El pago de un rescate en bitcoins a piratas inform¨¢ticos lleva al Ayuntamiento de Cangas al juzgado por malversaci¨®n

Un ataque inform¨¢tico paraliz¨® el funcionamiento del Ayuntamiento de Cangas de Morrazo (Pontevedra) entre mayo y junio de 2023. Afect¨® a la base de datos de la Polic¨ªa Municipal, el catastro y a las n¨®minas de los funcionarios. Los hackers pidieron entonces un rescate de 248.415 euros en bitcoins, la criptomoneda m¨¢s conocida y que permite hacer transferencias an¨®nimas. A cambio, ellos dar¨ªan las claves para liberar los archivos infectados. Ahora, la historia contin¨²a en un juzgado. La Fiscal¨ªa cree que el Gobierno local ha incurrido en un supuesto delito de malversaci¨®n de fondos p¨²blicos y otro de prevaricaci¨®n por la decisi¨®n de la alcaldesa, Araceli Gestido (BNG), de pagar el supuesto chantaje.

La alerta surgi¨® de madrugada en las dependencias de la Polic¨ªa Local cuando uno de los agentes intent¨® acceder a la base de datos para consultar los antecedentes de un detenido. En aquellos momentos de caos la alcald¨ªa la ocupaba Victoria Portas, del partido Alternativa dos Veci?os (AV), que rechaz¨® el chantaje de los piratas inform¨¢ticos, despu¨¦s de denunciar el caso en la Guardia Civil y ser advertida de que no accediera a ning¨²n pago. Pero d¨ªas despu¨¦s todo cambi¨® con la celebraci¨®n de las elecciones municipales al dar las urnas la alcald¨ªa al BNG. A trav¨¦s de una empresa intermediaria, la nueva alcaldesa permiti¨® el rescate en bitcoins a cambio de las claves que permitiesen el desencriptado de todos los archivos infectados por el virus ransomware Lockbit 3.0, seg¨²n la denuncia que la Fiscal¨ªa present¨® en el juzgado en marzo pasado y en la que deja patente los interrogantes del caso.

Tanto el PP de Cangas, como m¨¢s adelante el AV, el partido de la exalcaldesa, presentaron una denuncia que abri¨® las diligencias de investigaci¨®n penal sobre el pago de ese presunto chantaje. En la tramitaci¨®n del caso ya han tenido que ir a declarar al juzgado varios implicados en la gesti¨®n del rescate como investigados y personal del Ayuntamiento como testigos.

Aunque los partidos denunciantes han renunciado a personarse como acusaci¨®n en las diligencias, en el BNG hay preocupaci¨®n por la evoluci¨®n judicial que pueda tener este asunto. Desde el Ayuntamiento han evitado valoraciones sobre el caso, a la espera de que sea la Justicia la que se pronuncie, sobre todo para no entorpecer la investigaci¨®n que est¨¢ desarrollando la Guardia Civil.

El PP tiene claro que hab¨ªa que denunciar, una vez visto el contenido de la documentaci¨®n del Expediente de la Carpeta del Ciberataque y hacerla llegar a la Fiscal¨ªa. ¡°No queremos ser c¨®mplices de una organizaci¨®n criminal, ni jugar con el dinero de los vecinos alegremente¡±, afirma la portavoz municipal Dolores Hermelo.¡±Nuestra intenci¨®n no es sacar r¨¦dito pol¨ªtico al caso, pero nuestra fidelidad no es con el Gobierno local, sino con los ciudadanos que quieren saber la verdad y c¨®mo actu¨® el Ayuntamiento¡±, remata.

Hermelo ha incidido en el hecho de que los ataques inform¨¢ticos est¨¢n afectando a otros Ayuntamientos y organismos oficiales y la respuesta tendr¨¢ que estar homologada para que los hackers no logren su objetivo. ¡°Es algo muy serio y lo que hay que hacer es estar preparados con empresas que garanticen que los sistemas de seguridad pueden repeler un ataque, o que pueda minimizar sus efectos¡±, a?ade.

La oposici¨®n recuerda que hace pocos meses, el Ayuntamiento de Redondela, gobernado por el PSOE, actu¨® ante un ataque similar de manera muy distinta. All¨ª no aceptaron el chantaje y optaron por contratar una empresa especializada por un importe 40 veces menor que el que pag¨® Cangas.

