El virus de secuestro informático Ryuk, principal sospechoso del ciberataque contra el SEPE

El Servicio Público de Empleo Estatal (SEPE) se ha unido este martes a la lista de organismos y empresas que han sufrido los efectos de un virus de secuestro informático (ransomware) para pedir un rescate. Y el principal sospechoso es Ryuk, un programa malicioso que se ha cebado con cientos de organismos públicos en EE UU y que también ha sido un dolor de cabeza para numerosos ayuntamientos y organismos públicos españoles. El director general de la compañía de ciberseguridad Sophos Iberia, Ricardo Maté, ha advertido que se están reportando de otros países europeos ataques a organismos públicos similares a este.

Ryuk apareció en agosto de 2018 y es manejado por un grupo ruso llamado Grim Spider, según la consultora Crowdstrike. “Es un grupo muy bien organizado”, explica Daniel Creus, analista senior de Kaspersky España. “Se dedica a lo que llamamos big game hunting, es decir, buscan presas como grandes corporaciones o administraciones”. El hecho de hayan aparecido ficheros .ryuk en el ataque apunta casi con total certeza al citado virus, según Creus. Este programa malicioso se ha asociado a infecciones previas de una de las redes de bots más importantes de la última década, conocida como Emotet, responsable del programa malicioso del mismo nombre que ha infectado miles de ordenadores de todo el mundo. La cúpula de Emotet fue desarticulada a principios de este año.

“El incidente sufrido por el SEPE”, sostiene Maté, “constituye una muestra más de que los ciberdelincuentes siguen mejorando sus técnicas, tácticas y procedimientos de ataque a todo tipo de empresas y organismos públicos. Así, en las últimas semanas y meses se han hecho públicas brechas de seguridad como la sufrida por Microsoft la semana pasada, que demuestra la efectividad de grupos cibercriminales y que pueden afectar a centenares de miles de empresas”.

En España, el primero en conocer la virulencia de Ryuk fue el Ayuntamiento de Jerez. En octubre de 2019, el consistorio sufrió un ataque de este virus que, al igual que ha sucedido este martes en el SEPE, obligó a cambiar los ordenadores por papel, los trámites telemáticos por los presenciales y la velocidad de la red por la paciencia cara a cara. Un mes después, la Cadena SER (propiedad del grupo editor de EL PAÍS) y la consultora Everis también sufrieron un ataque parecido. Ambas empresas recurrieron al Instituto Nacional de Ciberseguridad (Incibe). En octubre pasado, el FBI, el Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) alertaron sobre una amenaza de ataques informáticos contra hospitales y proveedores de atención médica en Estados Unidos.

¿Qué se hace en estos casos? “El incidente en el SEPE es muy reciente”, asegura Creus, “de modo que los técnicos estarán llevando a cabo la llamada respuesta rápida: primero proceder al aislamiento de toda pare afectada y, luego, la mitigación de tarea: apagar sistemas, analizar puntos de persistencia y empezar a restaurar máquinas en condiciones. “Es fácil que se reproduzca una reinfección”, advierte. Creus. Si no hay pérdidas de datos (como parece ser el caso) el incidente se resuelve, aunque la resolución completa puede durar semanas. Si hay robo de datos, se abre la puerta al pago de rescate.

“Nuestra recomendación es siempre mantener los sistemas actualizados”, completa Maté. “El hecho de mantener, e incluso pretender proteger versiones de sistemas operativos más que obsoletos desde hace años, no hace más que brindar facilidades a un potencial atacante, por muchos esfuerzos que se pongan en proteger esos equipos”.

Gerardo Gutiérrez, director del SEPE, ha asegurado en la Cadena Ser que en estos momentos se encuentran analizando la información para saber “a qué” se enfrentan, aunque ha lanzado un mensaje de “absoluta tranquilidad”: “Los datos confidenciales están a salvo”. Además, ha asegurado que la incidencia “no está afectando al sistema de nóminas” por lo que “la prestación seguirá recibiéndose sin problema”. ”Las personas que tuvieran que hacer trámites, se las está llamando para solucionar el tema vía telefónica o aplazando la cita. Se ha habilitado un espacio web del SEPE para poder ir informando de estas incidencias”, ha señalado.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.

Leave a Reply