Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Ciberataques como causa de fuerza mayor

Estos días se ha difundido en numerosos medios una sentencia de la Audiencia Nacional que admite la suspensión de los contratos de 654 trabajadores por causa de fuerza mayor tras sufrir un ciberataque. En muchos de esos medios se habla de despidos, cuando en realidad se trata de un ERTE (Expediente de Regulación Temporal de Empleo). Haciendo clic aquí pueden consultar la sentencia.

El caso

La empresa ILUNION CEE CONTACT CENTER, S.A.U. se dedica a la actividad del «Contact Center» que consiste en el servicio de atención de llamadas telefónicas con gestión de la información e incidencias que generan las llamadas. 

El 21 de junio de 2021 la empresa solicitó la suspensión de los contratos de trabajo de un total de 654 trabajadores de los 886 que componen su plantilla.

La causa invocada fue una incidencia informática causada por un ciberataque de «ransomware» que se conoció el 4 de junio de 2021 y que determinó aislar la red con el apagado completo del centro de procesamiento de datos para frenar la expansión del ataque, lo que provocó el cese de la actividad de los 654 trabajadores para los que se solicitó la suspensión de los contratos por fuerza mayor.

En cuanto a la duración de la suspensión de los contratos se indicaba en la solicitud que sería hasta conseguir reestablecer totalmente la actividad, todo ello sin perjuicio del compromiso de la empresa de ir desafectando, de manera paulatina, al mayor número de trabajadores posible, a medida que se fuera recuperando la actividad. Se diseñó una planificación para la recuperación de la actividad en 14 semanas.

La Dirección General de Trabajo, dio trámite de audiencia a los sindicatos e interesó el informe de la Inspección de Trabajo y Seguridad Social que fue desfavorable.

La Directora General de Trabajo denegó la solicitud, porque no se había constatado la existencia de fuerza mayor en el expediente, con tres argumentos:

  • La empresa no aportó a ninguna prueba documental que efectivamente acredite la existencia de un virus informático en su sistema.
  • No ha quedado acreditada la imposibilidad de trabajar con causa en el ataque.
  • Se trata de un caso que se conoce como «fuerza mayor impropia». La jurisprudencia exige que la fuerza mayor venga determinada por la existencia de acontecimientos extraordinarios, que sean imprevisibles e inevitables por parte del empresario. La posibilidad de padecer un ataque informático es un riesgo previsible atendiendo a la actividad empresarial.

La empresa presentó recurso de alzada, que no llegó a resolver de forma expresa. Tras ello acudió a la vía jurisdiccional. 

Ciberataque y respuesta (impecable)

El día 4 de junio de 2021 a las 5:15 a.m. se recibió una incidencia informando que los servicios de VDI (infraestructura de escritorio virtual) no funcionaban correctamente. Se contactó con la compañía que daba soporte para identificar el problema y aplicar una solución. Posteriormente, se detectó que un servicio de base de datos tampoco funcionaba correctamente.

A las 6:02 a.m. se advierte que el incidente es consecuencia de un ataque de ransomware y a las 6:40 a.m. se apaga el CPD (Centro de Procesamiento de Datos), cortando las comunicaciones con todas las sedes de «Contact Center» para evitar la propagación del virus.

De inmediato, se convocó al Comité o Grupo de Respuesta, formado por el Director de Tecnologías de la Información (CIO), el Responsable de Seguridad de los Sistemas de Información, el Responsable de Infraestructuras y Comunicaciones, el Responsable del Departamento Jurídico y los equipos de soporte externo de seguridad de la empresa UST-Global y de la consultora Deloitte.

Se inicia el análisis forense, comenzando por un equipo portátil aislado de la red que se identifica como sospechoso. Se detectan varios archivos infectados del ransomware RYUK. La ejecución del virus RYUK comienza a encriptar todos los sistemas de ficheros existentes y accesibles desde cada equipo o servidor con sistema operativo Microsoft Windows (en todas sus versiones), sustituyendo su contenido original por contenido encriptado y su extensión por «.ryk». Los análisis realizados no pudieron detectar la vía por la que el virus malicioso entró en el sistema operativo infectando los servidores y demás dispositivos.

