Por qué viejas amenazas como Ryuk pueden paralizar durante días entidades públicas como el SEPE

El secuestro de sistemas informáticos mediante el cifrado de archivos es un tipo de ciberataque conocido desde hace años, pero la capacidad de los ciberdelincuentes de diseñar nuevas variantes impide una inmunización total de los sistemas
— Trámites en papel “a la vieja usanza” en las oficinas del SEPE hasta que vuelvan los ordenadores tras el ciberataque

10 de marzo de 2021 23:01h Actualizado el 11/03/2021 05:30h

Los ransomware que encriptan los archivos de un sistema informático y lo hacen prácticamente inutilizable, como ha ocurrido en el SEPE con Ryuk, no son exactamente virus. Pese a ello, se sigue utilizando esta denominación para ellos puesto que tienen comportamientos muy parecidos como, por ejemplo, las mutaciones.

El presidente del SEPE comunicó horas después del ciberataque que la variante de Ryuk que infectó el servicio público de empleo era “la última versión”. Este miércoles, Invertia ha revelado que los expertos del Centro Criptológico Nacional —el organismo encargado de responder a los ciberataques contra las instituciones públicas— piensan que el patógeno digital se programó tan solo unas horas antes de que desatara el caos en el SEPE.

Esta es la gran baza de los ransomware y el motivo por el que Ryuk, que empezó a circular en 2018, sigue provocando estragos en todo el mundo. Los antivirus tradicionales evitan que los elementos dañinos para un sistema informático penetren en él comparándolos con una lista de amenazas conocidas. Si una pieza del código informático de un documento o programa que se pretende descargar coincide con el que se usa para infectar un dispositivo, lo detienen. Por eso es importante mantener los antivirus actualizados, ya que el proceso pone al día la lista de amenazas potenciales con las piezas de código dañino que se han detectado alrededor del mundo.

Pero, ¿qué pasa cuando el antivirus no tiene datos sobre una agente dañino que pretende introducirse en el sistema? Problemas.

El proceso es el mismo que el de las vacunas del coronavirus: las soluciones de inmunización preparadas por las farmacéuticas para la cepa actual pueden no responder bien ante nuevas mutaciones. En el caso de los malware que encriptan los archivos informáticos, los ciberdelincuentes trabajan expresamente para que las nuevas versiones sean indetectables para los antivirus.

Esto provoca que las epidemias de ransomware también vayan por oleadas: los ciberdelincuentes diseñan una nueva variante, la lanzan, logran infectar sistemas de personas, empresas e instituciones y les exigen un rescate para recuperarlos. La recomendación de las autoridades y los especialistas es no pagar, pero algunas organizaciones lo hacen. Al poco tiempo las empresas de ciberseguridad adaptan las defensas de los antivirus, los ciberdelincuentes vuelven a diseñar variantes nuevas y se vuelve a la casilla de salida.

Imagen de uno de los ordenadores del SEPE infectados por el virus Ryuk y con sus archivos cifrados.

En la oleada que afectó a España entre finales de 2019 y principios de 2020 cayeron los sistemas del Ayuntamiento de Bilbao, el de Jerez, la Cadena Ser, Everis, Prosegur o el Hospital de Torrejón. En este tipo de ataques los cibercriminales utilizan además una doble extorsión, puesto que además de secuestrar los archivos informáticos de la víctima, la amenazan con publicar en Internet los datos robados.

Ryuk es uno de los ransomware más utilizados porque puede ser modificado con facilidad y resulta “muy exitoso para los atacantes”, detalla Eusebio Nieva, de la firma de ciberseguridad Checkpoint. “Las mutaciones son prácticamente diarias y es extremadamente complicado que un antivirus tradicional pueda pararlo”, continúa este experto en conversación con elDiario.es: “La media de petición de rescate con una infección de Ryuk ronda los 100.000 euros”.

¿Significa esto que Ryuk y los ransomware son imparables? “No, pero hace falta tecnología especial alrededor del antivirus”, explica Nieva. Una de las fórmulas es poner vigilantes en los sistemas que supervisen su funcionamiento general. Cuando detectan procedimientos extraños asociados a la actividad de un ransomware, como un cifrado incontrolado de los archivos, dan la alarma. Son soluciones avanzadas de ciberseguridad y el propio Centro Criptológico ha desarrollado una de ellas, denominada microClaudia, aunque no ha comunicado que el SEPE la tuviera en uso.

Pese a todo, este tipo de tecnología entra en acción cuando ya ha habido un conato de infección. Los expertos y autoridades coinciden en que la mejor medida contra el ransomware es la prevención, con dos aspectos clave: por una parte, la división previa de los sistemas en partes para que el malware no pueda saltar de una a otra y poder retomar la actividad de los departamentos no afectados lo antes posible. Por otra, las copias de seguridad actualizadas.

El director del SEPE, Gerardo Gutiérrez, ha asegurado que el organismo realiza una copia de seguridad todos los días como medida de seguridad, por lo que el incidente “no afecta al pago de prestaciones o nóminas”. “Como ya hemos venido informando desde ayer, hemos de subrayar de nuevo que no ha habido sustracción de datos y que los sistemas operativos y de gestión del SEPE así como los servidores, no han resultado dañados por el ciberataque. Por tanto, la gestión de nóminas de prestaciones en general y de ERTE en particular no se ven afectadas por el incidente”, enfatizan fuentes del organismo.

Además, también aseguran que no se ha producido una petición de rescate a cambio de liberar los archivos, lo que achacan a que el ciberataque no tenía un propósito económico sino reputacional. Otra posibilidad, revela Nieva, es que los ciberdelincuentes se hayan percatado que la infección no había sido lo suficientemente profunda como para que el estado español se planteara un pago, por lo que han preferido no correr el riesgo de efectuar la petición y dar más pistas a los investigadores. Por el momento, el Centro Criptológico no ha informado de quién puede estar detrás del incidente.

Una página de la Wayback Machine

Durante este miércoles, lo ocurrido con la página web del SEPE ha hecho dudar a los expertos en ciberseguridad de que la recuperación de sus sistemas pueda ser cuestión de pocos días, como asegura su director. Varios de ellos han hecho notar en Twitter que el método para levantar la página web del SEPE no había sido la vuelta a una versión anterior, sino una redirección a una copia almacenada en la Wayback Machine, una herramienta que hace una fotografía de todo Internet cada cierto tiempo. Esta acción ponía en riesgo a los usuarios, puesto que la copia almacenada en esa máquina del tiempo de la red no contaba con los adecuados sistemas de seguridad.

Unas horas después, el SEPE ha optado por generar una página estática con un aviso que informa del ataque, eliminando la posibilidad de hacer click en ninguna de las opciones. “El SEPE está siendo objeto de un incidente de seguridad durante el cual se ha visto afectada la disponibilidad de sus sistemas de información y comunicaciones. Las primeras actuaciones urgentes efectuadas se han producido con la mayor celeridad posible y con el objetivo principal de contener el incidente, aislar y, por tanto, mitigar su impacto en los sistemas del SEPE”, reza el mensaje.

Etiquetas