Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Ciberataques como causa de fuerza mayor

Estos días se ha difundido en numerosos medios una sentencia de la Audiencia Nacional que admite la suspensión de los contratos de 654 trabajadores por causa de fuerza mayor tras sufrir un ciberataque. En muchos de esos medios se habla de despidos, cuando en realidad se trata de un ERTE (Expediente de Regulación Temporal de Empleo). Haciendo clic aquí pueden consultar la sentencia.

El caso

La empresa ILUNION CEE CONTACT CENTER, S.A.U., se dedica a la actividad del «Contact Center», que consiste en la prestación de servicios de atención de llamadas telefónicas, con gestión de la información e incidencias que generan las llamadas. 

El 21 de junio de 2021, la empresa solicitó la suspensión de los contratos de trabajo de un total de 654 trabajadores, de los 886 que componían su plantilla.

La causa alegada fue una incidencia informática causada por un ciberataque de ransomware que se detectó el 4 de junio de 2021. Para aislar la red y frenar los efectos del ataque, se apagó completamente el centro de procesamiento de datos, lo que provocó el cese de la actividad de los 654 trabajadores para los que se solicitó la suspensión de los contratos por fuerza mayor.

En cuanto a la duración de la suspensión de los contratos, la solicitud indicaba que extendería hasta conseguir el restablecimiento total de la actividad, sin perjuicio del compromiso de la empresa de ir desafectando, de manera paulatina, al mayor número de trabajadores posible, a medida que se fuera recuperando la actividad. Se diseñó una planificación para la recuperación de la actividad en 14 semanas.

La Dirección General de Trabajo dio trámite de audiencia a los sindicatos y solicitó un informe a la Inspección de Trabajo y Seguridad Social, que fue desfavorable.

Finalmente, la Directora General de Trabajo denegó la solicitud, argumentando que no se había constatado la existencia de fuerza mayor en el expediente, con base en tres motivos:

  • La empresa no aportó pruebas documentales suficientes que acreditaran efectivamente la presencia de un virus informático en su sistema.
  • No quedó demostrada la imposibilidad absoluta de trabajar derivada del ataque.
  • Se trataba de un caso de «fuerza mayor impropia». La jurisprudencia exige que la fuerza mayor derive de acontecimientos extraordinarios, imprevisibles e inevitables para el empresario. La posibilidad de sufrir un ataque informático sea un riesgo previsible dado el tipo de actividad empresarial.

La empresa presentó recurso de alzada, que no fue resuelto de forma expresa. Tras ello, recurrió a la vía jurisdiccional. 

Ciberataque y respuesta 

El 4 de junio de 2021, a las 5:15 a.m., se recibió una incidencia informando que los servicios de VDI (Infraestructura de Escritorio Virtual) no funcionaban correctamente. Se contactó con la compañía que daba soporte para identificar el problema y aplicar una solución. Posteriormente, se detectó que un servicio de base de datos tampoco funcionaba correctamente.

A las 6:02 a.m. se advierte que el incidente es consecuencia de un ataque de ransomware y a las 6:40 a.m. se apaga el CPD (Centro de Procesamiento de Datos), cortando las comunicaciones con todas las sedes de «Contact Center» para evitar la propagación del virus.

De inmediato, se convocó al Comité de Respuesta, formado por el Director de Tecnologías de la Información (CIO), el Responsable de Seguridad de los Sistemas de Información, el Responsable de Infraestructuras y Comunicaciones, el Responsable del Departamento Jurídico y los equipos de soporte externo de seguridad de la empresa UST–Global y de la consultora Deloitte.

Se inició el análisis forense, comenzando por un equipo portátil aislado de la red que se identificó como sospechoso. Se detectaron varios archivos infectados del ransomware RYUK. La ejecución del virus RYUK comienza a encriptar todos los sistemas de ficheros existentes y accesibles desde cada equipo o servidor con sistema operativo Microsoft Windows (en todas sus versiones), sustituyendo su contenido original por contenido encriptado y su extensión por «.ryk». Los análisis realizados no pudieron detectar la vía por la que el virus malicioso entró en el sistema operativo infectando los servidores y demás dispositivos.

