El pago de un rescate en bitcoins a piratas informáticos lleva al Ayuntamiento de Cangas al juzgado por malversación

Un ataque informático paralizó el funcionamiento del Ayuntamiento de Cangas de Morrazo (Pontevedra) entre mayo y junio de 2023. Afectó a la base de datos de la Policía Municipal, el catastro y a las nóminas de los funcionarios. Los hackers pidieron entonces un rescate de 248.415 euros en bitcoins, la criptomoneda más conocida y que permite hacer transferencias anónimas. A cambio, ellos darían las claves para liberar los archivos infectados. Ahora, la historia continúa en un juzgado. La Fiscalía cree que el Gobierno local ha incurrido en un supuesto delito de malversación de fondos públicos y otro de prevaricación por la decisión de la alcaldesa, Araceli Gestido (BNG), de pagar el supuesto chantaje.

La alerta surgió de madrugada en las dependencias de la Policía Local cuando uno de los agentes intentó acceder a la base de datos para consultar los antecedentes de un detenido. En aquellos momentos de caos la alcaldía la ocupaba Victoria Portas, del partido Alternativa dos Veciños (AV), que rechazó el chantaje de los piratas informáticos, después de denunciar el caso en la Guardia Civil y ser advertida de que no accediera a ningún pago. Pero días después todo cambió con la celebración de las elecciones municipales al dar las urnas la alcaldía al BNG. A través de una empresa intermediaria, la nueva alcaldesa permitió el rescate en bitcoins a cambio de las claves que permitiesen el desencriptado de todos los archivos infectados por el virus ransomware Lockbit 3.0, según la denuncia que la Fiscalía presentó en el juzgado en marzo pasado y en la que deja patente los interrogantes del caso.

Tanto el PP de Cangas, como más adelante el AV, el partido de la exalcaldesa, presentaron una denuncia que abrió las diligencias de investigación penal sobre el pago de ese presunto chantaje. En la tramitación del caso ya han tenido que ir a declarar al juzgado varios implicados en la gestión del rescate como investigados y personal del Ayuntamiento como testigos.

Aunque los partidos denunciantes han renunciado a personarse como acusación en las diligencias, en el BNG hay preocupación por la evolución judicial que pueda tener este asunto. Desde el Ayuntamiento han evitado valoraciones sobre el caso, a la espera de que sea la Justicia la que se pronuncie, sobre todo para no entorpecer la investigación que está desarrollando la Guardia Civil.

El PP tiene claro que había que denunciar, una vez visto el contenido de la documentación del Expediente de la Carpeta del Ciberataque y hacerla llegar a la Fiscalía. “No queremos ser cómplices de una organización criminal, ni jugar con el dinero de los vecinos alegremente”, afirma la portavoz municipal Dolores Hermelo.”Nuestra intención no es sacar rédito político al caso, pero nuestra fidelidad no es con el Gobierno local, sino con los ciudadanos que quieren saber la verdad y cómo actuó el Ayuntamiento”, remata.

Hermelo ha incidido en el hecho de que los ataques informáticos están afectando a otros Ayuntamientos y organismos oficiales y la respuesta tendrá que estar homologada para que los hackers no logren su objetivo. “Es algo muy serio y lo que hay que hacer es estar preparados con empresas que garanticen que los sistemas de seguridad pueden repeler un ataque, o que pueda minimizar sus efectos”, añade.

La oposición recuerda que hace pocos meses, el Ayuntamiento de Redondela, gobernado por el PSOE, actuó ante un ataque similar de manera muy distinta. Allí no aceptaron el chantaje y optaron por contratar una empresa especializada por un importe 40 veces menor que el que pagó Cangas.

Un extraño rescate

Al fiscal del caso le ha llamado la atención el hecho de que tres días antes de las elecciones, el Gobierno local saliente hubiera aprobado un presupuesto por importe de 5.279 euros con la empresa que prestaba asistencia técnica en materia informática en el Ayuntamiento, Evelb Técnicas y Sistemas S.L.(ETYS), para elaborar un estudio forense y criptográfico de todos los sistemas afectados, pero no consiguió resultados. Sin embargo, un mes después, Araceli Gestido adjudicó un nuevo contrato a la misma empresa por un importe de 197.843 euros, mediante un procedimiento de urgencia para el descifrado y recuperación de los datos del sistema.

Tras la firma de este contrato se consiguió el desencriptado de la mayoría de los archivos infectados. En el expediente municipal existe un informe elaborado por la citada empresa, sin fecha ni firma, en el que esta deja constancia de que “se había llevado a cabo un proceso de negociación con los autores del ciberataque y se había procedido al pago del rescate en criptomonedas, en concreto bitcoins”, señala la Fiscalía.

El ministerio público deja constancia en su denuncia la existencia de posibles indicios de que el segundo contrato adjudicado a la empresa informática era realmente el pago del rescate. De ser así, se estaría perpetrando un delito de malversación de caudales públicos y otro de prevaricación administrativa por la irregular adjudicación del contrato a la empresa informática. Para la investigación de estos hechos se solicitó al Ayuntamiento de Cangas el correspondiente expediente. También se ha reclamado a la empresa informática que llevó a cabo la negociación con los autores del ciberataque una copia del informe por lo que su administrador, M. F. S., fue citado a declarar en calidad de sospechoso.

Como testigos fueron citados el técnico de la empresa que redactó el informe, el responsable de los sistemas informáticos del Ayuntamiento y el interventor municipal. Otras pesquisas se han centrado en la información bancaria requerida para averiguar el pago del rescate.

Para el fiscal, “hay indicios suficientes para entender que los responsables del Ayuntamiento eran conscientes de que el contrato adjudicado a ETYS SL por un importe de 197.843 euros “en realidad tenía como finalidad el pago de la cantidad negociada con los autores del ataque informático”, aunque el administrador de la empresa haya declarado que la idea de negociar con los ciberdelincuentes fue una decisión suya, dejando al margen al Ayuntamiento.

Según afirmó el administrador, se barajaron las posibilidades de obtener un valor razonable del rescate y el importe que estaría dispuesto a entregar el Ayuntamiento. Pero para el fiscal, sus argumentos “no resultan acordes a los criterios de la lógica” por el hecho de que se hubiera adjudicado un nuevo contrato, de un importe muy superior, y a la misma empresa que había fracasado en el primer intento de solucionar el problema informático, “salvo que haya una garantía evidente de que puede hacerlo”, subraya la denuncia de la Fiscalía.

Según la investigación, cuando el Ayuntamiento solicitó a la empresa adjudicataria una justificación del cumplimiento del contrato, lo que remitió la empresa informática fue el informe de recuperación de datos tras el ciberataque. “En él, con toda naturalidad se describe, como una de las actividades llevadas a cabo, la de contactar con los ciberdelincuentes para obtener detalles sobre las demandas y la posible liberación de claves y herramientas de descifrado, así como realizar un proceso de negociación, aceptar el recate y proceder a su pago en bitcoins”, subraya la Fiscalía en su denuncia.

Otro indicio del rescate es la inmediatez en los pagos, lo cual revela que su precio ya estaría fijado desde el principio, Siendo así, el fiscal considera que ha habido una supuesta prevaricación porque “se ha adjudicado un contrato público a sabiendas de que su objeto era el ilegal pago de un rescate a los autores del ataque informático”, y otro de malversación de caudales públicos porque se han utilizado fondos públicos con igual finalidad, además de otro de daños informáticos y coacciones.