Durante la mañana del día 4 de junio se comunica a la Agencia Española de Protección de Datos la brecha de seguridad sufrida. Dicha comunicación fue actualizada el domingo, 6 de junio.

El ciberataque impactó sobre todos los componentes de la Infraestructura informática empresarial, y, en consecuencia, se resintió la prestación de servicios a todos los clientes.

ILUNION diseño el proceso de recuperación de los sistemas afectados y del desarrollo habitual de la actividad, planificándose la realización de las tareas precisas en un periodo de 14 semanas y a partir de la recuperación de la información contenida en las copias de seguridad externas al sistema.

ILUNION tiene implantado un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el modelo PDCA (Planificar, Hacer, Revisar, Actuar, por sus siglas en inglés) con lo que anualmente, se hace una revisión de las medidas de seguridad que están implantadas y se promueve una mejora continua basada en análisis de riesgos.

La empresa cuenta desde el año 2017 con la certificación ISO/IEC 27001 de técnicas de seguridad de la información, otorgada por AENOR, que es renovada anualmente mediante auditorías. La misma se complementa con la ISO/IEC 27002 que desarrolla controles específicos distribuidos en 13 capítulos que suman 133 controles.

A nivel organizativo, la empresa cuenta con un entramado de políticas, normas y procedimientos de seguridad que establecen las pautas para actuar de forma segura en torno a la información. La empresa cuenta con una Política de Seguridad (PO01) de la cual se derivan normas que cubren todos los capítulos que se desarrollan en la ISO 27002.

Asimismo, se demostró la existencia de controles que regulan la seguridad en la operativa diaria sobre los sistemas de información, que comprenden las siguientes acciones:

  • Asignación nominativa de usuarios con exigencia de contraseñas robustas.
  • Revisión periódica de los permisos y privilegios de los usuarios.
  • Segmentación de redes destinadas a servicios diferenciados.
  • Gestión de conexiones remotas seguras.
  • Programa antivirus actualizado en todos los equipos, gestionado de forma centralizada.
  • Realización periódica de copias de seguridad y almacenamiento en lugares seguros.

La empresa tenía contratado con Telefónica un servicio de seguridad informática mediante cortafuegos, un manual específico de respuesta técnica frente a ciberataques por «ransomware» y un protocolo de gestión de incidentes de seguridad informática.

Resolución de la Audiencia Nacional

En base a los informes que obran en los autos, el tribunal considera «que éstos revelan, con claridad, la relevancia del ataque y la afectación que produjo en la actividad empresarial, así, el ataque tuvo la suficiente contundencia para operar como causa obstativa plena y determinante de la imposibilidad de trabajar».

El tribunal también razona que «la evitabilidad o inevitabilidad de un suceso, al igual que acontece con los accidentes de trabajo, no impone la consecución necesaria de un resultado, en este caso que el ataque informático sea siempre neutralizado (como tampoco la legislación impone la obligación de que no se produzca un accidente laboral), sino que se hayan adoptado todas las medidas preventivas disponibles para su neutralización. Y en el presente caso la prueba practicada es demostrativa de que ILUNION contaba con toda una serie de medios para atajar estos ataques, en lo racionalmente posible y conforme los conocimientos técnicos normalizados».

Conclusión

Un ciberataque puede ser causa de suspensión de los contratos de trabajo, siempre que concurran dos premisas:

  • Que se demuestre que el ciberataque impide el normal desarrollo de la actividad.
  • Que se hayan adoptado todas las medidas preventivas disponibles para su neutralización en lo racionalmente posible y conforme los conocimientos técnicos normalizados.

Nota importante

A la fecha, no me consta que la sentencia sea firme, pues cabe recurso de casación ante el Tribunal Supremo. 

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).