Durante la mañana del día 4 de junio se comunicó a la AEPD la brecha de seguridad sufrida. Dicha comunicación fue actualizada el domingo, 6 de junio.

El ciberataque impactó sobre todos los componentes de la infraestructura informática empresarial, y, en consecuencia, se resintió la prestación de servicios a todos los clientes.

ILUNION diseñó el proceso de recuperación de los sistemas afectados y del desarrollo habitual de la actividad, planificándose la realización de las tareas precisas en un periodo de 14 semanas y a partir de la recuperación de la información contenida en las copias de seguridad externas al sistema.

La empresa tiene implantado un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en el modelo PDCA (Planificar, Hacer, Revisar y Actuar, por sus siglas en inglés). Anualmente se realiza una revisión de las medidas de seguridad implantadas y se promueve la mejora continua a partir del análisis de riesgos. Además, cuenta con la certificación ISO/IEC 27001 de técnicas de seguridad de la información, que se complementa con la ISO/IEC 27002 que desarrolla controles específicos distribuidos en 13 capítulos que suman un total de 133 controles.

A nivel organizativo, la empresa cuenta con un entramado de políticas, normas y procedimientos de seguridad que establecen las pautas para actuar de forma segura en torno a la información. La empresa cuenta con una Política de Seguridad (PO01) de la cual se derivan normas que cubren todos los capítulos que se desarrollan en la ISO 27002.

Asimismo, se demostró la existencia de controles que regulan la seguridad en la operativa diaria sobre los sistemas de información, que comprenden las siguientes acciones:

  • Asignación nominativa de usuarios con exigencia de contraseñas robustas.
  • Revisión periódica de los permisos y privilegios de los usuarios.
  • Segmentación de redes destinadas a servicios diferenciados.
  • Gestión de conexiones remotas seguras.
  • Programa antivirus actualizado en todos los equipos, gestionado de forma centralizada.
  • Realización periódica de copias de seguridad y almacenamiento en lugares seguros.

La empresa tenía contratado con Telefónica un servicio de seguridad informática mediante cortafuegos, un manual específico de respuesta técnica frente a ciberataques por «ransomware» y un protocolo de gestión de incidentes de seguridad informática.

Resolución de la Audiencia Nacional

En base a los informes que obran en los autos, el tribunal considera «que estos revelan, con claridad, la relevancia del ataque y la afectación que produjo en la actividad empresarial, así, el ataque tuvo la suficiente contundencia para operar como causa obstativa plena y determinante de la imposibilidad de trabajar».

El tribunal también razona que «la evitabilidad o inevitabilidad de un suceso, al igual que acontece con los accidentes de trabajo, no impone la consecución necesaria de un resultado, en este caso que el ataque informático sea siempre neutralizado (como tampoco la legislación impone la obligación de que no se produzca un accidente laboral), sino que se hayan adoptado todas las medidas preventivas disponibles para su neutralización. Y en el presente caso la prueba practicada es demostrativa de que ILUNION contaba con toda una serie de medios para atajar estos ataques, en lo racionalmente posible y conforme los conocimientos técnicos normalizados».

Tribunal Supremo

El Tribunal Supremo confirmó la decisión de instancia que apreció la existencia de causa mayor, habilitando a la empresa a la adopción de las medidas suspensivas reconocidas en el artículo 47 del ET respecto de los trabajadores afectados. Dejo enlazada aquí la sentencia del Alto Tribunal.

Conclusión

Un ciberataque puede justificar la suspensión temporal de contratos de trabajo por fuerza mayor, siempre y cuando se cumplan dos condiciones esenciales:

  • Demostrar que el ataque impide efectivamente el desarrollo normal de la actividad empresarial.
  • Acreditar que se adoptaron todas las medidas preventivas razonablemente disponibles, conforme a los conocimientos técnicos estándar, para neutralizarlo.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es