Con el de este domingo, independientemente de que no sea jornada laborable en la administración local, ya son cinco días con la red informática del Ayuntamiento de Jerez anulada tras el ciberataque, lo que ha dejado muy tocados, y casi anulados, los servicios de atención ciudadana y prácticamente sin actividad al Consistorio. Ante esta coyuntura, al margen de que la situación se restablezca o no en las próximas horas, es inevitable que queden preguntas en el aire:
¿Había hecho los deberes el Ayuntamiento a la hora de prevenir un ataque de esta envergadura?¿Tenía fijadas unas medidas solventes para proteger la seguridad de los sistemas frente a ataques externos para responder a estas incidencias en el menor tiempo posible y amortiguar sus consecuencias?¿Deben estar preocupados por sus datos los contribuyentes jerezanos? El análisis que ha realizado para Publicaciones del Sur el letrado jerezano Juan Infantes, de Digital Iuris, que trabaja en la abogacía digital y es experto en nuevas tecnologías y protección de datos, puede ayudar a entender la dimensión de una situación hasta ahora inédita en Jerez, que se ha dado en otros organismos públicos, a la hora de conocer algunas claves que estarían detrás de una brecha digital de esta envergadura.
En la actualidad, España se encuentra entre los primeros países de la Unión Europea que más ataques cibernéticos recibe a lo largo del año, por lo que es de obligado cumplimiento velar escrupulosamente por la seguridad en dos planos, el de los sistemas informáticos, en los equipos de cualquier empresa o en este caso ayuntamientos como el de Jerez, y en el de la seguridad de la información, o lo que es lo mismo, todo lo que tiene que ver con la protección de datos. En el ámbito de la Administración pública, según expone Infantes, las administraciones y organismos públicos deben fijar una medidas técnicas y organizativas a las que están obligadas por ley, (como también lo están las empresas que trabajan para la administración pública) tal y como recoge el ENS (Esquema Nacional de Seguridad) en virtud del Real Decreto 3/2010. Esto quiere decir que el Ayuntamiento de Jerez debe contar con unas “garantías técnicas” para que la información de la que disponen sus servidores estén protegidos de ataques externos o vulnerabilidades.
Para ello, hay establecidos una serie de mecanismos técnicos que deben entrar en acción en supuestos de ‘hackeo’ como el que nos ocupa, como son el Centro Criptológico Nacional y el CERT (Computer Emergency Response Team), que son equipos de informáticos ante emergencias en computadoras. Un organismo al que tienen que recurrir las administraciones públicas para estos casos, que está integrado en el CNI (Centro Nacional de Inteligencia) y que son los que deben resolver esta incidencia, como está ocurriendo, y que, por otro lado, suponen toda una garantía. “El nivel tecnológico es brutal tanto de medios como de profesionales; los CERT son los ‘top’ de los informáticos; los GEO de la ciberseguridad, y son los que van a dar respuesta a esta situación”, añade.
No hay seguridad al 100%
Pero,
¿existe la seguridad al 100% en informática? Negativo. “Siempre te puedes dejar una puerta abierta, abrir un correo que no tengas que abrir o entrar en un acceso que no tengas entrar”, con lo que, como explica este experto, un “incidente de seguridad es una cosa probable” y que se propaga rápido cuando se trabaja en red, como es el caso del Ayuntamiento. “Todos están en red; hay una red de información, por lo que un funcionario de cualquier departamento le puede dar a un botón y meter un virus en ese equipo que se va a propagar. Habría que establecer redes compartimentadas, para que sólo fuera un departamento afectado y no toda la red”, detalla.
Y es aquí cuando entra de nuevo la importancia de la prevención y la inversión para disponer de los “mecanismos necesarios” para que dichos incidentes “sean los menores posibles” y en caso de que se den –como ha ocurrido- “se pueda detectar, poner en marcha los sistemas y recuperar la información”. Para Infantes, “no es lógico” que un Ayuntamiento a los niveles del de Jerez, con una población de 215.000 habitantes, “no disponga de servicios de contención de incidencias y máximo contando con una empresa como Jessytel, dedicada a las cuestiones tecnológicas del Ayuntamiento”. Por ello ve algo más comprensible que un ataque de esta dimensión hubiera afectado a estos niveles a otros consistorios de localidades más pequeñas y sin una empresa especializada, y no a Jerez. “Hay soluciones tecnológicas que permiten crear una infraestructura segura, unos antivirus contrastados”, apunta este especialista, que entiende que al Ayuntamiento de Jerez se le presupone cierta capacidad para invertir en seguridad para estas cosas no pasen, "pero tiene que invertir”, apostilla, sin entrar en juzgar la inversión a la que se refirió la alcaldesa estos días atrás en los equipos informáticos del Ayuntamiento, y que, en virtud de lo ocurrido, sería insuficiente.
