El Ministerio de Trabajo ha sido víctima de un ciberataque, en concreto con el mismo ransomware, conocido como “Ryuk”, que hace exactamente 3 meses, 09/03/2021, había atacado al Servicio Público de Empleo Estatal, SEPE, dejando sin servicio tanto su página web como su sede electrónica y, ocasionando un grave perjuicio entonces, agravando el retraso en la gestión de los ERTE

Pero, ¿en qué consiste el ransomware Ryuk?

Como la mayoría de los ransomware suelen acceder a los sistemas de la víctima a través del correo electrónico, enviando un mensaje con un documento adjunto, el cual, al ser abierto, descarga el virus en el equipo y, a través de éste, accede a los demás sistemas y equipos que estén conectados, en este caso, al estar conectado el equipo al sistema, red y servidor común del Ministerio, ha podido acceder a todos aquellos equipos conectados.

Una vez accede a los equipos, cifra todos los archivos, imposibilitando su uso si no se conoce la contraseña, por la cual, se pide un rescate económico.

¿Cuáles han sido las consecuencias?

Tanto el Ministerio como el Centro Criptológico Nacional (CCN y CERT, competentes en estos incidentes), están trabajando en recobrar la normalidad lo antes posible, sin embargo, adelantan que esta vez no se ha visto afectado el SEPE, sino a equipos y sistemas internos, pero el número de afectados es muy elevado. Por este motivo, todos los funcionarios y empleados se han desconectado de la red del organismo, viéndose obligados a teletrabajar la mayoría, mientras algunos se han conectado a otras redes habilitadas al efecto.

¿Qué debemos hacer en caso de sufrir un ciberataque como éste?

1. Nunca pagar el rescate, ya que hacerlo no garantiza que nos envíen la contraseña para desencriptar los archivos.

2. Denunciar ante la Guardia Civil o Policía Nacional, ambos cuentan con unidades especializadas en delitos informáticos.

3. Cumplir con la normativa en Protección de Datos.

– Si disponemos de una buena política de copias de seguridad, el ataque no nos habrá afectado, puesto que, restaurando el sistema, podremos continuar de forma inmediata desde la última copia.

– Comunicar inmediatamente al delegado de Protección de Datos, en caso de disponer del mismo, a fin de, documentar mediante informe la incidencia, estamos obligados a documentar toda incidencia, valorar si hay afectación de datos de carácter personal, ya que en su caso hay que remitir el informe a la Agencia Española de Protección de Datos antes de 72 horas, (naturales, no hábiles). El informe deberá de contener como mínimo la naturaleza de incidente, la magnitud del mismo, nº de afectados, los datos del Delegado de Protección de Datos, las medidas que inmediatamente se han adoptado para mitigar y paliar los efectos y, en caso de que se conozcan los afectados, comunicárselo para poder advertirles y que tomen medidas preventivas.

Finalmente, una vez estudiada la brecha de seguridad, adoptar medidas y controles para que ésta no vuelva a suceder, lo cual, presumiblemente fue lo que el Ministerio de Trabajo no ha hecho al haberse repetido el mismo ataque.

Para más información contacte con nosotros, le informamos sin compromiso en el teléfono 988 609 224 y en [email protected]

Síganos en Facebook y vea nuestro blog de protección de datos, para mantenerse informado de todas las novedades.

Arias Avogados

Toll Free
1-885-245-45635
New York
1-455-245-45623
Toronto
1-657-544-45623
Resumen de privacidad

RESPONSABLE 

ARIAS AVOGADOS, S.C.

N.I.F.: J-42.739.680

Dirección: Rúa Concordia, nº1, Entlo A-B, 32003, Ourense.

Teléfono: 988 609 224

Correo Electrónico: [email protected]

FINALIDAD

ARIAS AVOGADOS, S.C. tratará los datos de sus clientes/usuarios con la finalidad de incorporarlos al sistema de tratamiento del que es responsable y llevar a cabo la prestación de los servicios propios de un despacho de abogados.

-No existirán decisiones automatizadas ni se elaborarán perfiles a partir del tratamiento de sus datos.

-Los datos proporcionados a ARIAS AVOGADOS, S.C. se conservarán durante el tiempo que dure la relación profesional.

Dichos datos permanecerán en el sistema de tratamiento del responsable. Una vez finalizada la relación profesional, los datos personales facilitados se destruirán en el plazo de 30 días desde la fecha de finalización, salvo que por imperativo legal se tenga la obligación de conservarlos.

LEGITIMACIÓN

Consentimiento expreso del Cliente (art. 6.1 a) RGPD), y Ejecución contrato prestación de servicios (art. 6.1 a) RGPD).

DESTINATARIOS

El Cliente/Interesado/a consiente expresamente la cesión de sus datos cando sea necesario para la mejor prestación del servicio, siempre que únicamente se cedan los datos imprescindibles para tal fin. Se procederá a ceder datos del  Cliente a las entidades públicas o privadas necesarias (Gestoría e Informático), siempre y cuando sean adecuados y guarden relación con la finalidad que se persigue.

El consentimiento de cesión a terceros podrá ser revocado en cualquier momento con independencia de la prestación de servicios mediante comunicación al Responsable de Tratamiento, de acuerdo al apartado siguiente, DERECHOS.

-No se contemplan transferencias internacionales de los datos.

DERECHOS

El Cliente/Interesado/a tiene derecho a obtener el acceso a sus datos, a su rectificación o supresión, a la limitación de su tratamiento, o a oponerse al mismo, así como a la portabilidad de sus datos, solicitándolo mediante comunicación al Responsable de tratamiento, bien en el domicilio profesional en Rúa Concordia, nº1, Entlo A-B, 32003, Ourense,  en la dirección de correo electrónico: [email protected], y si no se obtiene respuesta, directamente ante la AEPD en www.aepd.es adjuntando, en ambos casos, fotocopia de documento identificativo (D.N.I., N.I.E., o Pasaporte).