El ciberataque que ha sufrido el Servicio Público de Empleo Estatal (SEPE) el pasado día 8 de marzo ha afectado a todas sus oficinas del territorio nacional, lo que ha obligado ha suspender la actividad y aplazar todas las citas comprometidas.
Según ha indicado el SEPE, el malware que ha afectado a su sistema es de la familia ransomware, un tipo de código malicioso que cifra los archivos de los sistemas informáticos para, posteriormente, pedir un rescate a cambio de la clave de descifrado.
Dicho ataque ha paralizado la actividad de las 710 oficinas del SEPE que prestan servicio presencial y las 52 oficinas que lo hacen de forma telemática.
El SEPE, como la mayoría de las Administraciones Públicas, maneja volúmenes ingentes de datos, tanto de empresas como de trabajadores (ya que gestiona tanto los ERTEs, como el abono de las prestaciones de desempleo). El síntoma más visible para el público del ciberataque sufrido fue que su sitio web no estaba operativo.
Las primeras preguntas que surgen a raíz de esto son: ¿a cuánta información y de qué tipo han podido acceder los atacantes?; ¿cuánto tiempo llevaban en el sistema antes de ejecutar finalmente el ataque?; si han sustraído información, ¿qué van a hacer con ella?; ¿cuáles serán las consecuencias de esto para los ciudadanos?
Hemos de tener en cuenta que incidentes de este tipo, tan graves y masivos, afectarán irremediablemente a la prestación de los servicios del SEPE, provocando retrasos en la gestión de los centenares de miles de citas en toda España, en un momento tan delicado como es la avalancha de expedientes que afronta el SEPE a consecuencia de la pandemia.
Es un hecho generalizado que las administraciones y organismos públicos no tienen la ciberseguridad entre sus prioridades, pese a la ingente cantidad y la sensibilidad de datos que manejan de los ciudadanos.
Es común que los funcionarios no dispongan de equipos informáticos obsoletos, con sistemas operativos que ya no tienen soporte del fabricante y con unas medidas de seguridad totalmente precarias.
El Esquema Nacional de Seguridad (ENS) nació en el año 2010 con el objetivo de regular las medidas de seguridad que las administraciones y organismos públicos deben implantar en sus sistemas informáticos para garantizar la seguridad de dichos sistemas y, por ende, la seguridad de la información que manejan los ciudadanos.
11 años después, la implantación de dicho esquema es totalmente residual en la administración, utilizándose para el tratamiento de los datos de los ciudadanos sistemas informáticos que no reúnen, ni de lejos, los requisitos que la propia administración, reitero, 11 años, se marcó como apropiado.
Y es que la digitalización de la administración debe ir, necesariamente, acompañada de la necesaria ciberseguridad para evitar situaciones tan graves como esta, que acabarán afectando, irremediablemente, a los que menos culpa tienen.
16 de marzo de 2021 – Artículo para la sección Innovadores del periódico El Mundo Castilla y León.
