El principal sospechoso del ciberataque contra el SEPE es el virus de secuestro informático Ryuk

El Servicio Público de Empleo Estatal (SEPE) se ha unido este martes a la lista de organismos y empresas que han sufrido los efectos de un virus de secuestro informático (ransomware) para pedir un rescate. Y el principal sospechoso es Ryuk, un programa malicioso que se ha cebado con cientos de organismos públicos en EE UU y que también ha sido un dolor de cabeza para numerosos ayuntamientos y organismos públicos españoles. El director general de la compañía de ciberseguridad Sophos Iberia, Ricardo Maté, ha advertido de que se están reportando desde otros países europeos ataques a organismos públicos similares a este.

Ryuk apareció en agosto de 2018 y lo maneja un grupo ruso llamado Grim Spider, según la consultora Crowdstrike. “Es una banda muy bien organizada”, explica Daniel Creus, analista senior de Kaspersky España. “Se dedica a lo que llamamos big game hunting, es decir, buscan presas como grandes corporaciones o administraciones”. El hecho de que hayan aparecido ficheros .ryuk en el ataque apunta casi con total certeza al citado virus, según Creus. Este programa malicioso se ha asociado a infecciones previas de una de las redes de bots más importantes de la última década, conocida como Emotet, responsable del programa malicioso del mismo nombre que ha infectado miles de ordenadores de todo el mundo. La cúpula de Emotet fue desarticulada a principios de este año.

“El incidente sufrido por el SEPE”, sostiene Maté, “constituye una muestra más de que los ciberdelincuentes siguen mejorando sus técnicas, tácticas y procedimientos de ataque a todo tipo de empresas y organismos públicos. Así, en las últimas semanas y meses se han hecho públicas brechas de seguridad, como la sufrida por Microsoft la semana pasada, que demuestran la efectividad de grupos cibercriminales y que pueden afectar a centenares de miles de empresas”.

En España, el primero en conocer la virulencia de Ryuk fue el Ayuntamiento de Jerez. En octubre de 2019, el consistorio sufrió un ataque de este virus que, al igual que ha sucedido este martes en el SEPE, obligó a cambiar los ordenadores por papel, los trámites telemáticos por los presenciales y la velocidad de la red por la paciencia cara a cara. Un mes después, la Cadena SER (propiedad del grupo editor de EL PAÍS) y la consultora Everis también sufrieron un ataque parecido. Ambas empresas recurrieron al Instituto Nacional de Ciberseguridad (Incibe). En octubre pasado, el FBI, el Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) alertaron sobre una amenaza de ataques informáticos contra hospitales y proveedores de atención médica en Estados Unidos.

¿Qué se hace en estos casos? “El incidente en el SEPE es muy reciente”, asegura Creus, “de modo que los técnicos estarán llevando a cabo la llamada respuesta rápida: primero proceder al aislamiento de toda parte afectada y, luego, la mitigación de tarea: apagar sistemas, analizar puntos de persistencia y empezar a restaurar máquinas en condiciones. “Es fácil que se reproduzca una reinfección”, advierte el experto. Si no hay pérdida de datos (como parece ser el caso) el incidente se resuelve, aunque la resolución completa puede durar semanas. Si hay robo de datos, se abre la puerta al pago de rescate.

“Nuestra recomendación es mantener siempre los sistemas actualizados”, completa Maté. “El hecho de mantener, e incluso pretender proteger, versiones de sistemas operativos más que obsoletas desde hace años no hace más que brindar facilidades a un potencial atacante, por muchos esfuerzos que se pongan en proteger esos equipos”.

Gerardo Gutiérrez, director del SEPE, ha asegurado en la Cadena Ser que en estos momentos se encuentran analizando la información para saber “a qué” se enfrentan, aunque ha lanzado un mensaje de “absoluta tranquilidad”: “Los datos confidenciales están a salvo”. Además, ha asegurado que la incidencia “no está afectando al sistema de nóminas”, por lo que “la prestación seguirá recibiéndose sin problema”. ”Se está llamando a las personas que tuvieran que hacer trámites para solucionar el tema vía telefónica o aplazando la cita. Se ha habilitado un espacio web del SEPE para ir informando de estas incidencias”, ha señalado.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.