Ciberataque al SEPE: una auditoría interna ya alertó en 2019 del «riesgo muy crítico» de seguridad

Pero el ciberataque no ha sorprendido a los expertos informáticos, ni a los propios trabajadores del SEPE. Ya en 2019, una auditoría interna de la Subdirección General de Tecnologías de la Información y las Comunicaciones del SEPE (SGTIC) detectó un «riesgo potencial muy crítico» en el uso de las aplicaciones informáticas que se estaba realizando y en el que se constataban «numerosas y muy graves deficiencias en materia de seguridad» por parte de la Dirección Provincial del SEPE de una comunidad autónoma. Otras auditorías internas que se habían hecho en otras regiones también reflejaron graves brechas de seguridad informática.

La información oficial que obra en poder de ABC demuestra el grado de vulnerabilidad del servicio informático de las oficinas de empleo. Una circular interna enviada en una provincia española demuestra que en 2019 la dirección del SEPE , entonces bajo las órdenes de la ministra socialista de Trabajo, Magdalena Valerio , fue informada de los riesgos de seguridad que asumía el organismo público. «Durante el primer semestre de 2019 se procedió, por parte del SGTIC y de sendos equipos técnicos contratados ex profeso, a evaluar la estructura, funciones, amenazas y salvaguardas de la intranet desarrollada en el SEPE desde finales de 2015, concluyéndose que el nivel de riesgo potencial era de 6.8 (riesgo muy crítico) en una escala de 0 a 10, siendo el valor 0 el de riesgo despreciable y 10 de extremadamente crítico».

Pero constatadas las «numerosas y muy graves deficiencias en materia de seguridad», el actual director general del SEPE, Gerardo Gutiérrez, decidió no asumir el riesgo. En un informe interno para «la mejora del rendimiento de las prestaciones» , fechado el 25 de julio de 2019, el alto cargo reconocía que los equipos informáticos con los que operaba el SEPE no eran ni los más adecuados, ni los más seguros.

«No hay que olvidar que todas las gestiones que tienen efectos en el pago de la nómina se soportan sobre la misma aplicación de hace 30 años (Sipre/SILD). Abordar la transformación y mejora de esa herramienta es delicado y se ha venido descartando con el fin de no poner en riesgo el pago de la nómina a los desempleados », decía en ese informe Gerardo Gutiérrez.

Pero el responsable del SEPE también añadía que era necesario garantizar el buen funcionamiento del organismo para no dañar su imagen. «Es indudable la necesidad de garantizar el correcto funcionamiento de las aplicaciones. La prioridad en estos momentos, además de continuar mejorando la automaticidad de los procesos, es conseguir una mejora en su rendimiento y evitar situaciones que acaben afectando a la reputación del SEPE, y a la imagen que, a través de nuestros gestores en las oficinas, percibe el ciudadano».

El ciberataque seguía dejando ayer KO el grueso del servicio de la actividad del organismo público, tanto en las 710 oficinas que prestan servicio presencial como en las 52 telemáticas. Un hecho que desde el pasado martes está siendo investigado por el Centro Criptológico Nacional , dependiente del CNI, y el equipo informático del propio SEPE. Las tareas que se están llevando a cabo van en dos direcciones. Por un lado, los informáticos del SEPE buscan el camino de entrada del virus en los sistemas y, por otro, investigan si los daños han podido contagiar a otros organismos públicos. Hay que tener en cuenta que para reconocer la prestación por paro el servicio de empleo debe acceder a la base de datos de varios organismos, como la Tesorería General de la Seguridad Social, el INSS o la Agencia Tributaria .

En opinión de Luis Corrons, ‘Security Evangelist’ de Avast, lo primero que deben hacer ahora en el SEPE es «investigar el origen de la infección y tapar las grietas, asegurándose de si están dentro o no del sistema» , además de «recuperar» la información cifrada y realizar copias de seguridad. Preguntado por cuánto se puede prolongar la situación del organismo dependiente del Ministerio de Trabajo, este experto apunta a «varias semanas dependiendo de la afectación». El analista de ciberseguridad explica que «plantear el cambio de un sistema conlleva mucho trabajo» y pueden suponer «años». Todo ello, agravado por los requisitos que se tienen que cumplir al tratarse de la Administración como consultorías, concursos públicos, licitaciones, etc. Lorenzo Martínez, director de Securízame.com, se pronuncia en una línea similar y advierte que, a veces, «las cosas van lentas no solo en la Administración pública sino también en las empresas privadas» por la burocracia al tratarse de «procedimientos largos».

Como ya informó este diario, grandes consultoras, entre ellas las ‘Big Four’ , se ofrecieron desde el minuto uno para dar ayuda al Ministerio de Trabajo contra el virus, pero fueron rechazadas. La titular sí quiso la participación de una empresa en concreto: Telefónica. Se requirió auxilio a la compañía de telecomunicaciones dada su experiencia en virus de índole muy similar. Y lo cierto es que es bastante habitual que la empresa privada dé apoyo en este tipo de casos ya que tienen equipos muy especializados y potentes en ciberseguridad.