Pagar o perder los datos: el lucrativo negocio de Ryuk, el virus informático que atacó al SEPE

Un viejo conocido llamado Ryuk. (Tres años de antigüedad en informática validan este calificativo). Así se llama el virus extorsionador que ha atacado el sistema informático del SEPE, el servicio público de empleo. En el mundo de la ciberseguridad no se hablaba de otra cosa este martes. El Ministerio de Trabajo ha recurrido al Centro Criptológico Nacional, que depende del servicio de inteligencia, para investigar y solucionar este caso. El ataque coincide en el tiempo con una brecha de seguridad ‘crítica’ detectada en el servicio de correo Microsoft Exchange y que el lunes afectó a la mismísima Autoridad Bancaria Europea.

¿Qué está ocurriendo? En realidad esto es el día a día en un submundo de internet, sólo que en el año que llevamos de pandemia el negocio de la ciberdelincuencia ha florecido con tanto trabajador en remoto: los ataques se han disparado un 200%.

La parte oscura de la red es una especie de mercado donde uno puede elegir el tipo de virus que quiere. Por un lado están los desarrolladores de estos programas informáticos maliciosos que los adaptan al objetivo del cliente a cambio de llevarse una comisión de lo que deje el negocio. “Es un esquema criminal muy organizado. Desarrollan nuevas variantes para hacerlas cada vez más indetectables. Luego está la parte administrativa encargada de blanquear el dinero que se ingresa en criptomonedas”, explica Josep Albors, responsable de concienciación de ESET.

“Antes del ataque se buscan puntos de entrada, vulnerabilidades para acceder a la red interna de una empresa u organismo. Una vez dentro se buscan objetivos concretos. Eligen muy bien a sus víctimas, conocen sus puntos débiles y cuánto dinero pueden llegar a pagar. No es como antes que sólo se atacaba a pequeñas empresas. Ahora hay rescates que piden cifras millonarias”, prosigue este experto.

Ryuk, el virus que se sospecha ha atacado al SEPE, forma parte de la familia de los llamados SEPEransomware (chantaje). Ha sido uno de los miembros destacados de la saga que ha conseguido prevalecer a nivel mundial. Ya no es el mismo de 2018: ahora su diseño es más complejo y capaz de hacer muchas más cosas, explican los expertos. En el pasado atacó ya a empresas españolas como Everis o Prosegur.

El viejo y actualizado Ryuk entra en los sistemas, roba información y entonces llega la amenaza: o se paga la recompensa o los datos se pierden o se hacen públicos. “Un virus de este estilo explicaría la caída de todo el sistema del SEPE de este martes”, explica Lorenzo Martínez, director especializado en ciberseguridad de Securizame.

Desde el Gobierno se insiste en que no les han pedido ningún tipo de rescate para recuperar los supuestos datos robados. “No es lo habitual”, reconoce Martínez. En otros casos la amenaza llega a través de los clientes y proveedores. “Les llaman para decirles que tienen sus datos y de dónde los han sacado. Extorsionan de una manera muy fuerte”, apunta Albors. Dar luego con ellos es dificilísimo o casi imposible.

Todavía es pronto para conocer el alcance de lo que ha ocurrido en el SEPE. “Las prestaciones no están en peligro. Estamos investigando para poder restablecer el servicio en las próximas horas”, aseguraba Gerardo Gutierrez, director general del organismo. ¿Cómo de peligroso puede ser? “Digamos que puede ser bastante molesto”, contesta Albors. “El síntoma de su presencia suele ser una nota en el escritorio del ordenador tipo: Ha sido infectado por Ryuk”, explica Daniel Creus, jefe de investigación de Kaspersky. “Es pronto para saber mucho más. Ahora están haciendo tareas de mitigación”.

