A primera hora de la mañana del 2 de octubre el Ayuntamiento se paralizó. Los empleados dejaron de tener acceso a Internet y a las bases de datos desde sus ordenadores; incluso, se les ordenó que los desconectaran.

Horas más tarde llegaba la confirmación oficial: el Ayuntamiento había sufrido un ciberataque que había obligado a los servicios informáticos municipales a desconectar toda la red. De este modo, los servicios de atención al ciudadano quedaban mermados ya que no podían realizarse trámites que requiriera de algún tipo de gestión telemática.

Desde entonces, los servicios informáticos municipales se han afanado en tratar de restablecer los sistemas. A día de hoy, el gobierno afirma que la red está restablecida en su totalidad —al “99,9%” afirmaba este martes—. Este es el relato de lo ocurrido por parte de Jesús Fe, el director del Servicio Informático Municipal.

29 DE SEPTIEMBRE Los primeros avisos

Aunque el ciberataque se produjo en la madrugada del 2 de octubre, días antes, concretamente el 29 de septiembre, ya se detectaron anomalías en los servidores municipales. “Aquel día comprobamos que había fallos en el servidor del correo del grupo municipal. Se lo comunicamos a la empresa que tenemos contratado para su mantenimiento”, explica.

Tras montar el servicio de correos en otro servidor, se restauró el sistema pero ya por la tarde se detectaron nuevas anomalías por la existencia de “software malicioso”. De hecho, se comunicó a los empleados municipales alertando de que se habían detectado virus que trataban de acceder al sistema a través del correo electrónico.

2 DE OCTUBRE El día ‘h’

Jesús Fe explica que, tras las anomalías detectadas en días anteriores, se había barrido el sistema con dos antivirus y se habían chequeado todos los servidores. Sin embargo, esa mañana se detecta un “comportamiento anormal” en la red. Poco después se confirma el ataque con malware por lo que se “fija un protocolo de actuación” desconectando la red y dando cuenta al Centro Criptográfico Nacional (CCN). Se apagaban así 50 servidores y se ordenaba desconectar los 1.500 equipos que tiene el Consistorio.

Poco después se comprueba haber sufrido un ramsonware (secuestro de datos) por un virus informático denominado Ryuk que, según Fe, “es el peor de todos porque encripta la información y alerta pidiendo al rescate”. Eso sí, acto seguido, señala: “No llegamos a ese nivel [pedir un rescate] al aislar todas las redes del mundo exterior”.

3 DE OCTUBRE Se pide ayuda externa

Durante estos momentos iniciales del ciberataque, los servicios informáticos municipales contactaron con empresas como Telefónica para pedir asesoramiento. El director informático señala: “Nos dicen que se ha hecho lo correcto, que es desconectar toda la red”.

Acto seguido se adopta un protocolo de actuación comenzando con la reinstalación de los servidores que albergan la información que contiene las credenciales y contraseñas que utilizan los trabajadores municipales para acceder a la red ya que se temía que esta información estuviera “comprometida”. Por suerte, no hubo que lamentar este extremo.

El ataque al Ayuntamiento de Jerez provocó que durante más de dos semanas la OAC del Ayuntamiento no pudiera gestionar trámites telemáticos.

4 DE OCTUBRE Llegan los expertos del CNI

A media mañana del viernes 4 de octubre llegan a Jerez tres especialistas del Centro Criptográfico Nacional, órgano adscrito al CNI, para ayudar en la recuperación del sistema —ellos son los que lideraron la fase de contención del software malicioso”, señala Fe—. Estos instalan una “sonda” que conecta el sistema informático municipal con este órgano adscrito a la Inteligencia Nacional para comunicar posibles alertas.

Ese día también se ponen en pie nuevas medidas para proteger el sistema como la sustitución del firewall (sistema de protección) que tenía el Ayuntamiento, se procede a segmentar la red y se establecen unas nuevas reglas para la entrada y salida de información de los servidores municipales. Esa jornada también se confirma por parte de estos especialistas que no ha habido fuga de datos.

7, 8 y 9 DE OCTUBRE Se empiezan a recuperar servidores

En los siguientes días, el servicio informático municipal se afana en ir recuperando los servidores y poner en funcionamiento los terminales informáticos. Además, se comunica en esos días al Consejo de Transparencia de Andalucía del ciberataque sufrido.

El 8 de octubre, en cambio, este órgano advierte de que no ha sido informado de lo ocurrido cuando la ley obliga a hacerlo en las 72 horas posteriores. En estos días también se certifica que las copias de seguridad “no están comprometidas” .

10 DE OCTUBRE Se recupera el Sistema Informático Municipal

A lo largo de la jornada se recupera el Sistema Informático Municipal, que permitirá en los días siguientes restablecer la atención al ciudadano. El departamento informático se afana entonces en poner a punto los equipos informáticos limpios de virus que permitan acceder al sistema para restablecer algunos servicios.

Esa jornada se comprueba, por otro lado, que se han detectado algunos ficheros “encriptados” pero muy antiguos —una decena de los más de 10 millones que guarda el Ayuntamiento—.

11 DE OCTUBRE Se restablecen los servicios de atención al ciudadano

Esa mañana, la práctica totalidad de los servicios municipales que tienen algún tipo de atención al ciudadano vuelven a estar operativos. Es el caso de la Oficina de Atención al Ciudadano (OAC), el servicio de recaudación y gestión tributaria, la Delegación de Acción Social o Urbanismo.

Jesús Fe indica que ese día tanto el sistema informático municipal como el sistema de ficheros del Ayuntamiento están “plenamente operativos”. El problema es que son muy pocos los equipos informáticos chequeados.

La primera teniente de Alcaldía y el director del Servicio Informático Municipal, explicando los pormenores del ciberataque

14 DE OCTUBRE Reabre Aquajerez

Ese día vuelve a estar operativo el sistema de contabilidad municipal y se sigue retomando la atención al ciudadano en distintos servicios. Es el caso de la empresa de aguas Aquajerez, que se vio obligada a cerrar ya que no podía atender a sus usuarios al compartir red informática con el Ayuntamiento.

Ese día se restablece también la web municipal (www.jerez.es) aunque con algunas restricciones.

15 DE OCTUBRE La sede electrónica vuelve a estar operativa

se siguen recuperando algunos trámites telemáticos como la firma electrónica, la sede electrónica o los correos corporativos de los empleados municipales.

Asimismo, el servicio informático sigue inmerso en recuperar equipos. Días más tarde, llega al Ayuntamiento el primer centenar de equipos de los 440 adquiridos ya que los más obsoletos han quedado inutilizables porque requieren un nuevo sistema operativo.

La situación a día de hoy

El máximo responsable del departamento informático señala que el sistema operativo está restablecido en su totalidad y que los técnicos informáticos continúan trabajando en restablecer el máximo número de equipos informáticos.

Además de comprar nuevos ordenadores, se han adoptado otro tipo de medidas para reforzar la seguridad como la adquisición de un nuevo firewall o de nuevo software para controlar amenazas.