Creo que no somos conscientes de lo que ha sucedido en el SEPE. No quiero generar una fakenew, pero sí ponernos en el peor lugar, porque examinando el asunto con una perspectiva técnica es fea y como ciudadano y/o posible afectado es para decir: “Os lo dije, ha vuelto a pasar”.
El Servicio Público de Empleo Estatal (SEPE) ha sido añadido a la lista de víctimas del ransomware, un virus informático que secuestra los archivos y pide dinero por rescatarlo o no hacer pública la información. Por cierto, el ransomware parece que ya tiene nombre: Ryuk, un amigo que lleva tiempo dando vueltas por el mundo digital.
Desde este organismo han querido dejar claro que datos de personas, pagos de nóminas y prestaciones de desempleo o ERTES no se han visto afectados, sin embargo, la poca transparencia nos deja a todos con un tufillo que nos genera desconfianza.
Uno de los servicios que sí sabemos que ha sido afectado es la web. Han tenido que restaurar una versión antigua de 2018, como podemos observar en el copyright:
Tras estos hechos deberían cambiar este texto por “@Todos los derechos reservados – 2021 SEPE y Ryuk”.
Otro motivo que nos hace dudar si realmente no ha afectado a los datos de las personas que trabajan allí y los usuarios que usan el servicio es que la propia página web dispone de funcionalidades donde se piden datos de carácter personal.
Es decir, si nos están mintiendo, y sí se ha visto afectada la base de datos, donde se almacena toda la información que utiliza la página web y otros servicios. Y como consecuencia de ello, es posible que estemos ante una de las mayores fugas de información que ha vivido España. Y, quizás, sea ese el motivo de tanto secretismo.
Es difícil saber el alcance de dicha intrusión, pero, como se publique…, el <<jartazgo>> de muchas personas puede llegar a lugares insospechados. Y no es para menos, ya que en el año 2016 se publicó una licitación con un estado de “resuelta” y ningún dato de la empresa adjudicada. El valor estimado era de 26 millones 601 mil euros para 4 servicios y entre ellos, el lote 4 de “Seguridad”, con una estimación de 881.275 euros más impuestos. Os dejo los enlaces para que podáis certificarlo vosotros mismos.
Enlace de la licitación: https://contrataciondelestado.es/wps/portal/!ut/p/b0/04_Sj9CPykssy0xPLMnMz0vMAfIjU1JTC3Iy87KtUlJLEnNyUuNzMpMzSxKTgQr0w_Wj9KMyU1zLcvQjQ53LSyNDciuzksoDvY1CXNMi3Cu1HW1t9Qtycx0BjD65Xg!!/
Pero esto no se queda aquí, lo más cercano a una licitación de monitorización o ciberseguridad es reciente, del pasado 24 de noviembre de 2020, que se formalizó por 257.857,40 euros al Grupo Corporativo CGI Informática S.A para un “Servicio de monitorización y análisis para la detección de problemas que afecten al rendimiento de aplicaciones informáticas del Servicio Público de Empleo Estatal (SEPE)”. Sin embargo, no parece que la seguridad fuera ninguno de sus fines. Aunque no lo he podido comprobar porque no he encontrado el pliego técnico.
Seguimos y encontramos un “informe de necesidad” que sí habla de consultoría en proyectos de seguridad informática: “El objeto del contrato es la prestación de un servicio de asistencia técnica, relacionada con la actividad propia, especializada en Gestión de la Calidad y la Seguridad, Business Intelligence y Análisis y Calidad del Dato para la Subdirección General de Tecnologías de la Información y Comunicaciones (SGTIC) del Organismo Autónomo Servicio Público de Empleo Estatal (SEPE).”, 670.700,80 € .
Conclusión, se ha gastado dinero, dinero de todos, pero con un enfoque insuficiente, mal gestionado y mal dirigido en la seguridad informática. Teniendo en cuenta que uno de sus activos más importantes son sus ordenadores de 30 años, porque guardaban posiblemente los datos personales de mucha gente: DNI, email, nombre y apellidos, hijos, estado laboral, vida laboral, etc.
Ahora, es cuestión de tiempo que veamos si el master en ciberseguridad express, que tendrá que hacer algún político, nos lleva a pagar un rescate con dinero público. Y, predigo un silencio que se comprará con una licitación millonaria y que se llevarán los mismos de siempre.
(*) 'Jorge Websec' es experto en seguridad informática y socio fundador de la empresa QuantiKa14 (www.quantika14.com) y proyectos como Dante's Gates, Guasap Forensic, Twiana, etc. Este artículo lo ha publicado originariamente en su blog 'Diario de un perito informático'.
