El pasado 9 de marzo se registró un ciberataque al Servicio de Empleo Público Estatal (SEPE), un organismo dependiente del ministerio de Trabajo, que mantuvo a sus empleados 15 días sin poder acceder al sistema y trabajar en las en las 710 oficinas que prestan servicio presencial, como en las 52 telemáticas. Justo 3 meses después, el 9 de junio, el propio ministerio se vio afectado también por un ransomware[1].

Poco a poco se han ido conociendo datos de las intrusiones que han sufrido ambas organizaciones. En primer lugar, este departamento no contaba con las certificaciones adecuadas que establece el CCN (CNI) para las más altas instituciones del Estado y de la Administración.

Otro error destacado fue que el contrato de mantenimiento informático, en ese momento a cargo de las empresas COS Mantenimiento, Sermicro y SIA, expiró el 28 de febrero sin ninguna opción de prórroga, dejando desprotegidos los sistemas hasta la siguiente licitación. Dicho contrato de establecía en 5 ámbitos, dependiendo del área de trabajo:  infraestructura de servidores virtuales, microordenadores y periféricos de puestos de trabajo, elementos y sistemas de gestión de red, equipamiento de seguridad perimetral y para procesamiento de datos

LA RENOVACIÓN (PRIVADA) DEL SISTEMA DE PROTECCIÓN

El Ministerio de Trabajo puso en marcha, el pasado 10 de febrero, un procedimiento para adjudicar un nuevo contrato para la protección del sistema informático; sin embargo, la formalización no se ha producido hasta el 11 de abril; dos meses después de que caducase el anterior contrato.

El pasado 29 de junio, el BOE publicó[2] 3 ofertas de distintas empresas para tratar de solucionar este problema, nuevo contrato para el mantenimiento de los sistemas informáticos del SEPE, que se ha adjudicado, a las empresas COS Mantenimiento, Sistemas Informáticos Abiertos y Fujitsu, los 400.000 euros (416.341,98) para responder al incidente informático.

Estas 3 licitaciones que ha suscrito la Subdirección General de Tecnologías de la Información y la Comunicación han sido adjudicaciones negociadas sin publicidad, atribuidas directamente a estas empresas, y son:

120. A) Uno para Fujitsu Technology Solutions, por un importe que supera los 120.000 euros, con el que se buscaba conseguir “un servicio de asistencia técnica para dar la respuesta más rápida posible a incidentes de seguridad”, y “de cara a dar solución al ataque sufrido por el Departamento”.
121. B) El segundo, otorgado a Sidertia por 240.000 euros, para establecer un “servicio de auditoría de la infraestructura hardware, software y comunicaciones tras el ciberataque al Ministerio de Trabajo”, y acorde a las recomendaciones del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).
122. C) El tercer y último contrato, que obtuvo Servicios Microinformática SA, para recibir los “servicios profesionales de asistencia técnica microinformática tras el ciberataque” al Ministerio, por el que se otorgarán 55.768,98 euros.

Cómo evitar un ataque como el del SEPE

El desastre de gestión en la configuración del sistema de ciberseguridad del Ministerio de Trabajo, y sus organismos dependientes, como el SEPE, debe hacer reflexionar a las autoridades públicas, y a la ciudadanía, acerca de la vital necesidad de proteger ellos sistemas de información, webs y redes sociales públicas.

Para evitar que se repita, es necesario realizar una serie de actuaciones que, concatenadas, servirían para cumplir con los estándares mínimos que se le presuponen a las Administraciones Públicas en materia de ciberseguridad:

1º) Buena PLANIFICACIÓN

La primera acción en el diseño de un buen sistema de protección es el establecimiento de una correcta planificación de medios económicos, humanos e informáticos. Algunos sindicatos (como CSIF) hicieron pública la falta prospectiva (visión a largo plazo) en esta materia (y en recursos humanos) por parte del Ministerio, ya que las aplicaciones y sistemas informáticos tienen una antigüedad media de más de 20 años.

2º) Copias de seguridad

Para prevenir la pérdida de información es importante realizar de forma habitual copias de seguridad, backups, que permitan recuperar rápidamente estos recursos cifrados. El código de la web tiene referencias al programa Internet, que recopila versiones en caché de las páginas de internet. En este caso muestra que la última copia de seguridad recuperable sería del pasado 28 de diciembre.

En los casos de ciberataques por ransomware se recomienda no pagar el rescate, suspender el servicio, recuperar la última copia de seguridad disponible y retomar el trabajo desde dicha fecha.

3º) Aislar equipos

Otra de las medidas más importantes para prevenir intrusiones en un sistema es aislar bien los equipos (fragmentar la red) y desconectarlos adecuadamente. Es importante analizar que ha sucedido, ver los dispositivos afectados e iniciar el procedimiento de recuperación de los datos.

