Contacto
637 523 969
info@afsinformatica.com
AFS InformáticaAFS Informática
    • Quienes somos
    • Servicios
    • Perito Informático
    • RGPD
    • Aceleradora
    • Blog
    • Contacto
    • Quienes somos
    • Servicios
    • Perito Informático
    • RGPD
    • Aceleradora
    • Blog
    • Contacto

    Seguridad

    • Home
    • Blog
    • Seguridad
    • Ayuntamiento de Jerez, un ejemplo de la realidad de nuestras empresas y organismos

    Ayuntamiento de Jerez, un ejemplo de la realidad de nuestras empresas y organismos

    • Posted by DiegoAriza
    • Categories Seguridad
    • Date 8 octubre, 2019
    • Comments 0 comment
    • ¿Había hecho los deberes el Ayuntamiento a la hora de prevenir un ataque de Ciberseguridad?
    • ¿Tenía fijadas unas medidas técnicas y organizativas para proteger la seguridad de los sistemas o restaurar éstos en el menor tiempo posible?
    • ¿Deben estar preocupados por sus datos los ciudadanos?

    Juan Infantes, letrado jerezano y experto en nuevas tecnologías y protección de datos, ha realizado un análisis que puede ayudar a entender la dimensión de una situación aparentemente muy lejana para muchas empresas, empresarios y responsables de organismos, pero que como vemos, de la que nadie estamos exentos y es más habitual cada día.

    En la actualidad, España se encuentra entre los primeros países de la Unión Europea que más ataques cibernéticos recibe a lo largo del año, por lo que es de obligado cumplimiento velar escrupulosamente por la seguridad en dos planos, el de los sistemas informáticos, en los equipos de cualquier empresa o en este caso ayuntamientos como el de Jerez, y en el de la seguridad de la información, o lo que es lo mismo, todo lo que tiene que ver con la protección de datos. En el ámbito de la Administración pública, según expone Infantes, las administraciones y organismos públicos deben fijar una medidas técnicas y organizativas a las que están obligadas por ley, (como también lo están las empresas que trabajan para la administración pública) tal y como recoge el ENS (Esquema Nacional de Seguridad) en virtud del Real Decreto 3/2010. Esto quiere decir que el Ayuntamiento de Jerez debe contar con unas “garantías técnicas” para que la información de la que disponen sus servidores estén protegidos de ataques externos o vulnerabilidades.

    No hay seguridad al 100%

    Pero, ¿existe la seguridad al 100% en informática? “Siempre te puedes dejar una puerta abierta, abrir un correo que no tengas que abrir o entrar en un acceso que no tengas entrar”, con lo que, como explica este experto, un “incidente de seguridad es una cosa probable” y que se propaga rápido cuando se trabaja en red, como es el caso del Ayuntamiento. “Todos están en red; hay una red de información, por lo que un funcionario de cualquier departamento le puede dar a un botón y meter un virus en ese equipo que se va a propagar. Habría que establecer redes compartimentadas, para que sólo fuera un departamento afectado y no toda la red”, detalla.

    Y es aquí cuando entra de nuevo la importancia de la prevención y la inversión para disponer de los “mecanismos necesarios” para que dichos incidentes “sean los menores posibles” y en caso de que se den –como ha ocurrido- “se pueda detectar, poner en marcha los sistemas y recuperar la información”. Para Infantes, “no es lógico” que un Ayuntamiento a los niveles del de Jerez, con una población de 215.000 habitantes, “no disponga de servicios de contención de incidencias y máximo contando con una empresa como Jessytel, dedicada a las cuestiones tecnológicas del Ayuntamiento”. Por ello ve algo más comprensible que un ataque de esta dimensión hubiera afectado a estos niveles a otros consistorios de localidades más pequeñas y sin una empresa especializada, y no a Jerez. “Hay soluciones tecnológicas que permiten crear una infraestructura segura, unos antivirus contrastados”, apunta este especialista, que entiende que al Ayuntamiento de Jerez se le presupone cierta capacidad para invertir en seguridad para estas cosas no pasen, “pero tiene que invertir”, apostilla, sin entrar en juzgar la inversión a la que se refirió la alcaldesa estos días atrás en los equipos informáticos del Ayuntamiento, y que, en virtud de lo ocurrido, sería insuficiente.

    La segunda “pata” de esta brecha digital o “violación de seguridad” es la recuperación de los datos, de ahí la necesidad de que las medidas organizativas que se debían de haber fijado tengan en cuenta los mecanismos necesarios para restablecer el servicio lo antes posible, lo que significa que siempre habrá que ponerse en un escenario como el que nos ocupa actualmente para poner en marcha de nuevo el sistema operativo. Hasta el momento, nadie del Gobierno local se atreve a dar plazos, al margen de que garanticen que no hay fuga de datos, pero cuanto más se tarda, más se mina la confianza ciudadana. “En una empresa privada estaríamos hablando de pérdida de dinero y reputación entre otros, pero en la pública son criterios de servicio a la ciudadanía”, apunta este letrado, que advierte de la “pérdida de confianza y de credibilidad” y la “crisis reputacional” a la que se enfrenta el Ayuntamiento. “El funcionario estará asustado, pero los ciudadanos pueden estar pensando cómo estarán sus datos”, manifiesta.