Un extra?o rescate

Al fiscal del caso le ha llamado la atenci¨®n el hecho de que tres d¨ªas antes de las elecciones, el Gobierno local saliente hubiera aprobado un presupuesto por importe de 5.279 euros con la empresa que prestaba asistencia t¨¦cnica en materia inform¨¢tica en el Ayuntamiento, Evelb T¨¦cnicas y Sistemas S.L.(ETYS), para elaborar un estudio forense y criptogr¨¢fico de todos los sistemas afectados, pero no consigui¨® resultados. Sin embargo, un mes despu¨¦s, Araceli Gestido adjudic¨® un nuevo contrato a la misma empresa por un importe de 197.843 euros, mediante un procedimiento de urgencia para el descifrado y recuperaci¨®n de los datos del sistema.

Tras la firma de este contrato se consigui¨® el desencriptado de la mayor¨ªa de los archivos infectados. En el expediente municipal existe un informe elaborado por la citada empresa, sin fecha ni firma, en el que esta deja constancia de que ¡°se hab¨ªa llevado a cabo un proceso de negociaci¨®n con los autores del ciberataque y se hab¨ªa procedido al pago del rescate en criptomonedas, en concreto bitcoins¡±, se?ala la Fiscal¨ªa.

El ministerio p¨²blico deja constancia en su denuncia la existencia de posibles indicios de que el segundo contrato adjudicado a la empresa inform¨¢tica era realmente el pago del rescate. De ser as¨ª, se estar¨ªa perpetrando un delito de malversaci¨®n de caudales p¨²blicos y otro de prevaricaci¨®n administrativa por la irregular adjudicaci¨®n del contrato a la empresa inform¨¢tica. Para la investigaci¨®n de estos hechos se solicit¨® al Ayuntamiento de Cangas el correspondiente expediente. Tambi¨¦n se ha reclamado a la empresa inform¨¢tica que llev¨® a cabo la negociaci¨®n con los autores del ciberataque una copia del informe por lo que su administrador, M. F. S., fue citado a declarar en calidad de sospechoso.

Como testigos fueron citados el t¨¦cnico de la empresa que redact¨® el informe, el responsable de los sistemas inform¨¢ticos del Ayuntamiento y el interventor municipal. Otras pesquisas se han centrado en la informaci¨®n bancaria requerida para averiguar el pago del rescate.

Para el fiscal, ¡°hay indicios suficientes para entender que los responsables del Ayuntamiento eran conscientes de que el contrato adjudicado a ETYS SL por un importe de 197.843 euros ¡°en realidad ten¨ªa como finalidad el pago de la cantidad negociada con los autores del ataque inform¨¢tico¡±, aunque el administrador de la empresa haya declarado que la idea de negociar con los ciberdelincuentes fue una decisi¨®n suya, dejando al margen al Ayuntamiento.

Seg¨²n afirm¨® el administrador, se barajaron las posibilidades de obtener un valor razonable del rescate y el importe que estar¨ªa dispuesto a entregar el Ayuntamiento. Pero para el fiscal, sus argumentos ¡°no resultan acordes a los criterios de la l¨®gica¡± por el hecho de que se hubiera adjudicado un nuevo contrato, de un importe muy superior, y a la misma empresa que hab¨ªa fracasado en el primer intento de solucionar el problema inform¨¢tico, ¡°salvo que haya una garant¨ªa evidente de que puede hacerlo¡±, subraya la denuncia de la Fiscal¨ªa.

Seg¨²n la investigaci¨®n, cuando el Ayuntamiento solicit¨® a la empresa adjudicataria una justificaci¨®n del cumplimiento del contrato, lo que remiti¨® la empresa inform¨¢tica fue el informe de recuperaci¨®n de datos tras el ciberataque. ¡°En ¨¦l, con toda naturalidad se describe, como una de las actividades llevadas a cabo, la de contactar con los ciberdelincuentes para obtener detalles sobre las demandas y la posible liberaci¨®n de claves y herramientas de descifrado, as¨ª como realizar un proceso de negociaci¨®n, aceptar el recate y proceder a su pago en bitcoins¡±, subraya la Fiscal¨ªa en su denuncia.

Otro indicio del rescate es la inmediatez en los pagos, lo cual revela que su precio ya estar¨ªa fijado desde el principio, Siendo as¨ª, el fiscal considera que ha habido una supuesta prevaricaci¨®n porque ¡°se ha adjudicado un contrato p¨²blico a sabiendas de que su objeto era el ilegal pago de un rescate a los autores del ataque inform¨¢tico¡±, y otro de malversaci¨®n de caudales p¨²blicos porque se han utilizado fondos p¨²blicos con igual finalidad, adem¨¢s de otro de da?os inform¨¢ticos y coacciones.