El tipo de malware que afecta al Ministerio y al SEPE tiene como objetivo analizar la red y tratar de introducirse en el sistema a través de alguno de sus distintos componentes, como las unidades compartidas. Si la red está bien aislada, tan solo va a afectar a una parte. Además, es muy recomendable tener actualizados los sistemas antimalware, antivirus el EDR (o Endpoint Detection and Response) y los firewalls.

4º) Poseer las certificaciones recomendadas

La gran mayoría de los ministerios del actual Gobierno (16 de 23) no contaría con la certificación de ciberseguridad que exige el CCN, dependiente del Centro Nacional de Inteligencia (CNI), a las Administraciones Públicas. Este organismo es el encargado de emitir los certificados de seguridad oficiales en base a la normativa establecida en el Esquema Nacional de Seguridad (ENS).

En la Administración General del Estado (AGE) existen muy pocas instituciones que posean esta certificación; entre otras, destacan, la Guardia Civil y la Policía Nacional, ambas dependientes del Ministerio del Interior[3].

5º) Pruebas con pentesters

Para cerciorarnos de que un sistema es (aparentemente) inexpugnable, también se recomienda realizar, periódicamente, acciones para ponerlo a prueba por parte de hackers éticos.

6º) Colaboración pública – privada

Por último, en la investigación de delitos como es el cibercrimen, las Fuerzas y Cuerpos de Seguridad del Estado tiene un papel preponderante, que puede verse respaldado por empresas y organizaciones del ámbito privado.

La semana pasada, en una entrevista en h50, Alfonso Ramírez Patiño, el  director general de Kaspersky en España y Portugal aseguró que “la Policía, Guardia Civil y el Ejército tienen las puertas abiertas de Kaspersky para colaborar en la lucha contra el cibercrimen”[4]

Autor: José Corrochano Ponte | Analista de ciberseguridad, inteligencia y desarrollo del 5G. Graduado en Ciencias Políticas (CEU), Master en Relaciones Internacionales (CEU)

Bibliografía:

Araluce, G. (24 de junio de 2021). “El ciberataque al SEPE se produjo tras caducar un contrato de mantenimiento informático”. Vozpópuli. Extraído de: https://www.vozpopuli.com/espana/ciberataque-sepe-contrato.html?amp=1

Caro, S. (9 de marzo de 2021). “Un ciberataque provoca la caída de la web del SEPE y la deja sin servicios”. Tododisca. Extraído de: https://www.tododisca.com/un-ciberataque-provoca-la-caida-de-la-web-del-sepe-y-la-deja-sin-servicios/

Fiter, M. (12 de marzo de 2021). “Así me hackea Ryuk, el virus ruso que ha colapsado al SEPE”. El Independiente. Extraído de: https://www.elindependiente.com/economia/2021/03/12/asi-me-hackea-ryuk-el-virus-ruso-que-ha-colapsado-al-sepe/

Redacción. (22 de mayo de 2021). “El SEPE no tenía los certificados de seguridad exigidos por el CNI cuando sufrió el ciberataque”. Invertia. El Español. Extraído de: https://www.elespanol.com/invertia/economia/empleo/20210318/sepe-no-certificados-seguridad-exigidos-cni-ciberataque/566694956_0.html

Rodríguez Ordóñez, R. (01 de julio de 2021). “Entrevista a Alfonso Ramírez Patiño, director general de Kaspersky en España y Portugal:”. H-50. Extraído de: https://www.h50.es/entrevista-a-alfonso-ramirez-patino-director-general-de-kaspersky-en-espana-y-portugal-la-policia-guardia-civil-y-el-ejercito-tienen-las-puertas-abiertas-de-kaspersky-para-colaborar-en-la-lucha-contra/

[1] Araluce, G. (24 de junio de 2021). “El ciberataque al SEPE se produjo tras caducar un contrato de mantenimiento informático”. Vozpópuli. Extraído de: https://www.vozpopuli.com/espana/ciberataque-sepe-contrato.html?amp=1

[2] https://www.boe.es/boe/dias/2021/06/14/pdfs/BOE-B-2021-29429.pdf

[3] Redacción. “El SEPE no tenía los certificados de seguridad exigidos por el CNI cuando sufrió el ciberataque”. Invertia. El Español. Extraído de: https://www.elespanol.com/invertia/economia/empleo/20210318/sepe-no-certificados-seguridad-exigidos-cni-ciberataque/566694956_0.html

[4] Rodríguez Ordóñez, R. (01 de julio de 2021). “Entrevista a Alfonso Ramírez Patiño, director general de Kaspersky en España y Portugal:”. H-50. Extraído de: https://www.h50.es/entrevista-a-alfonso-ramirez-patino-director-general-de-kaspersky-en-espana-y-portugal-la-policia-guardia-civil-y-el-ejercito-tienen-las-puertas-abiertas-de-kaspersky-para-colaborar-en-la-lucha-contra/