Protección de Datos ‘absuelve’ al Ministerio de Trabajo del ciberataque sufrido en junio de 2021
Archiva la investigación sobre la brecha de seguridad de datos personales que obligó a apagar y desconectar de la red todos los ordenadores del departamento de Yolanda Díaz
“El Ministerio de Trabajo y Economía Social se ha visto afectado por un ataque informático. Los responsables técnicos del Ministerio y del Centro Criptológico Nacional están trabajando de manera conjunta para determinar el origen y restablecer la normalidad lo antes posible”.
Así alertó el 9 de junio de 2021 el propio Ministerio de Trabajo del ciberataque que estaba sufriendo en sus sistemas informáticos.
Este incidente se produjo tres meses después del ataque pirata que paralizó el Servicio Público de Empleo Estatal (SEPE) en marzo de 2021. El hackeo de junio de 2021 fue similar: de nuevo con Ryuk, un ransomware, es decir, un virus que secuestra los datos del sistema y exige el pago de un rescate para liberarlos.
Confidencial Digital ha consultado una resolución reciente de la Agencia Española de Protección de Datos que da cuenta de la investigación que abrió sobre ese ciberataque al Ministerio de Trabajo en junio de 2021.
Conocimiento por noticias publicadas
En este caso, el organismo que vela por el cumplimiento de la normativa sobre protección de datos no actuó ante una denuncia. De hecho, ni siquiera el Ministerio de Trabajo presentó denuncia por ello.
“La Agencia Española de Protección de Datos ha tenido conocimiento a través de las noticias aparecidas en diversos medios de comunicación sobre una brecha de seguridad de datos personales sufrida por el Ministerio de Trabajo y Economía Social relativa a un ataque ransomware que ha podido provocar una brecha de disponibilidad, vulnerándose la legislación en materia de protección de datos”, explica la agencia.
Junto al tuit del ministerio del 9 de junio de 2021, cita algunas noticias que informaban del ciberataque. En unas se decía “que parece que la mayoría de los servicios siguen funcionando con normalidad”, en otras ya se identificaba el virus RyuK como causante de la brecha en el SEPE, y finalmente El Mundo contó que fuentes del Ministerio afirmaban que no había habido robo de datos y que estaban restaurados casi todos los equipos.
A raíz de esas noticias, la director de la Agencia Española de Protección de Datos instó el 15 de julio de 2021 a la Subdirección General de Inspección de Datos, a que iniciara las actuaciones previas de investigación a las que se refiere el artículo 67 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales para investigar a Ministerio de Trabajo y Economía Social.
Brecha de seguridad de datos personales
En la resolución, la Agencia Española de Protección de Datos recoge que en este caso “consta una brecha de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una brecha de disponibilidad; puesto que los datos personales no pueden ser tratados de forma legítima porque se han destruido, perdido o cifrado”.
Como brecha de disponibilidad se entienden aquellos ataques informáticos que provocan la pérdida de acceso a los datos originales, ya sea de manera temporal o de forma permanente.
El Ministerio de Trabajo sufrió un “ataque ransomware que han comprometido las credenciales de acceso a los servicios”, según Protección de Datos, que relata que “sufrido dicho ataque como medida de contención se tomó la decisión conjunta de apagar todo el parque informático y desconectar la red del MITES [Ministerio de Trabajo y Economía Social] de Internet y la Red SARA, provocando la indisponibilidad temporal de los servicios ofrecidos por ambos Organismos”.
Eso explicaría la indisponibilidad temporal de los datos que estaban almacenados en los ordenadores del ministerio.
Como el ministerio “disponía de copias de seguridad de determinadas aplicaciones, la indisponibilidad se redujo al período transcurrido entre el apagado y la restauración de la copia de seguridad, con lo que los servicios fueron entrando en proceso de restauración progresiva”.
El ministerio no informó
En este tipo de investigaciones, la agencia analiza si el organismo que vio comprometidos los datos personales que manejaba actuó de forma correcta, o si ciertas negligencias facilitaron o agravaron esa brecha de seguridad.
Sobre el ciberataque del 9 de junio de 2021 al Ministerio de Trabajo, la Agencia Española de Protección de Datos concluye que “no existen evidencias de no que se ha actuado de forma diligente una vez conocida la brecha de seguridad y que las medidas adoptadas con posterioridad al incidente aquí analizado no fueron adecuadas”.
Además, considera que “en el momento de producirse la brecha de seguridad, no consta que el Ministerio de Trabajo y Economía Social no dispusiese de medidas de seguridad razonables en función de los posibles riesgos estimados”.
Sí hay un pequeño reproche para el departamento que dirige Yolanda Díaz: “En el presente caso, consta que el Ministerio de Trabajo sufrió una brecha de seguridad de los datos personales, el 9 de junio de 2021 y que no informó a esta Agencia”.
Pero parece que las alegaciones del ministerio convencieron a la agencia, porque terminó considerando que “inicialmente, no se pudo determinar hasta qué punto existía un riesgo para los derechos y libertades de los afectados, por lo que sabiendo que, si es improbable dicho impacto, no hay que notificarla a la autoridad de control”.
Por todo ello, concluye la resolución, “no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la Agencia Española de Protección de Datos”. De ahí que acuerde el archivo de las investigaciones por este ciberataque.
