El Ministerio de Trabajo lleva casi tres semanas inmerso en el caos por el ciberataque sufrido el pasado 9 de junio. El segundo 'hackeo' en solo tres meses, tras el que afectó al SEPE en marzo, ha puesto en evidencia la debilidad de este departamento en materia de ciberseguridad y la incapacidad para solucionar rápidamente y con medios propios los graves problemas causados por este tipo de software maliciosos. La vicepresidenta tercera del Gobierno y máxima responsable de este Ministerio, Yolanda Díaz, ha tenido que recurrir por la vía de urgencia a varias empresas privadas para que apoyen a sus técnicos en las tareas de recuperación de los equipos y además ha encargado una auditoría de toda la infraestructura informática.
En concreto, Trabajo, a través de la Subdirección General de Administración Financiera, ha contratado a la consultora de ciberseguridad Sidertia para el servicio de auditoría de la infraestructura de hardware, software y comunicaciones del Ministerio. Según la información que consta en la Plataforma de Contratación del Estado, el contrato, negociado sin publicidad y tramitado por la vía de emergencia, alcanza un valor estimado de 290.400 euros, tiene un plazo de ejecución de 45 días, encaja en el epígrafe de "servicios de consultoría en recuperación de equipo informático en caso de catástrofe" y fue adjudicado el día 16 de junio, exactamente una semana después de la entrada del virus en los sistemas del Ministerio.
A falta de conocer el detalle de los pliegos de cláusulas administrativas y prescripciones técnicas y la memoria justificativa del contrato (el Ministerio, de momento, no ha hecho pública esta información por tratarse de un procedimiento de emergencia) la breve referencia en la Plataforma constata que la auditoría se basará en los criterios del Centro Criptológico Nacional, el organismo dependiente del Centro Nacional de Inteligencia (CNI) encargado de la ciberseguridad de las administraciones públicas, que está colaborando con los técnicos del Ministerio de Trabajo en las tareas de restauración de los equipos informáticos afectados por el ciberataque.
En este sentido, cabe destacar que el Ministerio de Trabajo no dispone en estos momentos de la Certificación de Conformidad del Esquema Nacional de Seguridad, un distintivo que exige el CNI a las administraciones públicas y que acredita su cumplimiento en materia de ciberseguridad. Aunque hay que aclarar que no se trata de una excepción, ya que dentro del Gobierno, solo los departamentos de Asuntos Económicos y Sanidad están al día en este certificado, según el listado de 'Sector Público Certificado', disponible en la página web del CCN, donde aparecen organismos como la Guardia Civil o la Policía Nacional, ambos dependientes del Ministerio de Interior. Las entidades que figuran en la lista han de haber superado de manera voluntaria una auditoría satisfactoria, paso que ahora va a dar el departamento de Díaz.
Pero no es el único encargo que ha tenido que hacer el Ministerio ante el caos que ha provocado el ciberataque tanto en sus servicios centrales como en otros organismos interrelacionados con el departamento como son la Inspección de Trabajo y Seguridad Social, el Instituto Nacional de Seguridad y Salud en el Trabajo o el Fondo de Garantía Salarial (Fogasa), que también se han visto afectados y permanecen paralizados desde hace ya casi tres semanas. Como se adelantó en estas páginas, Trabajo ha adjudicado un contrato a Fujitsu Technology Solutions, también negociado sin publicidad y por la vía de urgencia, para que le preste asistencia técnica en las labores para solucionar el incidente, por un importe total de 145.893 euros.
No siendo suficiente con esas dos licitaciones, el Ministerio ha adjudicado, hasta el momento, al menos otros dos contratos más. Uno de ellos para servicios profesionales de asistencia técnica en microinformática por un valor estimado de 67.480 euros, adjudicado a la empresa Suministros, Importaciones y Mantenimientos electrónicos SAU por la vía de emergencia y sin publicidad; y otro de "apoyo a las infraestructuras para la recuperación tras el ciberataque", adjudicado también a Fujitsu por la misma vía y por un total de 486.450 euros. Así, en suma, Trabajo lleva gastados 990.223 euros en servicios externos para distintas labores de restauración de los equipos.
Desde que el Ministerio hiciera público el ciberataque, con un escueto "los responsables técnicos del Ministerio y del Centro Criptológico Nacional están trabajando de manera conjunta para determinar el origen y restablecer la normalidad lo antes posible", la información oficial ha sido proporcionada con cuentagotas, siempre en el sentido de que el ataque no habría tenido una alta afectación y los técnicos han ido restaurando los equipos informáticos paulatinamente durante estos días. Se sabe que se trata de un virus de la familia ransomware -en concreto, la versión Ryuk- , un malware capaz de bloquear ordenadores, cifrar millones de datos y pedir un rescate por ellos a cambio de devolver el funcionamiento normal al sistema.
⚠️ El Ministerio de Trabajo y Economía Social se ha visto afectado por un ataque informático. Los responsables técnicos del Ministerio y del Centro Criptológico Nacional están trabajando de manera conjunta para determinar el origen y restablecer la normalidad lo antes posible.
— Ministerio Trabajo y Economía Social (@empleogob) June 9, 2021
Se trata, de hecho, del mismo virus que tuvo en jaque al SEPE durante semanas, provocando un importante colapso en la tramitación de prestaciones en un momento especialmente crítico para el sistema por el elevado volumen de expedientes de regulación temporal de empleo (ERTE). Desde el Ministerio admiten que el ciberataque, que entró por su red, ha afectado, además de a su propia web, a los servicios internos del departamento de Seguridad Social, con quien comparten servidores, y a otros entornos interrelacionados, si bien aseguran que ni en la anterior ocasión ni en esta se produjo un robo de datos ni se pidió ningún rescate.
Sin embargo, lo habitual es que los atacantes utilicen ficheros ReadmeRyuk, en los que culminan el 'cibersecuestro' de datos y sistemas con una serie de instrucciones que la víctima (en este caso, el Ministerio) debe seguir para hacer efectivo el pago exigido a través de bitcoin, a cambio de recuperar las carpetas cifradas. Es decir, el modus operandi habitual de Ryuk es el siguiente: entra en el sistema, libera el ransomware y proporciona esos ficheros con indicaciones para abonar el rescate solicitado (hablamos de cantidades millonarias). Esos podrían haber sido los pasos seguidos por los ciberdelincuentes tanto en el primer ataque al SEPE como en el último, dirigido al Ministerio de Trabajo, pero fuentes del departamento que dirige Yolanda Díaz niegan la mayor e insisten en que ni se han secuestrado datos ni se ha pedido un rescate por ellos en ninguna de las dos ocasiones.
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que lainformacion.com restringirá la posibilidad de dejar comentarios