El ciberataque al SEPE enciende todas las alarmas: Sin protocolo de actuación los ciberdelincuentes tienen ventaja

El Gobierno apoya a Telefónica para investigar el foco del ciberataque que desde hace diez días está provocando un colapso histórico en el Servicio Público de Empleo Estatal (SEPE).

El virus ‘Ryuk’ es un ‘ramsonware’ que llegó a dejar inutilizadas todas las oficinas de la entidad y le obligó a suspender toda la actividad del día. Todos los equipos de los empleados estuvieron apagados en el fatídico 9 de marzo.

Los técnicos de ‘Eleven Paths’, división de ciberseguridad de esta empresa, están colaborando con los informáticos del SEPE, antiguo INEM, y profesionales de la Secretaría General de Administración Digital mientras que la investigación la lleva el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI).

El SEPE se plantea impulsar un plan de choque que ayude a los 2,5 millones de desempleados con derecho a subsidio a cobrarlo a final de mes, al igual que a los 900.000 trabajadores en ERTE. Habrá que ver si llegan a tiempo.

Ahora lo que se están haciendo estos profesionales es limpiar y resetear todos los servidores y sistemas que se han visto afectados por el virus y retrotraerlo a su situación inicial con las copias de seguridad que ayudan a mantener cualquier negocio. Se aisla del resto y hacer un seguimiento para que no se reproduzca de nuevo.

En la actualidad, con los servicios recuperándose de forma progresiva, la web del SEPE indica en su página principal el ciberataque sufrido y que no todos los servicios están operativos. Todavía tardará en estar operativa al cien por cien.

Expertos como Francisco Pérez, socio de derecho digital de EcixGroup: Manuel Asenjo , director de IT de Eversheds Sutherland, y Álvaro Ramos, director de Servicios de Nuevas Tecnologías y DPO de ClarkeModet, analizan este ciberataque y sus responsabilidades legales.

Activar el Plan de ciberseguridad

Francisco Pérez señala que “los organismos que componen la administración pública están sujetos a las obligaciones que impone el Esquema Nacional de Seguridad (o un sistema similar), que exige a los sistemas de estas entidades que cumplan con una serie de medidas y de procedimientos muy estrictos y auditados”.

Se trata de “reducir la probabilidad de ser víctimas de este tipo de ataques y, en caso de serlo, poder seguir operando a través de una política de continuidad de negocio que evite la paralización de un servicio público tan importante como este”.

Este experto recuerda que “es cierto que nadie está libre de sufrir un incidente, pero sí que es posible gestionar y reducir el riesgo de impacto que tal incidente pueda tener en tu organización y en terceros”.

Sobre cómo responder a un ciberataque de este tipo, Pérez Bes indica que “deben activarse las medidas técnicas y organizativas de carácter reactivo que tengamos previstas en nuestro plan de ciberseguridad. Esta activación la decide un comité de crisis o un responsable con competencias para ello, quien coordinará y se asegurará que se siguen con los procedimientos establecidos en la organización”.

“Entre las actuaciones más destacables están las de aislar los sistemas afectados para que la amenaza no se expanda por otros sistemas de la organización, comunicar el incidente al CERT de referencia, que en el caso de la Administración será el CCN-CERT y, en su caso, solicitarle apoyo técnico”, señala.

Junto con ello, recomienda “denunciar el incidente ante las fuerzas y cuerpos de seguridad del estado o ante la fiscalía especializada y alertar al público afectado para que adopte medidas que eviten o impidan que un eventual robo de información personal pudiera perjudicar a sus derechos”.

Este experto señala que “es habitual que los cibercriminales difundan la información en foros de internet para que sea utilizada en la comisión de nuevos delitos, utilizando tales datos para suplantar identidad de personas, realizar ataques de ‘phishing’, extorsionar a personas, etc.”

Respecto a las responsabilidades legales que una empresa puede asumir por ese ciberataque, este experto recuerda que “cualquier entidad obligada a proteger redes y sistemas de información, así como los datos alojados en aquellas, es responsable legal (y, en ocasiones, deontológicamente) de aquellos incidentes que les afecten”.

“De ahí, precisamente, la aparición de los ciberseguros como herramienta para derivar el riesgo a un tercero, en este caso a una compañía aseguradora”.

«Si, además, por el tipo de organización estamos ante un operador de servicios esenciales, concepto que incluye a las infraestructuras críticas, la responsabilidad es todavía mayor, por cuanto existe normativa específica que obliga a este tipo de entidades a tener implementadas una serie de medidas específicas dirigidas a proteger su seguridad cibernética”, advierte.

