Nuevo ciberataque al Ministerio de Trabajo

El Ministerio de Trabajo ha sido víctima de un ciberataque, en concreto con el mismo ransomware, conocido como “Ryuk”, que hace exactamente 3 meses, 09/03/2021, había atacado al Servicio Público de Empleo Estatal, SEPE, dejando sin servicio tanto su página web como su sede electrónica y, ocasionando un grave perjuicio entonces, agravando el retraso en la gestión de los ERTE

Pero, ¿en qué consiste el ransomware Ryuk?

Como la mayoría de los ransomware suelen acceder a los sistemas de la víctima a través del correo electrónico, enviando un mensaje con un documento adjunto, el cual, al ser abierto, descarga el virus en el equipo y, a través de éste, accede a los demás sistemas y equipos que estén conectados, en este caso, al estar conectado el equipo al sistema, red y servidor común del Ministerio, ha podido acceder a todos aquellos equipos conectados.

Una vez accede a los equipos, cifra todos los archivos, imposibilitando su uso si no se conoce la contraseña, por la cual, se pide un rescate económico.

¿Cuáles han sido las consecuencias?

Tanto el Ministerio como el Centro Criptológico Nacional (CCN y CERT, competentes en estos incidentes), están trabajando en recobrar la normalidad lo antes posible, sin embargo, adelantan que esta vez no se ha visto afectado el SEPE, sino a equipos y sistemas internos, pero el número de afectados es muy elevado. Por este motivo, todos los funcionarios y empleados se han desconectado de la red del organismo, viéndose obligados a teletrabajar la mayoría, mientras algunos se han conectado a otras redes habilitadas al efecto.

¿Qué debemos hacer en caso de sufrir un ciberataque como éste?

1. Nunca pagar el rescate, ya que hacerlo no garantiza que nos envíen la contraseña para desencriptar los archivos.

2. Denunciar ante la Guardia Civil o Policía Nacional, ambos cuentan con unidades especializadas en delitos informáticos.

3. Cumplir con la normativa en Protección de Datos.

– Si disponemos de una buena política de copias de seguridad, el ataque no nos habrá afectado, puesto que, restaurando el sistema, podremos continuar de forma inmediata desde la última copia.

– Comunicar inmediatamente al delegado de Protección de Datos, en caso de disponer del mismo, a fin de, documentar mediante informe la incidencia, estamos obligados a documentar toda incidencia, valorar si hay afectación de datos de carácter personal, ya que en su caso hay que remitir el informe a la Agencia Española de Protección de Datos antes de 72 horas, (naturales, no hábiles). El informe deberá de contener como mínimo la naturaleza de incidente, la magnitud del mismo, nº de afectados, los datos del Delegado de Protección de Datos, las medidas que inmediatamente se han adoptado para mitigar y paliar los efectos y, en caso de que se conozcan los afectados, comunicárselo para poder advertirles y que tomen medidas preventivas.

Finalmente, una vez estudiada la brecha de seguridad, adoptar medidas y controles para que ésta no vuelva a suceder, lo cual, presumiblemente fue lo que el Ministerio de Trabajo no ha hecho al haberse repetido el mismo ataque.

Para más información contacte con nosotros, le informamos sin compromiso en el teléfono 988 609 224 y en despacho@ariasavogados.com

Síganos en Facebook y vea nuestro blog de protección de datos, para mantenerse informado de todas las novedades.

Arias Avogados

Resumen de privacidad

RESPONSABLE

ARIAS AVOGADOS, S.C.

N.I.F.: J-42.739.680

Dirección: Rúa Concordia, nº1, Entlo A-B, 32003, Ourense.

Teléfono: 988 609 224

Correo Electrónico: despacho@ariasavogados.com

FINALIDAD

ARIAS AVOGADOS, S.C. tratará los datos de sus clientes/usuarios con la finalidad de incorporarlos al sistema de tratamiento del que es responsable y llevar a cabo la prestación de los servicios propios de un despacho de abogados.

-No existirán decisiones automatizadas ni se elaborarán perfiles a partir del tratamiento de sus datos.

-Los datos proporcionados a ARIAS AVOGADOS, S.C. se conservarán durante el tiempo que dure la relación profesional.

