Inspección de Trabajo y otras unidades del Ministerio llevan dos semanas paralizadas por el ciberataque

Funcionarios del Ministerio avisan de que “el 80%” de los equipos y herramientas como el correo electrónico siguen inactivas. Trabajo espera recuperar la actividad normal en algunos servicios en los próximos días
— El Ministerio de Trabajo sufre un ciberataque del mismo tipo del que afectó al SEPE

22 de junio de 2021 22:08h Actualizado el 23/06/2021 05:30h

El Ministerio de Trabajo sigue padeciendo las consecuencias del ciberataque que sufrió el pasado 9 de junio. Según han explicado varios de sus funcionarios a elDiario.es, la Inspección de Trabajo, el Instituto Nacional de Seguridad y Salud en el Trabajo y el Fondo de Garantía Salarial (Fogasa) han estado completamente paralizados desde entonces, mientras que herramientas comunes del Ministerio como el servicio de correo electrónico tampoco han sido restablecidas todavía. La Inspección de Trabajo es la unidad más afectada y la que los técnicos creen que fue el punto de entrada de la infección, detallan las mismas fuentes.

El método utilizado en el ciberataque fue una variante de Ryuk, el mismo tipo de virus que tumbó varias semanas el Servicio Público de Empleo Estatal (SEPE) en marzo. Se trata de un ransomware (del inglés ransom, rescate), que cifra todos los archivos de la víctima y pide un rescate a cambio de la clave para desencriptarlos. No obstante, la versión de Ryuk utilizada contra Trabajo había sido actualizada para ser capaz de atravesar las defensas que se introdujeron en los equipos informáticos a raíz de la ofensiva contra el SEPE.

Esta situación ha supuesto un problema añadido a la hora de recuperar los equipos afectados y forzado a los técnicos a ir “vacunándolos uno a uno”, un proceso en el que están colaborando miembros del Centro Criptológico Nacional, el organismo dependiente del CNI que se encarga de la ciberseguridad de las administraciones públicas. “Ahora mismo está inutilizado el 80% del parque de equipos informáticos de los servicios centrales del Ministerio”, expone Josetxo Gándara, responsable de Acción Sindical del sector de la Administración General del Estado de CCOO. “La afectación sigue siendo bestial”, avisa.

Ahora mismo está inutilizado el 80% del parque de equipos informáticos de los servicios centrales del Ministerio

Desde el departamento que dirige Yolanda Díaz, que momentos después de la infección comunicó que esta no había tenido un “gran alcance”, confían en que en las próximas horas se pueda llevar a cabo un restablecimiento notable de la actividad gracias a una actualización de todas las unidades. Especialistas de su departamento técnico lo ponen en duda: “En tres o cuatro días se podría empezar a trabajar. ¿Completamente? No”, explica a este medio un funcionario con conocimiento de las labores de recuperación que pide no ser identificado.

Ahora mismo la prioridad de esos trabajadores es que “las estaciones de trabajo puedan empezar a arrancarse y conectarse para acceder a sus archivos. Para ello se va a montar una red independiente y ajena, para trabajar a nivel interno. Cuando eso esté hecho lo primero que se va a hacer es levantar todos los sistemas que podamos de la Inspección de Trabajo. Creemos que vamos a tener que renunciar a los portátiles de muchos inspectores porque sus discos duros van a estar encriptados y machacados”, continúa.

Los portátiles de los inspectores son el vector de infección que se considera más probable en este momento. La vía de entrada de Ryuk en el Ministerio de Trabajo habría sido un correo electrónico fraudulento enviado a un inspector, explican estas fuentes a elDiario.es. Según las hipótesis que baraja el equipo técnico, el virus podría haber pasado varias semanas escondido, analizando el comportamiento de los funcionarios en busca del método más eficaz para penetrar en la red principal e inutilizarla rápidamente. Pese a lo “sofisticado” del ataque, no está confirmado que los ciberdelincuentes apuntaran directamente al departamento que dirige Yolanda Díaz.

"Tenemos copia de seguridad de todo. Si lo que pretendían [los ciberdelincuentes] es hacer chantaje, no lo van a conseguir"

El punto positivo, explican las mismas fuentes, es que los técnicos confían en que apenas haya habido pérdida de información debido a la política de copias de seguridad. “Tenemos copia de seguridad de todo. Si lo que pretendían [los ciberdelincuentes] es hacer chantaje, no lo van a conseguir. El problema es el tiempo. Si tú quieres estar seguro de que no te va a volver a afectar, primero tienes que pillar todos los agentes que han intervenido y neutralizarlos”. Las prisas ya jugaron una mala pasada al Ministerio en un primer momento, exponen las mismas fuentes, puesto que se dio orden de recuperar el correo electrónico lo más rápido posible y tuvo que volver a tumbarse para prevenir que pudiera contagiar la infección a otras unidades.

Al margen de la Inspección de Trabajo, el resto de departamentos afectados permanecen parados por esa misma precaución. “El Fogasa por ejemplo no ha sido atacado, se ha visto afectado porque su comunicación pasa por el Ministerio y es necesario reforzar toda la seguridad antes de volverlo a conectar, por eso se ha tardado. Pero están ya empezando a reconectar todo. No tienen ninguna pérdida de datos, en su caso solo se está reforzando la seguridad, lo habitual después de cada ataque”, aseguran en este caso fuentes oficiales.

El ciberataque contra el Ministerio de Trabajo se produjo apenas unos días después de que el Gobierno aprobara un “plan de choque” con “medidas de urgencia” ante la avalancha de hackeos que están sufriendo las instituciones públicas. Solo en 2021 se han visto afectados el Ministerio de Asuntos Económicos, el de Industria, el de Educación, el de Justicia, el de Ciencia o importantes organismos públicos como el Consejo de Seguridad Nuclear, el Tribunal de Cuentas. El del SEPE fue el más grave de todos ellos, cuyos trabajadores tuvieron que volver al papel y bolígrafo para mantener al menos una parte de su actividad.

Etiquetas