El SEPE y la vulnerabilidad del teletrabajo
El Servicio Público de Empleo Estatal (SEPE) era víctima ayer de un ataque informático que tumbaba sus sistemas, dejando al organismo diezmado en sus 710 oficinas presenciales y las 52 telemáticas con que cuenta. La última versión del ransomware Ryuk –detectado por primera vez en agosto 2018- se encontraba detrás del ciberataque, si bien hasta donde se ha sabido, no se ha solicitado rescate alguno para la recuperación de los sistemas. Según fuentes del propio SEPE, no se habría producido el robo de la información, algo especialmente crítico dada la extraordinaria cantidad de información sensible de carácter personal que maneja este organismo.
Si finalmente se trata de Ryuk, la Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) alertaba recientemente de su capacidad para propagarse de una máquina a otra sin ninguna interacción humana, dada su capacidad de replicación tipo gusano. La ANSSI revela en su informe que, aunque Ryuk no es oficialmente un RaaS, como describíamos en este espacio hace unas semanas, sí que es evidente que en sus cadenas de infección están involucrados diferentes grupos criminales.
Mientras la Central Sindical Independiente y de Funcionarios (CSIF) lamentaba la obsolescencia de los equipos informáticos del SEPE con una media de 30 años de antigüedad –recientemente denunciábamos idéntica situación en el Congreso-, atribuyendo a ello la vulnerabilidad, su director general, Gerardo Gutiérrez rechazaba tal extremo, aunque no negaba tal antigüedad del parque informático.
Infraestructura heterogénea
El SEPE sus servicios centrales en infraestructura de mainframe de IBM zSeries, complementado con equipos de almacenamiento de EMC, así como el tándem Fujitsu-Oracle (con Solaris), que participa tanto en el centro de proceso de datos (CPD) primario como en el de respaldo. A ello hay que sumar los servidores x86, que se reparten entre Fujitsu (diversos modelos Primergy) y HP (de la gama ProLiant). Los servidores virtualizados corren tanto Windows como Linux, contando además con el servidor de aplicaciones IBM WebSphere (unos 80 servidores con planes de saltar a 132), bases de datos tanto de Oracle como IBM DB2 y el gestor documental EMC Documentum.
La microinformática se nutre de ordenadores de APD y muy especialmente HP (Compaq, Elite, Prodesk…) y Tekno Service, mientras que en la conectividad, el proveedor de referencia es Cisco. La parte del nodo de internet y la seguridad perimetral, que se apoya mayoritariamente en servidores Dell PowerEdge, cuenta con diversos equipos de Cisco, Forcepoint, Fortinet, Palo Alto, Blucoat, McAfee, Symantec, Karpesky… Sólo en el capítulo de antivirus, se manejan licencias del antivirus McAfee para alrededor de 10.000 equipos.
Precisamente mañana termina el plazo para presentar ofertas en el concurso público que licita los servicios de mantenimiento de sistemas y equipos informáticos (hardware y software) del SEPE. Un contrato que se divide en siete lotes con un presupuesto de licitación de más de 10,1 millones de euros y un plazo de ejecución de tres años, sin posibilidad de prórroga.
La llegada del teletrabajo al SEPE
A la teoría de la obsolescenica y las vulnerabilidades derivadas de ésta, la puesta en marcha del teletrabajo también podría encontrarse en el origen de la falla de seguridad. La Administración Pública no ha sido una excepción a la hora de verse abocada a tener que recurrir al teletrabajo debido a la COVID-19 y, como ha sucedido en muchos casos en el ámbito empresarial, de manera improvisada. En el caso del SEPE, además, con el agravante de verse desbordado con los millones de ERTE a gestionar.
Raúl Martín García, subdirector general adjunto de Tecnologías de la Información y Comunicaciones (TIC) del SEPE, admitía el año pasado que “como al resto de las administraciones, la crisis nos pilló por sorpresa en el SEPE”, añadiendo que “no contábamos con ningún piloto previo de teletrabajo”. Según relataba para la publicación de ASTIC (Asociación Profesional de Cuerpos Superiores de Sistemas y Tecnologías de la Información de las Administraciones Públicas), el primer paso que dieron fue identificar a los empleados críticos para mantener el servicio entonces, distribuyendo 128 portátiles con solución de movilidad para quienes no los tenían, ya fueran de los servicios centrales o de las direcciones provinciales.
