Un ataque de ransomware puso en jaque a todo el sistema del SEPE

Publicado el 10 marzo 2021 por Lauratuero @incubaweb

Ayer fue noticia el Servicio Público de Empleo Estatal (SEPE) al sufrir un ataque informatizado generalizado que afectó a todas sus oficinas a nivel nacional. Se trata de un ataque Ransomware conocido como Ryuk que ha dejado inoperativa la web, teniendo que posponer todas las citas. Este tipo de ataques consiste en un software maliciosos que infecta el ordenador, exigiendo el pago de un rescate para restablecer el sistema.

El ataque de ransomware agrava el colapso que ya sufría el SEPE

Este tipo de ataque ha sido capaz de paralizar toda la actividad del SEPE, lo que agravará aún más el estado de colapso que viene sufriendo la entidad. Cuando se produce un ataque a gran escala como este quiere decir que los atacantes ya llevaban un tiempo dentro de la red, comprometiendo la mayoría de los sistemas de la organización.

El SEPE necesita que los ordenadores conectados a su red funcionen para poder trabajar. Sin embargo, hasta que se haya eliminado la infección, se hayan restaurado las copias de seguridad y se haya parcheado el origen del ataque, cualquier ordenador que se conecte a esta red estará en peligro. Por tanto, no podrán trabajar de ninguna manera.

Además, un ataque de ransomware encripta todos los datos, por lo que, si la información de los servidores se ha visto afectada, no tendrán ningún dato con el que trabajar.

Las víctimas: los usuarios del SEPE

Los datos de los usuarios del SEPE están en peligro. En la mayoría de los casos, los atacantes no se limitan a cifrar los datos, sino que se llevan una copia de toda a información para aumentar la petición del rescate. Si la víctima no quiere pagarlo, amenazan con publicar los datos robados o venderlos.

¿Cómo pueden protegerse instituciones como el SEPE de este tipo de ataques?

Estamos hablando de una organización de más de seis mil empleados y cientos de oficinas en toda España. La superficie de ataque es enorme, y el mínimo clic erróneo puede iniciar el ataque. En cualquier caso, se pueden tomar varias medidas para minimizar el riesgo: tener todo el software de los ordenadores actualizado, tenerlos protegidos con un software de seguridad y enseñar a los empleados a reconocer los ataques de phishing.

Ahora bien, si el sistema se ha visto comprometido, como es el caso, habrá que buscar pistas que permitan a la organización detectar dónde está la brecha lo antes posible. Supervisar todos los ordenadores y buscar patrones extraños en el tráfico de la red puede indicar que algo va mal y evitar un ataque a gran escala.

¿Cómo de grave ha sido el ataque al SEPE?

Hace unos meses, Endesa sufrió un ataque de ransomware que también fue noticia. Sin embargo, se recuperaron en cuestión de horas, lo que significa que detectaron el ataque en una fase temprana. El nivel de preparación en este caso no parece ser el mismo, y me temo que puede llevar semanas, si no más tiempo, volver a la normalidad. Aunque no tenemos la imagen completa, el hecho de que las operaciones de las oficinas se detuvieran y los servicios como el sitio web del SEPE cayeran, hace pensar que los atacantes tuvieron acceso a la mayor parte de su infraestructura.