¿Estamos realmente preparados frente a las ciberamenazas? El Ciberataque al SEPE

Mar 17, 2021

Han pasado más de 48 horas desde que el Servicio Público de Empleo Estatal (SEPE) sufriera un ciberataque, ejecutado mediante el uso del ransomware conocido como Ryuk, sin que se haya podido recuperar la normalidad hasta el momento, interrumpiendo los servicios de la sede electrónica del SEPE, el funcionamiento de su página web y la atención telefónica.

Ransomware es un tipo de programa dañino para los sistemas informáticos que consigue acceder a archivos y secuestra datos para posteriormente pedir un rescate a cambio.

Al estar fuera de servicio los sistemas de información y comunicaciones del SEPE vía telemática, se ha suspendido el cómputo de plazos hasta restablecer el sistema.

El momento en el que ha llegado no podría ser peor, puesto que afecta igualmente a los ERTE, nuevas solicitudes e información de periodos de actividad, o las nuevas contrataciones por parte de las empresas. Hasta que la situación se normalice no será posible comunicar las contrataciones por vía telemática, sin que corran los plazos durante su interrupción.

En relación con los ciudadanos, aunque la sede electrónica del SEPE no esté operativa, si ya tienen cita previa, pueden acudir a las oficinas de prestaciones el día y la hora de su cita. En caso de que la oficina esté puntualmente cerrada, el personal del servicio público de empleo contactará para avisar y ofrecer una solución.

En lo que al cobro de la prestaciones se refiere, el SEPE señala que “el pago de las prestaciones se ha realizado con normalidad en la primera semana de marzo, y subraya que el ciberataque no afectará en ningún caso a los derechos de los solicitantes de las prestaciones.”, por lo que en principio no habrá que preocuparse.

¿Se podría haber evitado?

En primer, lugar debemos realizar una consideración previa y fundamental, analizando el contexto social en el que nos encontramos. Vivimos en un mundo digital, totalmente interconectado, donde la mayoría de las relaciones las desarrollamos en lo que llamamos ciberespacio, interactuando casi un 60% de la población mundial, más de 4.500 millones de personas nos relacionamos, sin límites o fronteras. Todo ello, además, acelerado exponencialmente por la aparición de la COVID-19, lo que conlleva que cambios que deberían haberse desarrollado en año, lo hagan en meses, sin que se hayan preparado las infraestructuras, las personas y los protocolos a seguir, para garantizar un mínimo de seguridad.

La seguridad de las redes y sistemas de información requiere potenciar las medidas de prevención, detección y respuesta, fomentando la seguridad por diseño y por defecto, debiendo estar incorporada tanto en el desarrollo de productos y servicios tecnológicos, como en su actualización o manera de utilización.

A raíz de la transposición por parte de España de la Directiva europea 2016/1148 (conocida como Directiva NIS), a través del Real Decreto Ley 12/2018, desarrollado recientemente por el Real Decreto 43/2021, donde, entre otras indicaciones, se incluye la gestión de incidentes de ciberseguridad, los denominados Operadores de Servicios Esenciales (OSE), como lo es el SEPE, deberán adoptar las medidas técnicas y de organización “adecuadas y proporcionadas” para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, tanto si son propios como externos.

La norma también les obliga a aprobar políticas de seguridad y a designar a un responsable de la seguridad (persona u órgano) que será el punto de contacto con la autoridad competente.

De cara a evitar posibles ataques por parte de las organizaciones, es fundamental la formación del personal, invertir en equipos y su actualización constante, a través de sistemas lo más robustos posibles.

Hay que asegurar que se dispone de procedimientos que garanticen la continuidad del negocio y políticas para la gestión de la seguridad de la información.

En caso de un ciberataque, ¿Qué protocolo debe seguirse?

Los operadores de servicios esenciales como el SEPE, tendrán que notificar a la autoridades competentes, a través del CSIRT de referencia, “los incidentes que puedan tener efectos perturbadores significativos en sus servicios, y a avisar de los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real”. Esto es lo que dice literalmente la normal antes indicada.

ciberataque al SEPE

Los CSIRT son los equipos de respuesta a incidentes de seguridad en la información (Computer Security Information Responde Team). Se trata de entidades públicas y en España contamos con tres:

CCN-CERT: pertenece el Centro Criptológico Nacional, encargada de dar respuesta a ciberataques en el ámbito de las administraciones públicas
INCIBE-CERT: pertenece al Instituto Nacional de Ciberseguridad en España, encargado de incidencias en el sector privado.
ESPDEF-CERT: pertenece al Ministerio de Defensa, encargado de incidencias relacionadas con la Defensa Nacional.

Por lo que ha comunicado el propio SEPE a través de medios oficiales, en cuanto tuvo conocimiento de incidente se puso en contacto con el Centro Criptográfico Nacional, para notificar el ciberataque y solicitar asistencia para la resolución del problema, cumpliendo con su obligación.

Al no haberse visto comprometidos datos de carácter personal, en principio, no hay obligación de notificación a la AEPD, en caso contrario habría contado con un plazo máximo de 72 horas para llevarla a cabo.

¿Cabe sancionar al SEPE por el ciberataque sufrido?

El incumplimiento de las obligaciones establecidas en el RDL 12/2018 conlleva una serie de sanciones, que se gradúan en muy graves, graves o leves. Si se demostrara algún incumplimiento de la norma antes citada, las multas económicas son muy cuantiosas, en las leves hasta los 100.000 euros y en la muy graves pueden llegar hasta el 1.000.000 de euros, lo que desde luego puede llevar a una situación de grave riesgo a muchas empresas.

Además de ello, un hipotético incumplimiento, podría dar lugar al derecho de reclamación de los administrados por deficiente funcionamiento de los servicios públicos.

Las empresas comienzan a ser conscientes de que nos encontramos ante un problema real, que puede poner en jaque a una organización entera, capaz de provocar la desaparición de la misma, hasta el punto que ya comienzan a contratar “ciberseguros”. Hoy ha sido la sede electrónica del SEPE pero mañana podría ser cualquier organización.  ¿Y tú, estás preparado?

Si te ha gustado este artículo y quieres reforzar la seguridad digital de tu organización, en García Carbonell somos especialistas en privacidad y protección de datos, entre otras áreas.

 

Contacto

Calle Teodoro Camino, 24 Piso 1
02002 Albacete
t.: 967 55 04 41
f.: 967 50 45 30
e.: info@garciacarbonellabogados.es