A ello siguió la puesta en marcha del teletrabajo de buena parte de los funcionarios del SEPE, que trabajaron desde sus casas con sus propios ordenadores a través de escritorios virtuales, conocidos por sus siglas en inglés como VDI (Virtual Desktop Infrastructure). Posteriormente, el SEPE adquiriría con urgencia 80 ordenadores portátiles y 150 teléfonos móviles. Para mediados de 2020, el SEPE contaba con alrededor de 4.400 personas teletrabajando.
Precisamente el proveedor de antivirus del SEPE, McAfee, en uno de sus informes de 2020 advertía de cómo muchos trabajadores se habían visto obligados a compaginar el ancho de banda doméstico habitual con las exigencias técnicas de sus trabajos, lo que les hacía “una presa fácil” para los ciberdelincuentes. En otro informe de McAfee específicamente dedicado a los riesgos del teletrabajo y la COVID-19, abunda en esta cuestión.
No ha trascendido cómo el SEPE securizó el acceso a sus sistemas por parte de los empleados que se conectaban a ellos mediante sus ordenadores personales, pero la propia McAfee alertaba de que, no sólo las infraestructuras VPN han tenido “dificultades para hacer frente a la gran oleada de teletrabajadores”, sino que en muchos casos en los que las aplicaciones se encuentran en la nube, los empleados desactivan la VPN y acceden directamente a las aplicaciones.
Aunque es cierto que una estrategia de escritorio virtual (VDI) reduce la superficie de ataque de los ciberdelincuentes, un correo electrónico abierto que contenga un archivo malicioso o una descarga de malware por parte del empleado podría bastar para infectar el sistema operativo. La ventaja de VDI es que cuando se reinicia la máquina virtual se destruye todo el software, pero hasta que se produce esta desconexión el código malicioso puede hacer de las suyas.
¿Plan de contingencia?
El ataque informático no sólo ha dejado en evidencia la seguridad informática del SEPE, sino también su estrategia de respaldo y recuperación ante desastres, dado que un día después del ataque el servicio ha sido incapaz de restaurar su actividad. Y ello a pesar de contar con un Plan Global de Contingencias en su haber, así como con dos Centros Alternativos de RESpaldo (CARES) en una ubicación remota (a unos 40 kilómetros del CPD primario), en la que se replica el entorno de producción y los datos de todos los demás entornos existentes en el CPD primario.
Aquel proyecto CARES, cuya segunda fase se culminó hace más de una década, se levantaba sobre infraestructura de Fujitsu y su solución CentricStor, con la que se aseguraba contar con una unificación de la gestión del backup y una escalabilidad prácticamente ilimitada. Aquel proyecto, que ha ido evolucionando con los años y, de hecho, desde 2012 cuenta con un segundo centro de datos a 30 kilómetros del emplazamiento principal, debería haber permitido la recuperación total de los entornos productivos en tiempo récord, pero hasta el momento Ryuk lo ha impedido.
Borrones en adjudicaciones
Si echamos la vista atrás, los concursos públicos del SEPE fueron algunos, junto con otros relacionados con la Agencia Tributaria (AEAT), la Gerencia del Informática de la Seguridad Social (GISS) y el Instituto Nacional de la Seguridad Social (INSS), que en 2016 comenzó a investigar la Comisión Nacional de los Mercados y la Competencia (CNMC) por sospechar que las empresas adjudicatarias se habían repartido el mercado entre 2005 y 2015.
Finalmente, en 2018 la CNMC emitía una resolución en la que daba por “acreditada la existencia de una infracción única y continuada de la que se considera responsables o instigadores” a Indra y a Software AG. Además de estas dos compañías, multadas con 13,5 millones de euros y unos 6 millones de euros, respectivamente, se sumaban otras empresas que habían participado de este reparto de contratos y también fueron sancionadas: Accenture (300.000 euros), IBM (940.000 euros), Atos (5 millones de euros), Babel (unos 634.000 euros), Cibernos (616.000 euros), Connectis (1,8 millones de euros), Everis (800.000 euros), Gesein (unos 321.000 euros) y Next (unos 46.700 euros).
En el caso concreto del SEPE, los contratos repartidos y objetos de infracción eran, precisamente, los referidos al mantenimiento de sus sistemas y aplicaciones informáticas. Fruto de la investigación de la CNMC salieron a la luz extractos de correos electrónicos internos en los que se evidenciaba tal reparto del mercado y reuniones con la Subdirección del INEM [antiguo SEPE] adelantando algunos datos sobre los nuevos concursos.
Sin comentarios