“Para el resto de casos, la normativa general y, concretamente, el Reglamento General de Protección de Datos obliga a cualquier entidad a disponer de medidas técnicas y organizativas adecuadas y suficientes para hacer frente a los riesgos que amenazan a la información que mi organización custodia, y a actuar con diligencia debida para prevenir y evitar cualquier incidente de seguridad, y a minimizar sus daños llegado el caso de que finalmente se produzca”.

Ese experto destaca que “nuestra responsabilidad legal se extiende hacia otros aspectos, como puede ser la de que un incidente provoque daños a terceros, por ejemplo, incumplimiento de un contrato derivado de la paralización de mi negocio, por el mal funcionamiento del servicio, o la responsabilidad de los administradores cuya falta de diligencia en la gestión de un ciberataque puede haber provocado una bajada del precio de la acción o un daño en la reputación de la compañía”.

Pérez recuerda que “cada vez son más los despachos afectados por incidentes que ponen en peligro la disponibilidad, la integridad y la confidencialidad de la información de sus clientes”.

“Hace unos años, siendo yo todavía secretario general del INCIBE, comenzamos a recibir en el CERT numerosas notificaciones de incidentes de despachos que se habían visto afectados por, principalmente, ataques de ‘ransomware’ y de ‘phishing’”, recuerda.

En su opinión, “los despachos deben interiorizar que son objetivo claro de los ciberdelincuentes, sobretodo debido a la relevancia de la información que manejan y custodian”.

«Precisamente por ello hemos insistido mucho en la necesidad de que la abogacía haga de la ciberseguridad una de sus banderas, apoyándola sobre la obligación de secreto profesional, y sobre una concienciación y formación intensa, que involucre a los Colegios y al resto de instituciones”.

Y, gracias a ello, la ciberseguridad se incluyó en el Plan Estratégico de la Abogacía, y se definieron una serie de acciones para lograr los objetivos previstos. Pero es fundamental que se le siga dando continuidad entre todos.

Un ataque peligroso

Manuel Asenjo, director de IT de Eversheds Sutherland en España, quien ha desarrollado todo el tema de seguridad informática de la firma en nuestro país, señala que “por lo que se conoce no ha sido un ataque dirigido expresamente a dicha entidad si no un ataque lanzado indiscriminadamente a través de correos maliciosos que les ha afectado”.

“Este tipo de ataques tienen dos premisas, propagarse y cifrar los ficheros que encuentran a su paso con objeto de pedir un rescate. Entiendo que el motivo de que el servicio aún no se haya restaurado es por la dificultad en la limpieza, es un proceso que se debe llevar con cautela para evitar mayor propagación”, aclara.

Al mismo tiempo indica que “no obstante, este organismo no cumplía con las directrices marcadas en la Estrategia Nacional de Ciberseguridad coordinada por el CCN (Centro Criptográfico Nacional) y dependiente del CNI”.

“El CCN es el organismo que vela por la ciberseguridad a nivel gubernamental. Todos los ministerios y en especial los que están relacionados con la seguridad del país deben tener planes de contingencia contra ciberataques”, comenta.

En este tipo de situaciones lo primero que se debe hacer es “es aislar el equipo inmediatamente, si esto no se ha podido realizar hay que apagar todos los equipos de la red para limpiar la amenaza equipo por equipo. En una organización de estas características es algo que puede llevar mucho tiempo».

En cuanto a las responsabilidades legales que una empresa o firma puede tener si se demuestra que es negligente, Asenjo comenta que “sin ser experto cómo si lo son mis compañeros letrados, tengo claro que pueden existir responsabilidades penales, civiles subsidiarias o administrativas”.

“Penales por daños informáticos o revelación de secretos entre otras según se puede determinar algunos artículos del Código Penal (264 y del 197 al 200). En el ámbito civil, según el artículo 82 del RGPD, cualquier persona que haya sufrido daños tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por los perjuicios sufridos”.

Este experto en seguridad de la información, recuerda que los despachos de abogados pueden ser blanco de los ciberatacantes. “Nadie esta libre de un ataque. En los despachos somos conscientes de que la información que nuestros clientes depositan en nosotros debe verse respaldada por medidas solidas que les den confianza”.

