En la madrugada del 2 de octubre saltaron las alarmas en el Ayuntamiento jerezano ordenándose desconectar de inmediato la red informática municipal; y poco después, se recomendaba desenchufar todos los equipos informáticos . Ya avanzada la mañana llegaba la confirmación oficial: un virus había encriptado la información contenida en más de 50 servidores.

Dieciocho días después, el Ayuntamiento trata de volver a la normalidad tras el virulento ciberataque sufrido. De manera gradual se ha ido restaurando la conexión de los equipos informáticos de las distintas áreas municipales, pero aún hay departamentos que aún no están operativos. Eso sí, desde el primer momento, el ejecutivo local se afanó en asegurar que no se había producido sustracción de datos a pesar de que el virus detectado, el Emotet, es especialmente virulento y eficaz en el robo de datos bancarios.

Ahora bien, ¿pudo evitarse el ‘hackeo’? Y lo más importante: ¿El Ayuntamiento estaba preparado para, al menos, aminorar sus consecuencias? El gobierno local se defiende argumentando que nadie está lo suficientemente preparado para repeler un ataque de estas características, especialmente ante a un troyano que provocó que el CNI (Centro Nacional de Inteligencia) lanzara una alerta nacional por su peligrosidad. Es más, insiste en que no ha sido el único consistorio que ha sufrido algo similar en los últimos meses. El último ha sido el onubense de Minas de Riotinto pero antes fueron Bilbao o Santurtzi, por citar algunos.

En las tareas de recuperación de la red ha colaborado el Centro Criptográfico Nacional (CCN), un órgano adscrito al CNI que, precisamente, el pasado mes de junio advirtió de que, por regla general, los ayuntamientos de toda España aún tienen mucho que mejorar en la seguridad de sus sistemas informáticos. Esta afirmación se desprende de un informe donde analiza el estado de seguridad de los sistemas informáticos de 450 entidades locales y diputaciones, entre ellas Jerez. Ahora bien, y por motivos de seguridad, no se individualiza la información sino que se realizan conclusiones generalistas agrupándolas por tramos de población.

De hecho, tras una consulta realizada por este periódico al Centro Criptográfico Nacional, se apunta desde este organismo que estos datos deben ser confidenciales para evitar que “una manifestación de las eventuales vulnerabilidades de una determinada entidad pueda ser utilizada para el desarrollo de un ciberataque que podría comprometer gravemente los sistemas de información de dichas entidades y, en su consecuencia, de las informaciones tratadas y los servicios prestados”. De las entidades analizadas, 79 son andaluzas —las únicas capitales que no han participado han sido Almería y Jaén—.

El Esquema Nacional de Seguridad

Desde 2015, las entidades locales deben cumplir con unos parámetros de seguridad establecidos por el denominado Esquema Nacional de Seguridad (ENS). Con este nombre se establece una serie de requisitos y determinaciones para las administraciones públicas en la utilización de medios electrónicos con las que tener una protección adecuada de la información que guardan. El CCN realiza un seguimiento a través de una herramienta (denominada INES) donde los organismos municipales se autoevalúan por lo que los resultados dependen de la veracidad de los datos que presenten puesto que el ente vinculado a la inteligencia nacional no realiza una verificación posterior.

Tras publicarse el informe, la Federación Española de Municipios y Provincias (FEMP) emitió una circular interna donde se hacía eco de que las entidades locales seguían lejos de alcanzar el nivel de cumplimiento del marco fijado por el Esquema Nacional de Seguridad. No obstante, se apuntaba que se está produciendo un paulatino “incremento” en los índices de cumplimiento fijados y una “concienciación” sobre este asunto, aunque reconocía la necesidad de hacer “un esfuerzo importante en los próximos años”.

El Centro Criptográfico Nacional lo resume en una afirmación: “Las entidades locales tienen mucho trabajo por delante”. Así se advierte de que son muy pocos los organismos públicos que ya cuentan con un certificado del cumplimiento del Esquema Nacional de Seguridad. A día, según los datos publicados por este órgano, solo hay 15 que tienen una auditoria actualizada en los últimos dos años en sus sistemas de categoría alta, es decir, en salvaguardar los datos que deben tener el mayor grado de protección, y 58 em los de categoría media.

Algunos departamentos de la Junta, por ejemplo, cuentan ya con el certificado del CCN. Es el caso de varios sistemas de información vinculados a la Consejería de Hacienda como los de gestión presupuestaria y tesorería, la gestión tributaria, la contratación administrativa así como la ventanilla electrónica o las herramientas de firma electrónica o sellado del tiempo de documentos. También lo tiene el servicio de gestión académica y administrativa de la Universidad de Granada.

En sus conclusiones, el Centro Criptógráfico Nacional demanda que los organismos destinen “mayores recursos” a la concienciación y formación, a la limpieza de metadatos, la criptografía o el análisis y gestión de riesgos. Sí considera, en cambio, que se está trabajando en una buena línea con herramientas tales como las copias de seguridad, la firma electrónica o la protección perimetral de la red.