La segunda“pata” de esta brecha digital o “violación de seguridad” es la recuperación de los datos, de ahí la necesidad de que las medidas organizativas que se debían de haber fijado tengan en cuenta los mecanismos necesarios para restablecer el servicio lo antes posible, lo que significa que siempre habrá que ponerse en un escenario como el que nos ocupa actualmente para poner en marcha de nuevo el sistema operativo. Hasta el momento, nadie del Gobierno local se atreve a dar plazos, al margen de que garanticen que no hay fuga de datos, pero cuanto más se tarda, más se mina la confianza ciudadana. “En una empresa privada estaríamos hablando de pérdida de dinero, pero en la pública son criterios de servicio a la ciudadanía”, apunta este letrado, que advierte de la “pérdida de confianza y de credibilidad” y la “crisis reputacional” a la que se enfrenta el Ayuntamiento. “El funcionario estará asustado, pero los ciudadanos pueden estar pensando cómo estarán sus datos”, manifiesta.
Protocolos a seguir para evitar sanciones
La protección de datos obliga al Ayuntamiento a seguir un protocolo no tener que responder a sanciones en forma de apercibimiento. Para empezar, señala Infantes, debe haber comunicado formalmente en 72 horas la existencia de esta violación de seguridad a la autoridad de control, que desde el pasado 1 de octubre recae en el Consejo de Transparencia y Protección de Datos de Andalucía y no en Madrid. Según advierte, no hacerlo sería un incumplimiento flagrante por parte de la administración local si no lo hace en ese plazo, pues supondría una infracción grave de la ley. A ello habría que sumar, según este letrado especialista en protección de datos y nuevas tecnologías, una sanción por la falta de adopción de medidas técnicas y organizativas, y una tercera por no tener designado, como consta en el registro nacional, un delegado de protección de datos, a lo que todos los organismos públicos están obligados desde el pasado 25 de mayo. “Esta persona es la que en situaciones como estas tendría que coordinar, estar junto a los técnicos para trabajar para el restablecimiento de los datos, entrando en comunicación con el Consejo de Transparencia”, indica.
La respuesta penal
¿Tienen motivos para preocuparse? Afirmativo. “No sabemos qué se ha hecho o no se ha hecho, sino que hay un secuestro, se ha encriptado el servidor, y el hacker está pidiendo un rescate, también se puede extorsionar con información, no olvidemos que en el poder está el dato”, apunta. “Hay datos de carácter sensible, en el ámbito de los servicios sociales, los números de cuenta de los contribuyentes, impuestos domiciliados; no sabemos si el hipotético hacker va a amenazar con hacer público los datos si no le pagan, por ejemplo”, advierte. Lo que está claro para Infantes es que objetivamente está el dato de que ha habido un “hackeo”, lo que evidenciaría que medidas de seguridad “no han debido ser suficientes”, indica, de ahí que se haya tenido que recurrir al CERT. Por último está la respuesta penal que podrá ejercer el Ayuntamiento de Jerez contra los presuntos responsables, lo cual tampoco es fácil. Lo ocurrido conlleva una investigación de la Brigada de Investigación Tecnológica (BIT), en Madrid, y de la UDEV, en la Comisaría de la Policía Nacional de Jerez. A priori, resalta este especialista, la deslocalización y la globalización son un problema añadido para dar con los responsables.
En cuanto al modus operandi, las opciones son tan sofisticadas como el nivel de conocimiento de este sujeto. “Hay personajes que navegan en el inframundo y por entre 300 y 600 euros pueden comprar un software para provocar un ataque de este tipo; estamos hablando de productos económicos. Nadie ataca un sistema por atacarlo. Detrás siempre hay un interés económico (como ha ocurrido en Jerez)”, señala. ¿Por qué se va entonces a uno de los ayuntamientos más endeudados de España? Pues precisamente la endeble economía municipal, apunta el abogado, puede hacer que esta administración local, sea “más fácil de hackear” que otras más fuertes, a las que se les presupone “medidas más fuertes y organizativas e información más protegida”.