Dichos datos permanecerán en el sistema de tratamiento del responsable. Una vez finalizada la relación profesional, los datos personales facilitados se destruirán en el plazo de 30 días desde la fecha de finalización, salvo que por imperativo legal se tenga la obligación de conservarlos.

LEGITIMACIÓN

Consentimiento expreso del Cliente (art. 6.1 a) RGPD), y Ejecución contrato prestación de servicios (art. 6.1 a) RGPD).

DESTINATARIOS

El Cliente/Interesado/a consiente expresamente la cesión de sus datos cando sea necesario para la mejor prestación del servicio, siempre que únicamente se cedan los datos imprescindibles para tal fin. Se procederá a ceder datos del Cliente a las entidades públicas o privadas necesarias (Gestoría e Informático), siempre y cuando sean adecuados y guarden relación con la finalidad que se persigue.

El consentimiento de cesión a terceros podrá ser revocado en cualquier momento con independencia de la prestación de servicios mediante comunicación al Responsable de Tratamiento, de acuerdo al apartado siguiente, DERECHOS.

-No se contemplan transferencias internacionales de los datos.

DERECHOS

El Cliente/Interesado/a tiene derecho a obtener el acceso a sus datos, a su rectificación o supresión, a la limitación de su tratamiento, o a oponerse al mismo, así como a la portabilidad de sus datos, solicitándolo mediante comunicación al Responsable de tratamiento, bien en el domicilio profesional en Rúa Concordia, nº1, Entlo A-B, 32003, Ourense, en la dirección de correo electrónico: despacho@ariasavogados.com, y si no se obtiene respuesta, directamente ante la AEPD en www.aepd.es adjuntando, en ambos casos, fotocopia de documento identificativo (D.N.I., N.I.E., o Pasaporte).

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Nombre de la cookie	Duración predeterminada	Descripción
`__utma`	2 años a partir de la configuración o actualización	Se usa para distinguir usuarios y sesiones. La cookie se crea cuando se ejecuta la biblioteca de JavaScript y no hay ninguna cookie __utma. La cookie se actualiza cada vez que se envían datos a Google Analytics.
`__utmt`	10 minutos	Se usa para limitar el porcentaje de solicitudes.
`__utmb`	30 minutos a partir de la configuración o actualización	Se usa para determinar nuevas sesiones o visitas. La cookie se crea cuando se ejecuta la biblioteca de JavaScript y no hay ninguna cookie __utmb. La cookie se actualiza cada vez que se envían datos a Google Analytics.
`__utmc`	Fin de la sesión del navegador	No se usa en ga.js. Se configura por motivos de interoperabilidad con urchin.js. Anteriormente, esta cookie actuaba junto con la cookie `__utmb` para determinar si el usuario estaba en una nueva sesión o visita.
`__utmz`	6 meses a partir de la configuración o actualización	Almacena la fuente de tráfico o la campaña que explica cómo ha llegado el usuario al sitio web. La cookie se crea cuando se ejecuta la biblioteca de JavaScript y se actualiza cada vez que se envían datos a Google Analytics.
`__utmv`	2 años a partir de la configuración o actualización	Se usa para almacenar datos de variables personalizadas a nivel de visitante. Esta cookie se crea cuando un desarrollador usa el método `_setCustomVar` con una variable personalizada de visitante. También se usaba para el método `_setVar`, que ya no está disponible. La cookie se actualiza cada vez que se envían datos a Google Analytics.


_gcl_au www.ariasavogados.com
moove_gdpr_popup www.ariasavogados.com
APISID www.youtube.com
CONSENT www.youtube.com
HSID www.youtube.com
LOGIN_INFO www.youtube.com
PREF www.youtube.com
SAPISID www.youtube.com
SID www.youtube.com
SIDCC www.youtube.com
SSID www.youtube.com
VISITOR_INFO1_LIVE www.youtube.com
YSC www.youtube.com
__Secure-1PAPISID www.youtube.com
__Secure-1PSID www.youtube.com
__Secure-3PAPISID www.youtube.com
__Secure-3PSID www.youtube.com
__Secure-3PSIDCC www.youtube.com
_ga www.youtube.com