La sentencia núm. 37/2022, de 14 de marzo de 2022, emitida por la Audiencia Nacional (Sala de lo Social) en el marco de un proceso de impugnación de actos administrativos, reconoció la existencia de fuerza mayor en un expediente de regulación temporal de empleo («ERTE») debido a un ciberataque.
El 4 de junio de 2021, la división de atención telefónica de la empresa Ilunion fue víctima de un ataque informático perpetrado por un virus ransomware conocido como «Ryuk». Este ataque resultó en el secuestro de datos del Centro de Procesamiento de Datos y la paralización de servidores, sistemas informáticos, ordenadores e impresoras. Ante esta situación, la empresa se vio obligada a solicitar un ERTE debido a la «imposibilidad de uso de las herramientas informáticas esenciales para el desarrollo de la actividad laboral».
La resolución administrativa inicial rechazó la solicitud de reconocimiento de fuerza mayor argumentando la falta de documentación que respaldara el ciberataque, la previsibilidad del suceso y la supuesta ausencia de impedimento para llevar a cabo las labores laborales.
La sentencia se centra en analizar el segundo punto de la resolución administrativa, referente a la previsibilidad del ciberataque.
Respecto a la concurrencia de fuerza mayor, la sentencia fundamenta su decisión en la imposibilidad de la prestación laboral, la relación causal entre el incumplimiento contractual y el hecho obstativo, así como la inimputabilidad e inevitabilidad del suceso.
En primer lugar, se reconoce la naturaleza del ciberataque como un hecho obstativo, siendo considerado como fuerza mayor.
En segundo lugar, se establece que el ciberataque impidió cumplir con las obligaciones contractuales al negar la posibilidad de trabajar a los empleados.
Además, se demuestra la relación causal entre el ciberataque y la incapacidad de la empresa para proporcionar trabajo debido a la imposibilidad de utilizar los dispositivos.
Finalmente, se analiza la inimputabilidad e inevitabilidad del suceso. Se reconoce que la empresa adoptó medidas de seguridad adecuadas para prevenir ciberataques, lo cual excluye la negligencia por parte de la empresa. Aunque el ataque informático podría considerarse previsible, se concluye que la fuerza mayor también se extiende a situaciones inevitables, considerando la complejidad del incidente y las medidas de seguridad implementadas.
Gracias al Protocolo de Ciberseguridad implementado y a las acciones diligentes llevadas a cabo por la empresa antes, durante y después del incidente, se considera que la fuerza mayor justificó la suspensión de las relaciones laborales afectadas por el ERTE.
Ante la creciente amenaza de ciberataques, se destaca la importancia de implementar un Protocolo de Ciberseguridad que contemple acciones preventivas, de detección y de respuesta ante incidentes, así como medidas de minimización de daños y notificación diligente a autoridades y afectados.
Consejo de Lazarus Lex
De este modo, desde Lazarus Lex les facilitamos los siguientes consejos para que, en el caso de sufrir un ataque, este pueda considerarse como causa de fuerza mayor:
1. Mantén tus sistemas actualizados
Asegúrate de que todos tus sistemas operativos, software y aplicaciones estén actualizados con los últimos parches de seguridad. Los fabricantes suelen lanzar actualizaciones para corregir vulnerabilidades conocidas.
2. Utiliza software de seguridad confiable
Instala y mantén actualizado un software antivirus y antimalware de buena reputación en todos tus dispositivos. Configúralo para que realice análisis periódicos y bloquee actividades sospechosas.
3. Realiza copias de seguridad regulares
Implementa un sistema de copias de seguridad periódicas y automáticas de tus datos importantes en un lugar seguro y fuera de línea. De esta manera, si sufres un ataque de ransomware, tendrás la opción de restaurar tus datos sin tener que pagar un rescate.
4. Educa a tus empleados
Proporciona formación y concienciación en ciberseguridad a todos los empleados para que estén alerta ante posibles amenazas, como correos electrónicos de phishing o descargas de archivos sospechosos.
5. Limita los privilegios de acceso
Restringe el acceso a los sistemas y datos solo a aquellos empleados que lo necesiten para realizar sus funciones. Esto puede ayudar a reducir la superficie de ataque y limitar el impacto en caso de un compromiso.
6. Implementa medidas de seguridad adicionales
Considera la posibilidad de utilizar firewalls, sistemas de detección de intrusiones y prevención de pérdida de datos para añadir capas adicionales de protección.
7. Desarrolla un plan de respuesta a incidentes
Prepara un plan detallado de respuesta a incidentes que incluya los pasos a seguir en caso de un ataque de ransomware. Esto puede ayudar a minimizar el tiempo de inactividad y reducir el impacto en el negocio.
Al seguir estos consejos y mantener una postura proactiva en materia de ciberseguridad, estarás mejor preparado para enfrentar posibles ataques de ransomware y, en caso de que ocurran, aumentarás las posibilidades de que se considere como fuerza mayor.