¿Por dónde ha podido entrar? Hace unos años el correo electrónico era casi la única entrada, pero ahora puede ser el sistema operativo, la conexión en remoto, contraseñas débiles de los usuarios de la red interna… Las preguntas que hay que responder se parecen mucho a las de un robo: ¿qué se han llevado? ¿Qué parte de la red está afectada? ¿Cómo se pueden restaurar las copias de seguridad? ¿Han conseguido lo que buscaban? ¿De qué manera se consigue eliminar el virus?

En el sindicato de funcionarios CSIF se muestran preocupados por este fallo.“Llevamos meses pidiendo un decidido apoyo en inversión tecnológica, ya que las aplicaciones y sistemas informáticos tienen una antigüedad media de unos 30 años", han denunciado en un comunicado.

No hay una forma infalible para evitar estas entradas no autorizadas, pero sí una manera de minimizar su impacto. “A nosotros nos llaman dos clientes por lo menos cada semana con un problema de secuestro de datos. Hay de todo: empresas pequeñas, medianas y grandes”, explica Martínez de Securizame. “Nadie te puede asegurar que no te vuelva a pasar, pero lo que sí es posible es recuperar los datos. Garantizar con un sistema de copias de seguridad que la información está sí o sí. Asumo que en el SEPE esto lo tendrán”.

“Fuera de España este tipo de virus ransomware se ha centrado en atacar clínicas médicas privadas. Sobre todo en Estados Unidos han tenido mucha relevancia por esto”, apunta Albors. “El problema es que, aunque tengas copia de seguridad, si te roban información de clientes y se filtra, te cae una multa por el tema de la protección de datos”.

Mientras en el SEPE seguían mirando qué había ocurrido, la Autoridad Bancaria Europea (EBA) restablecía sus servicios y comunicaciones tras haber eliminado la amenaza del ciberataque que sufrió el lunes. En este caso, la brecha de seguridad venía del sistema de servidores de correo electrónico de Microsoft Exchange, no de un virus.

A principios de mes la compañía estadounidense comunicó que se habían detectado cuatro fallos “críticos” que dejaban el sistema vulnerable. Esta amenaza es potencialmente más peligrosa que el Ryuk si no se toman medidas, reconocen los expertos.

“Esto puede ser grave. Ha habido muchas parecidas, como el WannaCry que afectó a Telefónica en 2017 y que se propagaba a la misma velocidad que el covid a través de Microsoft”, argumenta Martínez. El problema de estos fallos es que permiten a un ciberdelincuente operar en remoto en el sistema e incluso modificar archivos de la empresa u organismo. “Es pronto para saber, pero a priori, conociendo las técnicas y procedimientos utilizados por Ryuk, este problema no debería aparecer en el caso del SEPE. No hemos visto a este virus explotando este tipo de vulnerabilidad”, aclara Creus de Kaspersky.

El fallo en Microsoft Exchange es más difícil de detectar. Pueden pasar meses hasta que la empresa se dé cuenta del riesgo. “Por mucho que la amenaza trate de pasar desapercibida, tiene que hacer algo para sustraer información. Los sistemas de seguridad son los que alertan de anomalías”, explica Albors de ESET. Este nivel de sofisticación en el ciberataque se relaciona más con casos de espionaje y de inteligencia. Vamos, más de James Bond.

Ahora la forma de corregir el riesgo es parchear los agujeros; actualizar la versión de Microsoft Exchange. Es como cuando un fabricante de coches o electrodomésticos detecta un fallo en un modelo y pide a los clientes que los lleven a un taller oficial a reparar. El problema es que hasta que las miles y miles de empresas que utilizan este sistema de correo se enteren de que existe esta brecha de seguridad todas son potencialmente vulnerables. En este mundo de internet se dice que esto es una APT (Advanced Persistent Threat): una amenaza avanzada persistente.

Según la propia Microsoft, hay un grupo APT patrocinado por el estado de China conocido como Hafnium que está explotando estas vulnerabilidades contra organizaciones estadounidenses para robar información. Los propios servicios de inteligencia españoles han calificado de “crítico” el nivel de peligrosidad.