas pocas instituciones de la AGE acreditan contar con sistemas de protección fuertes ante este tipo de virus. Entre los organismos cuyos sistemas informáticos están bien protegidos figuran la de la Guardia Civil, la Policía Nacional, el Ministerio de Sanidad, algunas comunidades autónomas y también algunos ayuntamientos. Pero el SEPE no aparece por ninguna parte.
Sus sistemas y su página web no contaban, por tanto, con una auditoría certificada como las que el CCN exige a los organismos públicos estatales en el momento en que recibió el ciberataque. Así lo ha podido contrastar Invertia y lo refrendan desde el propio Ministerio de Trabajo.
"La adaptación al ENS es un proceso continuo que se encuentra en su recta final. Dada la complejidad de los sistemas del SEPE y el elevado número de servicios que, además, no paran de incrementarse, es una actuación en progreso constante", argumentan fuentes del ministerio.
Ciberseguridad pública
"El SEPE cuenta con el apoyo del CCN en el objetivo de adecuarse correctamente al ENS y está en un proceso de mejora continua para alcanzar la interoperabilidad con los sistemas de la Administración", añaden.
La ciberseguridad de las instituciones públicas está marcada por el Real Decreto 3/2010. Se actualizó en el año 2015, y en él quedó establecido el Esquema Nacional de Seguridad. Este es de obligado cumplimiento en el seno de la administración. Su objetivo es el de "crear las condiciones necesarias de seguridad en el uso de los medios electrónicos".
Así, el actual modelo de protección de los sistemas públicos lleva vigente desde el año 2015. Por ello, en este sentido, desde el SEPE argumentan que "después de sucesivas legislaturas de abandono del organismo, los presupuestos vigentes contemplan una dotación de 150 millones de euros que permitirán avanzar en una arquitectura digital óptima".
El CCN cumple también con la función de llevar a cabo la investigación sobre el asalto a los sistemas informáticos de este órgano público, cuyo funcionamiento sigue presentando problemas.
En España, la Estrategia Nacional de Ciberseguridad se coordina desde el Centro Criptológico Nacional. Según relatan a Invertia voces veteranas en el ámbito de la ciberseguridad nacional, campañas como la que ha sufrido el SEPE las hay "a todas horas", pero la mayoría de ellas no llegan a buen puerto.
Algunas de las administraciones están protegidas de un modo mucho más férreo ante estas situaciones, como es el caso del Ministerio de Defensa u otros sectores considerados críticos por manejar información de carácter extremadamente delicado.
Sin embargo, las fuentes consultadas transmiten a este medio su desazón ante el desconocimiento de la falta de ciberseguridad en otros ámbitos de las administraciones: "Es cuestión de entrar en la web del CCN y comprobar cuántos cumplen el Esquema Nacional de Seguridad. Ahí se publican las administraciones que se encuentran en cumplimiento de la ley. Fíjate cuántas hay. Un arquitecto tiene claro los requisitos con los que debe hacer su trabajo. En seguridad informática parece que no los tenemos tanto".
Un claro ejemplo de esa falta de previsión se plasma con claridad en que la página web del SEPE se restauró parcialmente con una versión del año pasado. "Eso implica que no tenían actualizada una copia de seguridad cercana, de una semana para atrás o una copia trimestral. Y que se podrían haber perdido todos los datos de estos últimos meses".
El virus
El ataque informático de la semana pasada se ejecutó en exclusiva al SEPE a través de un 'delnryuk' de última generación, un virus 'ransomware' diseñado para robar información y luego pedir un 'rescate' por ella.
Aunque la 'ciberarma' se diseñó solo unas horas antes de iniciarse el asalto al SEPE, no se habría producido ningún tipo de secuestro de datos ni tampoco se habría pedido ningún rescate. El interés de los atacantes habría sido dejar mal los escudos informáticos de la institución.
El ataque informático ejecutado la semana pasada dejó al SEPE fuera de combate hasta el lunes. Es decir, que sus empleados se han pasado cuatro días sin poder realizar millones de gestiones necesarias para que los ciudadanos puedan recibir las prestaciones y subsidios correspondientes en abril.
A esto hay que sumar que, en estos primeros días de actividad, los sistemas del SEPE no están funcionando al 100%. Cabe recordar que las oficinas de empleo de España ya trabajaban al 300% antes del ataque informático por la tramitación de los expedientes de regulación temporal del empleo (ERTE) y otras prestaciones. Es decir, que el 'atasco' de tramitaciones es importante.
Esto ha generado preocupación entre los empleados del organismo. Concretamente, desde el sindicato CSIF alertan de la "complejidad que supondrá cerrar la nómina del desempleo de este mes incluyendo las prestaciones solicitadas a lo largo de estos días".
Además, desde dicha organización denuncian que "las aplicaciones y sistemas informáticos con los que se gestionan las prestaciones por desempleo tienen una antigüedad media de unos 30 años desde su implantación".