Chema Rubio | 28 de marzo de 2021
Ryuk es el nombre del ransomware que destrozó al Servicio Público de Empleo Estatal. Entró en ell sistema por un mail y encriptó los datos de millones de españoles a cambio de un rescate que nunca llegó.
En los años 90 los ladrones secuestraban sucursales bancarias. Entraban con violencia, ponían pistolas en la cabeza de los trabajadores y se llevaban lo que querían en metálico y hasta de las cajas de seguridad. Si el «palo» se torcía y la Policía era rápida, se atrincheraban en las oficinas y negociaban una salida que no solía acaban muy bien.
Aquello pasó a la historia. Se ponían vidas en juego. Ruedas de reconocimiento. El dinero en metálico ya no estaba en las cajas. El ladrón o el butronero pasaron a mejor vida. Quedan los violentos. Los que es mejor no encontrártelos de frente. Los que matan si hace falta.
Pero lo que le pasó al Servicio Público de Empleo Estatal (SEPE) es la historia de un secuestro como las de antes, pero en versión virtual y salpicada del drama de tener casi cinco millones de desempleados en España y miles de negocio abocados al cierre.
El 12 de mayo de 2017 el Centro Criptológico Nacional (CCN) dependiente del Centro Nacional de Inteligencia (CNI) alertaba de un ciberataque masivo a empresas españolas. Telefónica dobló la rodilla ante el ataque de ransomware a los ordenadores de algunos empleados. Poco a poco varias compañías de todos los tamaños y negocios hicieron público este secuestro virtual de sus datos. Fue el primer caso importante de ciberataque que sufrió España a nivel nacional. Paralizó negocios y obligó al CNI y a las empresas de antivirus a doblegar esfuerzos contra este tipo de situaciones.
Las bases de datos de cualquier empresa se han convertido en una tentación para los hackers de todo el mundo. Las pymes españolas sufren a diario las consecuencias del ransomware. Un ataque a sus sistemas operativos que encripta los datos y pide dinero a cambio de liberarlos. Algunas empresas pagan aunque no siempre el ladrón cumple su parte. Y acaban perdiendo dinero e información importante. Otras se desconectan de la red, instalan la última copia de seguridad y refuerzan sus sistemas de protección antes de volverse a conectar. No pagan pero el proceso de volver a la normalidad puede tardar semanas.
Un email inocente escondía un ransomware que ha puesto patas arriba al organismo que paga las ayudas a millones de españoles en la peor época posible. Este tipo de ataque no borra datos ni suele robarlos. Se dedica a renombrar carpetas y archivos, oculta otras, encripta… y revuelve los cajones digitales del SEPE mientras pide un rescate económico en Bitcoins para no dejar huella.
Cualquier ordenador de un organismo público tiene en Internet su única puerta de acceso a la red. Un ordenador no es peligroso hasta que no se conecta a la red. Es más, en muchas empresas y medios de comunicación tienen PC limpios, es decir, que nunca han estado conectados a la red y donde guardan información valiosa. Es la nueva caja fuerte de la era de la tecnología. No es lo más atractivo, pero sirve. Los servidores de los correos electrónicos deberían tener sus propios sistemas de seguridad y eso depende del proveedor del dominio. En el caso del navegador, depende del antivirus del sistema y de la propia seguridad del navegador.
El ransomware del SEPE entró por el mail de un trabajador y se extendió por todos los ordenadores que están conectados en red. Un pequeño Internet entre empleados. El virus campó a sus anchas y bloqueo los ordenadores y el sistema operativo.
Al parecer, los ciberdelincuentes pidieron un rescate al Gobierno. Dinero a pagar en criptomonedas para no dejar rastro. Como pasa en las películas, España no accedió a chantajes y prefirió pasar varios días con problemas técnicos antes que enriquecer las cuentas de este tipo de ladrones.
Las copias de seguridad, las bases de datos, los servidores, la programación… todo lo que forma parte del complejo entramado digital y burocrático tuvo que volver a empezar y cargar el último backup. Eso llevó tiempo porque son los datos de millones de españoles, millones de campos, de posibilidades, de datos cruzados y de referencias a otras webs del sector público o privado. A eso hay que añadirle el restablecimiento de firmas digitales, encriptaciones y de todo eso que se estaba haciendo justo cuando el virus entró.
La seguridad en los correos electrónicos suele ser deficiente. Los protocolos que se utilizan no son los mejores ni se actualizan porque el último en la cadena de los emails es el usuario. La persona que decide abrir un mail y que invita al ladrón a entrar en su casa. Los antivirus no pueden hacer nada. Avisan, pero la última acción es del usuario que involuntariamente abre o un mail o el archivo que contiene.
La otra opción son las webs por las que navegamos. Esas que cambian el buscador o que entre salto y salto de página abren un casino virtual. Las que llenan los ordenadores con Windows de basura que ralentiza el sistema. Son virus más inocentes que los antivirus tienen localizados. Hasta los propios navegadores saben de ellos.
Además, los programas informáticos de la Administración son antiguos. Algunos hasta requieren de Explorer para hacer operaciones y no soportan Chrome o Firefox. Mucho menos Safari. En ese espacio de tiempo en que se actualizan, los hackers toman rehenes donde pueden porque las brechas de seguridad son inmensas.
Los usuarios de iPhone que pirateaban el móvil de Apple se han extinguido. Cydia, su tienda pirata, no existe y es imposible hacer un jailbreak útil al iPhone. Se dieron cuenta de que mantener el móvil con el último sistema operativo era más seguro que tener unas cuantas aplicaciones pirata y poner el smartphone en peligro.
Hay que actualizar la tecnología. Es el método más seguro de mantener a salvo nuestros datos. Esas renovaciones llevaban aparejadas la obsolescencia programada pero Europa ya ha legislado en contra de esa práctica. Equipos actualizados, con antivirus, con protocolos de correo seguros, con candados en las urls… toda precaución es necesaria porque cualquier dato puede ser robado y, aunque no interese, pueden pedir un rescate.
Detrás de estos ciberataques de ransomware están países como Rusia, China o Corea. Los nuevos ladrones de bancos ahora secuestran bases de datos de particulares, pymes o gobiernos. Piden rescates y todo lo hacen desde sus cuartos oscuros sentados frente a su ordenador.
Aunque nos protejamos, es importante que el CNI siga adelantándose a estos ataques como el que ha sufrido el SEPE. Ir un paso por delante del hacker y proteger los sistemas informáticos.