“En esa línea debemos tener planes proactivos y reactivos para evitar, contener y paliar los posibles ataques que puedan venir. Debemos tener una política de seguridad con los medios técnicos y humanos necesarios, con auditorias periódicas y con formación a usuarios recurrente”, señala.

Este experto señala que “hay herramientas que se pueden implantar, sistemas de prevención de intrusos (IPS/IDS), sistemas que analizan los correos entrantes detectando adjuntos y enlaces que puedan ser peligrosos, sistemas que analizan la forma de escribir de cada usuario para detectar si el usuario origen es el que dice ser”.

“No obstante, la mejor de actividad de prevención qué se puede realizar es la formación a los usuarios una vez más diré que es la mejor garantía para estar prevenidos”, subraya.

Cuidado con la brecha de seguridad

Para Álvaro Ramos, director de Nuevas Tecnologías y Protección de Datos de ClarkeModet, en este tipo de situaciones hay que “analizar la brecha de seguridad, buscar cuáles han sido las causas y determinar el nivel de afectados. Hay que trabajar en dos vertientes”, aclara.

“Por un lado, la más importante, resolver la brecha desde un punto de vista técnico, esto es, tapar el agujero de seguridad, y por otra parte analizar en profundidad la tipología de información afectada así como el número de posibles afectados, esta información es básica para determinar los siguientes pasos».

“En paralelo se debe de realizar una comunicación al DPO. Será la persona que analice las medidas a adoptar en función del tipo de ataque y el alcance e impacto del mismo, obviamente junto con las recomendaciones de los responsables de IT o seguridad”, advierte.

Este jurista revela que uno de los primeros pasos que deberá seguir el DPO será analizar si la brecha de seguridad requiere la comunicación a la autoridad de control y a los afectados.

“Un punto importante que las organizaciones deben saber es que no todas las brechas de seguridad deben de comunicarse a la AEPD ni a los afectados”, comenta.

De hecho “la normativa dice que no tendrán que comunicarse aquellas brechas de seguridad por las que resulte improbable que éstas constituyan un riesgo para los derechos y las libertades de las personas físicas”.

Por último, y en función del alcance del ataque y el tipología de datos involucrados, habría que analizar tomar medidas adicionales, como por ejemplo informar a los afectados para que puedan tomar por su parte las medidas de seguridad oportunas dado el caso, además de cualquier otra acción adicional que la organización determine oportuna para preservar su reputación en situaciones como esta.

Sobre las responsabilidades legales que pueden generar un ciberataque de este tipo, “pueden ser muy variadas, en función de las características de la negligencia, pero somos conscientes de sanciones millonarias aplicadas a casos análogos como el de British Airways, que inicialmente fue sancionada con 204 millones de euros que finalmente redujo a 22 millones”.

Ramos aclara que “el RGPD cuenta con un régimen sancionador que permite imponer sanciones de este tipo de calibres. Como comentaba, el nivel de negligencia provocará una sanción u otra. No es lo mismo no hacer la comunicación a la AEPD, en el caso de que esta fuera necesaria, que no poner la medida de seguridad adecuada para solventar la brecha de seguridad”.

También destaca que en el caso de que el ciberataque lo recibiera un despacho de abogados, “la situación podría afectar a datos e información de carácter confidencial sobre nuestros clientes”.

“Aunque sin duda, una firma de abogados debe conocer perfectamente la normativa vigente, lo cual siempre será una ventaja tanto a la hora de prevenir estas situaciones como a la de rendir cuentas ante la autoridad de control”, aclara.

Este jurista recuerda que ClarkeModet “además de realizar actividades de concienciación y formación constantes entre nuestros empleados y contar con políticas internas relacionadas con la gestión de la información y la protección de datos, contamos con un Sistema de Gestión de la Seguridad de Información certificado según los estándares ISO/IEC 27001, en el que recomendamos certificarse a todas las compañías”.

Noticias Relacionadas:

Crecen en un 53% los ciberataques al sector financiero, en 2023 se produjeron 4.414 a nivel global

Sacyr, multado con 15.000 euros por enviar un email a la cuenta personal de una empleada sin copia oculta

España es uno de los países con más ciberataques de Europa con pérdidas de hasta 30.000 millones de euros al año

Un restaurante, multado con 10.000 euros por difundir imágenes del torso semidesnudo de un cliente

La AEPD multa con 200.000 euros al Burgos CF por irregularidades al pedir la huella dactilar a sus socios

El 25% de las disputas sobre M&A recurren ya al arbitraje, según Little Open