    Protocolos a seguir para evitar sanciones

    La protección de datos obliga a seguir un protocolo para no tener que responder a sanciones en forma de apercibimiento. Para empezar, señala Infantes, debe haber comunicado formalmente en 72 horas la existencia de esta violación de seguridad a la autoridad de control, que desde el pasado 1 de octubre recae en el Consejo de Transparencia y Protección de Datos de Andalucía y no en Madrid. Según advierte, no hacerlo sería un incumplimiento flagrante por parte de la administración local si no lo hace en ese plazo, pues supondría una infracción grave de la ley. A ello habría que sumar, según este letrado especialista en protección de datos y nuevas tecnologías, una sanción por la falta de adopción de medidas técnicas y organizativas, y una tercera por no tener designado, como consta en el registro nacional, un delegado de protección de datos, a lo que todos los organismos públicos están obligados desde el pasado 25 de mayo. “Esta persona es la que en situaciones como estas tendría que coordinar, estar junto a los técnicos para trabajar para el restablecimiento de los datos, entrando en comunicación con el Consejo de Transparencia”, indica.

    El verdadero “porqué”

    “No sabemos qué se ha hecho o no se ha hecho, sino que hay un secuestro, se ha encriptado el servidor, y el hacker está pidiendo un rescate, también se puede extorsionar con información, no olvidemos que en el poder está el dato”, apunta. “Hay datos de carácter sensible, en el ámbito de los servicios sociales, los números de cuenta de los contribuyentes, impuestos domiciliados; no sabemos si el hipotético hacker va a amenazar con hacer público los datos si no le pagan, por ejemplo”, advierte. Lo que está claro para Infantes es que objetivamente está el dato de que ha habido un “hackeo”, lo que evidenciaría que medidas de seguridad “no han debido ser suficientes”, indica, de ahí que se haya tenido que recurrir al CERT.

    En cuanto al modus operandi, las opciones son tan sofisticadas como el nivel de conocimiento de este sujeto. “Hay personajes que navegan en el Deep Web y por entre 300 y 600 euros pueden comprar un software para provocar un ataque de este tipo; estamos hablando de productos económicos. Nadie ataca un sistema por atacarlo. Detrás siempre hay un interés económico (como ha ocurrido en Jerez)”, señala. ¿Por qué se va entonces a uno de los ayuntamientos más endeudados de España? Pues precisamente la endeble economía municipal, apunta el abogado, puede hacer que esta administración local, sea “más fácil de hackear” que otras más fuertes, a las que se les presupone “medidas más fuertes y organizativas e información más protegida”.

    Auditorías de Seguridad en Málaga


    Desde AFS Informática recomendamos realizar auditorías periódicas y planes de concienciación continua de Ciberseguridad dentro de la empresa.

    Le recomendamos que delegue la Ciberseguridad de su empresa en profesionales expertos

    • Share:
    author avatar
    DiegoAriza
    Perito Judicial Informático, experto en Informática Forense, Ciberseguridad y en Derecho Tecnológico. Certificaciones profesionales en Hacking Ético y Hacking Ético Experto, Hacking y auditorías Web y Hacking a dispositivos móviles. Consultoría y asesoramiento para empresas. Experto en desarrollo y securización de plataformas basadas en WordPress. Experto en implantación y auditoría de las principales normativas relacionadas con la seguridad para empresas: RGPD, ISO 27001, Esquema Nacional de Seguridad. Cibercooperante con el Instituto Nacional de Ciberseguridad de España (INCIBE), formador y ponente.

    Previous post

    El "gatito" te ha hackeado el WhatsApp
    8 octubre, 2019

    Next post

    Nuevo Exploit 0-Day para Joomla
    9 octubre, 2019

    You may also like

    Simjacker y WIBattack, 2 métodos para hackear tu tarjeta SIM
    Simjacker y WIBattack, 2 métodos para hackear tu tarjeta SIM
    3 octubre, 2019
    25 millones de dispositivos infectados por el malware Agent Smith
    25 millones de dispositivos infectados por el malware Agent Smith
    29 julio, 2019
    Los peligros de una foto a través de WhatsApp
    Los peligros de una foto a través de WhatsApp
    15 julio, 2019

    Leave A Reply Cancelar respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

    AFS Informática. Perito Informático en Málaga
    Asesoramiento y Formación en Seguridad Informática en Málaga
    Auditorías de Seguridad en Málaga
    Informática Forense en Málaga
    Cumplimiento Normativo
    Formación y Concienciación en Málaga
    Consultoría Informática en Málaga
    Monitorización 24x7 en Málaga
    [contact-form-7 id="6534" title="Formulario home solicitud perito"]
    AFS Informática - Asesoramiento y Formación en Seguridad Informática

    637 523 969

    info@afsinformatica.com

    SEGURIDAD INFORMÁTICA

    • Tests de penetración
    • Auditorías a infraestructuras
    • Auditorías móviles
    • Auditorías web

    INFORMÁTICA FORENSE

    • Informática forense a infraestructuras
    • Informática forense a redes
    • Informática forense a móviles
    • Peritaciones e informes
    • Recuperación de datos

    SEGURIDAD DE LA INFORMACIÓN

    • Auditorías RD LOPD – RGDP
    • Gestión de la seguridad
    • Cumplimiento normativo
    • Adaptación a la normativa vigente

    AFS Informática. Copyright © 2017 - Todos los derechos reservados. Desarrollado por Click Digital.

    • Política de Privacidad
    • Aviso legal
    • Política de Cookies