Ayuntamientos: una presa irresistible para el cibercrimen
El Centro Criptológico Nacional registró en 2018 más de 600 incidentes de seguridad, y eso que estaba recabando información de tan solo 450 organismos
Recuerdas Los tres cerditos? Pues ya hemos hecho la mitad del camino. En esta historia, la industria del cibercrimen es el lobo. Los cerditos son nuestros más de 8.000 ayuntamientos. Y sus casitas de variable solidez son los sistemas informáticos y sedes electrónicas en que cada vez hacemos más de nuestras gestiones rutinarias. La fábula, cuyas primeras versiones escritas datan del siglo XIX, no ha perdido vigencia con la llegada de la era digital: no puedes resguardarte de la intemperie con un puñado de ramitas; no puedes proteger los datos de tus habitantes con un candado.
"Nosotros pasamos de tener una seguridad física en armarios con llave. A tener una seguridad de credenciales con unos sistemas basados en una clave de temporalidad cada vez más baja. Antes teníamos sistemas de antiincendios para que no se quemaran los edificios y ahora tenemos sistemas de recuperación ante caídas del sistema", enumera Víctor Solla, jefe de servicio de Organización, Nuevas Tecnologías y Sistemas de la Información del Ayuntamiento de Avilés, uno de los cinco consistorios que cuentan con la certificación de Esquema Nacional de Seguridad (ENS) que otorga el Centro Criptológico Nacional (CCN).
El pasado mes de junio, esta entidad publicó su informe del estado de seguridad de los sistemas TIC de entidades locales durante el año 2018. De este repaso salió un recuento 612 incidentes de seguridad de la información. Podría parecer poco si calculamos que el lobo solo habría tirado con éxito 612 casitas de más de 8.000, pero el informe está elaborado con datos de 450 organismos, es decir, a algunos cerditos se les habría caído el techo encima en más de una ocasión".
Incidentes de impacto crítico, alto o muy alto, en función del tamaño del municipio
- Crónica de un ciberataque anunciado
La mejor opción es prepararse para el ataque con la certeza de que tarde o temprano va a ocurrir. En Jerez contaban con ello. Y hace cerca de un mes se cumplieron sus sospechas. Después de detectar varias anomalías en la red y tras confirmar que había un virus en sus sistemas, se pusieron manos a la obra. "Lo que hicimos fue cortar inmediatamente cualquier comunicación con el exterior, bajar la red y advertir a todos los usuarios que apagaran los ordenadores", recuerda Jesús Fe, director de los servicios informativos del ayuntamiento jerezano.
Este incidente, el de mayor gravedad que ha sufrido el consistorio, dejó secuelas que tardaron dos semanas en subsanarse por completo. Según el informe del CCN, el 36% de los incidentes registrados en 2018 tardaron más de 21 días en resolverse. No existen plazos perfectos, explica Nerea de la Fuente, directora de suscripción técnica de Hiscox. La gravedad del ataque, los sistemas de prevención y la disponibilidad de copias de seguridad condicionan la duración de la crisis. "También ayuda que tengan a alguien a su lado, proveedores externos y compañías aseguradoras que les ayuden a que todo pueda volver a funcionar lo antes posible", añade.
- Más digitales, ¿más expuestos?
En la localidad jienense de Martos no han escatimado esfuerzos para ponerse a la vanguardia en lo que a nuevas tecnologías se refiere. Desde pasos de peatones con sensores, internet de las cosas para gestionar los aparcamientos, no en vano fueron uno de los primeros de la provincia en implementar tramitación electrónica de expedientes o gestión de contabilidad. "Una mayor oferta de servicios aumenta la ventana de exposición y en consecuencia el riesgo, sin embargo, creemos que las TIC son un elemento transformador muy potente como para dejarlo de lado por miedo, pero sí lo tratamos con respeto", reconoce Lourdes Martínez, concejal de presidencia. Siguiendo las indicaciones de los organismos competentes, así como las directrices del ENS obtenemos herramientas e implementamos procesos para reducir este riesgo protegiéndonos contra las amenazas que puedan surgir".
De hecho, el siguiente paso para Martos es solicitar la certificación el CCN. Con la experiencia de quien ya está acreditado, Víctor Solla ve esta concesión como una prueba de madurez tecnológica y administrativa cuyas exigencias explican que aún sean pocos los consistorios que la han obtenido. "Yo creo que en este momento, una vez que los cinco primeros nos hemos atrevido a saltar a la piscina, va a haber un número importante de administraciones que se certifiquen".
- Cerditos irresistibles
El interés de los cibercriminales en acceder a los servidores consistoriales no es casual. "Trabajamos con datos personales muchos de ellos sensibles, por ejemplo, datos de recaudación, sanciones, sobre usuarios de servicios sociales...", detalla Martínez. Además, los efectos del ataque no se sienten solo en las dependencias municipales, si no en toda la localidad. "Esto es uno de los activos más importantes que puede llegar a tener cualquier organización, y en el caso de un ayuntamiento, se paraliza todo. La dependencia tecnológica es tan inmensa y tan grande que sin ella no podríamos subsistir", asegura Fe. "cada vez se está tomando más concienciación en estos temas, pero no solamente a nivel de usuarios, sino a nivel político"
Ayuda haber visto las orejas de lobo. En Jerez ya se han adelantado recursos para la adquisición de equipos más modernos y otras mejoras en los sistemas de seguridad. Los recursos son clave, pero no siempre están disponibles. "Por eso lo que hacemos nosotros es apuntalar también la parte de formación y concienciación", añade la portavoz de Hiscox.
