Ayuntamiento de Jerez, un ejemplo de la realidad de nuestras empresas y organismos

• ¿Había hecho los deberes el Ayuntamiento a la hora de prevenir un ataque de Ciberseguridad?
• ¿Tenía fijadas unas medidas técnicas y organizativas para proteger la seguridad de los sistemas o restaurar éstos en el menor tiempo posible?
• ¿Deben estar preocupados por sus datos los ciudadanos?

Juan Infantes, letrado jerezano y experto en nuevas tecnologías y protección de datos, ha realizado un análisis que puede ayudar a entender la dimensión de una situación aparentemente muy lejana para muchas empresas, empresarios y responsables de organismos, pero que como vemos, de la que nadie estamos exentos y es más habitual cada día.

En la actualidad, España se encuentra entre los primeros países de la Unión Europea que más ataques cibernéticos recibe a lo largo del año, por lo que es de obligado cumplimiento velar escrupulosamente por la seguridad en dos planos, el de los sistemas informáticos, en los equipos de cualquier empresa o en este caso ayuntamientos como el de Jerez, y en el de la seguridad de la información, o lo que es lo mismo, todo lo que tiene que ver con la protección de datos. En el ámbito de la Administración pública, según expone Infantes, las administraciones y organismos públicos deben fijar una medidas técnicas y organizativas a las que están obligadas por ley, (como también lo están las empresas que trabajan para la administración pública) tal y como recoge el ENS (Esquema Nacional de Seguridad) en virtud del Real Decreto 3/2010. Esto quiere decir que el Ayuntamiento de Jerez debe contar con unas “garantías técnicas” para que la información de la que disponen sus servidores estén protegidos de ataques externos o vulnerabilidades.

Pero, ¿existe la seguridad al 100% en informática? “Siempre te puedes dejar una puerta abierta, abrir un correo que no tengas que abrir o entrar en un acceso que no tengas entrar”, con lo que, como explica este experto, un “incidente de seguridad es una cosa probable” y que se propaga rápido cuando se trabaja en red, como es el caso del Ayuntamiento. “Todos están en red; hay una red de información, por lo que un funcionario de cualquier departamento le puede dar a un botón y meter un virus en ese equipo que se va a propagar. Habría que establecer redes compartimentadas, para que sólo fuera un departamento afectado y no toda la red”, detalla.

Y es aquí cuando entra de nuevo la importancia de la prevención y la inversión para disponer de los “mecanismos necesarios” para que dichos incidentes “sean los menores posibles” y en caso de que se den –como ha ocurrido- “se pueda detectar, poner en marcha los sistemas y recuperar la información”. Para Infantes, “no es lógico” que un Ayuntamiento a los niveles del de Jerez, con una población de 215.000 habitantes, “no disponga de servicios de contención de incidencias y máximo contando con una empresa como Jessytel, dedicada a las cuestiones tecnológicas del Ayuntamiento”. Por ello ve algo más comprensible que un ataque de esta dimensión hubiera afectado a estos niveles a otros consistorios de localidades más pequeñas y sin una empresa especializada, y no a Jerez. “Hay soluciones tecnológicas que permiten crear una infraestructura segura, unos antivirus contrastados”, apunta este especialista, que entiende que al Ayuntamiento de Jerez se le presupone cierta capacidad para invertir en seguridad para estas cosas no pasen, “pero tiene que invertir”, apostilla, sin entrar en juzgar la inversión a la que se refirió la alcaldesa estos días atrás en los equipos informáticos del Ayuntamiento, y que, en virtud de lo ocurrido, sería insuficiente.

La segunda “pata” de esta brecha digital o “violación de seguridad” es la recuperación de los datos, de ahí la necesidad de que las medidas organizativas que se debían de haber fijado tengan en cuenta los mecanismos necesarios para restablecer el servicio lo antes posible, lo que significa que siempre habrá que ponerse en un escenario como el que nos ocupa actualmente para poner en marcha de nuevo el sistema operativo. Hasta el momento, nadie del Gobierno local se atreve a dar plazos, al margen de que garanticen que no hay fuga de datos, pero cuanto más se tarda, más se mina la confianza ciudadana. “En una empresa privada estaríamos hablando de pérdida de dinero y reputación entre otros, pero en la pública son criterios de servicio a la ciudadanía”, apunta este letrado, que advierte de la “pérdida de confianza y de credibilidad” y la “crisis reputacional” a la que se enfrenta el Ayuntamiento. “El funcionario estará asustado, pero los ciudadanos pueden estar pensando cómo estarán sus datos”, manifiesta.

La protección de datos obliga a seguir un protocolo para no tener que responder a sanciones en forma de apercibimiento. Para empezar, señala Infantes, debe haber comunicado formalmente en 72 horas la existencia de esta violación de seguridad a la autoridad de control, que desde el pasado 1 de octubre recae en el Consejo de Transparencia y Protección de Datos de Andalucía y no en Madrid. Según advierte, no hacerlo sería un incumplimiento flagrante por parte de la administración local si no lo hace en ese plazo, pues supondría una infracción grave de la ley. A ello habría que sumar, según este letrado especialista en protección de datos y nuevas tecnologías, una sanción por la falta de adopción de medidas técnicas y organizativas, y una tercera por no tener designado, como consta en el registro nacional, un delegado de protección de datos, a lo que todos los organismos públicos están obligados desde el pasado 25 de mayo. “Esta persona es la que en situaciones como estas tendría que coordinar, estar junto a los técnicos para trabajar para el restablecimiento de los datos, entrando en comunicación con el Consejo de Transparencia”, indica.

“No sabemos qué se ha hecho o no se ha hecho, sino que hay un secuestro, se ha encriptado el servidor, y el hacker está pidiendo un rescate, también se puede extorsionar con información, no olvidemos que en el poder está el dato”, apunta. “Hay datos de carácter sensible, en el ámbito de los servicios sociales, los números de cuenta de los contribuyentes, impuestos domiciliados; no sabemos si el hipotético hacker va a amenazar con hacer público los datos si no le pagan, por ejemplo”, advierte. Lo que está claro para Infantes es que objetivamente está el dato de que ha habido un “hackeo”, lo que evidenciaría que medidas de seguridad “no han debido ser suficientes”, indica, de ahí que se haya tenido que recurrir al CERT.

En cuanto al modus operandi, las opciones son tan sofisticadas como el nivel de conocimiento de este sujeto. “Hay personajes que navegan en el Deep Web y por entre 300 y 600 euros pueden comprar un software para provocar un ataque de este tipo; estamos hablando de productos económicos. Nadie ataca un sistema por atacarlo. Detrás siempre hay un interés económico (como ha ocurrido en Jerez)”, señala. ¿Por qué se va entonces a uno de los ayuntamientos más endeudados de España? Pues precisamente la endeble economía municipal, apunta el abogado, puede hacer que esta administración local, sea “más fácil de hackear” que otras más fuertes, a las que se les presupone “medidas más fuertes y organizativas e información más protegida”.