Una mujer ante una oficina del SEPE.

Una mujer ante una oficina del SEPE. EP

Software

Qué es un ransomware y cómo puede hacer colapsar al SEPE

El SEPE (Servicio Público de Empleo Estatal) se ha quedado sin servicio en toda España debido a un ciberataque. Ni su web ni sus principales servicios están operativos.

9 marzo, 2021 17:52

Noticias relacionadas

El Servicio Público de Empleo Estatal de España (SEPE) ha dejado de prestar servicios online en todo el país debido a un ciberataque. Tanto la página web del organismo como sus servicios informáticos están inoperativos a nivel nacional e impide toda actividad, presencial y telemática. Eso sí, el director general del SEPE, Gerardo Gutiérrez, ha explicado que el pago del paro y de presetaciones no se interrumpirá.

Si bien el SEPE se ha limitado a decir que "la web y la sede electrónica del SEPE no se encuentran disponibles", la causa de la caída del servicio habría sido un ataque de tipo ransomware, uno de los más habituales en este tipo de ataques y que afectan empresas españolas y a organismos públicos constantemente, tal y como recoge INVERTIA

Fuentes del departamento de Yolanda Díaz explican que "un equipo de técnicos" están trabajando a contrarreloj para tratar de solucionar el colapso del sistema. No sólo supone un problema para las "cientos de miles" de citas que están por gestionar, sino también para los datos que, hasta el momento, se desconocen si se han visto afectados y hasta qué punto.   

¿Qué es un ransomware?

Una oficina de empleo, en Madrid.

Una oficina de empleo, en Madrid.

Todos los ojos están puestos en el mismo tipo de ataque: el ransomware. Este tipo de programa malicioso infecta los ordenadores y muestra mensajes que exigen el pago de dinero para restablecer el funcionamiento del sistema. Es decir, secuestran la información y exigen un rescate a cambio. Aunque Gutiérrez ha explicado que en esta ocasión no se ha pedido rescate alguno.

"Este tipo de malware es un sistema criminal para ganar dinero que se puede instalar a través de enlaces engañosos incluidos en un mensaje de correo electrónico, mensaje instantáneo o sitio web. El ransomware tiene la capacidad de bloquear la pantalla de una computadora o cifrar archivos importantes predeterminados con una contraseña", explican los especialistas de Kaspersky. 

Es por ello que una de las medidas habituales en cuanto se detecta en alguno de los equipos es apagar todo y dejar de trabajar con los ordenadores. El primer objetivo es que no se propague más, contener la infección al máximo posible a los equipos ya infectados. 

La técnica del ransomware implica pedir dinero a cambio de una clave o llave de cifrado

La técnica del ransomware implica pedir dinero a cambio de una clave o llave de cifrado

Este tipo de ataques afecta especialmente a instituciones y empresas, aunque también se han dado casos de ransomware dirigido a usuarios. El motivo es porque el objetivo de los atacantes es ganar dinero con el rescate, y es más probable que una empresa pague para recuperar datos vitales y muy valiosos, antes que un usuario que puede perder poco comparativamente hablando.

Ejemplos conocidos en España han sido el de la Cadena SER o a nivel internacional el de Garmin, eso sí, las instituciones de seguridad insisten en el mismo principio: no pagar el rescate.

El funcionamiento es sencillo: el software accede a los datos almacenados en el ordenador, y los encripta con una clave privada y conocida sólo por los atacantes. Así, la víctima no puede acceder a esos datos sin saber la clave o la contraseña. Se pide un rescate a cambio de estos datos, bajo la amenaza de que estos serán borrados, publicados o vendidos. Con lo que es especialmente sensible su impacto en el SEPE.

El mensaje de los atacantes suele incluir algún método para realizar un pago a los atacantes; a cambio, estos prometen ofrecer la clave de cifrado, con la que sería posible descifrar los archivos y recuperarlos. Sin embargo, no hay ninguna garantía de que los atacantes cumplan sus promesas; en muchos casos, ni siquiera pueden saber si alguien ha pagado el rescate, y por lo tanto, no pueden entregarle la clave de cifrado.

Ryuk protagonista

Imagen conceptual de un hacker.

Imagen conceptual de un hacker.

Gutiérrez ha confirmado que el causante de los problemas es un viejo conocido de las empresas españolas: la última versión de Ryuk. Se trata de un software malicioso que acostumbra a poner en jaque a empresas y organismos de todo el mundo, incluyendo España. Llegó a afectar incluso a hospitales, como el de Torrejón, que tardó meses en volver a la normalidad, aunque en ese caso no acabaron pidiendo un rescate.

Ryuk es más llamativo de lo habitual por su rápida expansión y la cantidad de equipos que puede afectar en poco tiempo si no se cuentan con las medidas de seguridad necesarias.

"Ryuk, como otros malware, trata de quedarse en nuestro sistema el mayor tiempo posible. Uno de sus sistemas para lograrlo es crear ejecutables y lanzarlos en oculto. Para poder cifrar los archivos de la víctima, también requiere tener privilegios. Por lo general, Ryuk parte de un movimiento lateral o es lanzado por otro malware, como Emotet o Trickbot. Estos se encargan de escalar privilegios previamente para otorgarlos al ransomware", detallan desde Kaspersky.

Ryuk también tiene la capacidad de cifrar las unidades de red; los efectos de este ataque pueden ser un duro golpe en el sistema, ya que el SEPE es el núcleo de conexión entre Administración, empresas y trabajadores. Es por ello que el Centro Criptológico Nacional está trabajando a contrarreloj para identificar y resolver el problema. Aunque según Gutiérrez "los datos confidenciales están a salvo".

Cuando un ransomware cifra nuestros archivos, muestra una ventana parecida a esta

Cuando un ransomware cifra nuestros archivos, muestra una ventana parecida a esta

Una de las formas de combatir este tipo de amenazas es con la actualización constante de equipos, algo que según el sindicato CSIF no ocurría. "Llevamos meses pidiendo un decidido apoyo en inversión tecnológica, ya que las aplicaciones y sistemas informáticos tienen una antigüedad media de unos 30 años", explican en un comunicado.

El propio Ryuk suele necesitar de otros programas maliciosos para conseguir los privilegios en los ordenadores que ataca, como puede ser Trickbot o Emotet. Este último es uno de los software más peligrosos del mundo y fue desmantelado este mismo año en una acción internacional conjunta, aunque antes afectó a un 13% de empresas españolas.

También te puede interesar...