Ayuntamientos: una presa irresistible para el cibercrimen

Recuerdas Los tres cerditos? Pues ya hemos hecho la mitad del camino. En esta historia, la industria del cibercrimen es el lobo. Los cerditos son nuestros m¨¢s de 8.000 ayuntamientos. Y sus casitas de variable solidez son los sistemas inform¨¢ticos y sedes electr¨®nicas en que cada vez hacemos m¨¢s de nuestras gestiones rutinarias. La f¨¢bula, cuyas primeras versiones escritas datan del siglo XIX, no ha perdido vigencia con la llegada de la era digital: no puedes resguardarte de la intemperie con un pu?ado de ramitas; no puedes proteger los datos de tus habitantes con un candado.

"Nosotros pasamos de tener una seguridad f¨ªsica en armarios con llave. A tener una seguridad de credenciales con unos sistemas basados en una clave de temporalidad cada vez m¨¢s baja. Antes ten¨ªamos sistemas de antiincendios para que no se quemaran los edificios y ahora tenemos sistemas de recuperaci¨®n ante ca¨ªdas del sistema", enumera V¨ªctor Solla, jefe de servicio de Organizaci¨®n, Nuevas Tecnolog¨ªas y Sistemas de la Informaci¨®n del Ayuntamiento de Avil¨¦s, uno de los cinco consistorios que cuentan con la certificaci¨®n de Esquema Nacional de Seguridad (ENS) que otorga el Centro Criptol¨®gico Nacional (CCN).

El pasado mes de junio, esta entidad public¨® su informe del estado de seguridad de los sistemas TIC de entidades locales durante el a?o 2018. De este repaso sali¨® un recuento 612 incidentes de seguridad de la informaci¨®n. Podr¨ªa parecer poco si calculamos que el lobo solo habr¨ªa tirado con ¨¦xito 612 casitas de m¨¢s de 8.000, pero el informe est¨¢ elaborado con datos de 450 organismos, es decir, a algunos cerditos se les habr¨ªa ca¨ªdo el techo encima en m¨¢s de una ocasi¨®n".

• Cr¨®nica de un ciberataque anunciado

La mejor opci¨®n es prepararse para el ataque con la certeza de que tarde o temprano va a ocurrir. En Jerez contaban con ello. Y hace cerca de un mes se cumplieron sus sospechas. Despu¨¦s de detectar varias anomal¨ªas en la red y tras confirmar que hab¨ªa un virus en sus sistemas, se pusieron manos a la obra. "Lo que hicimos fue cortar inmediatamente cualquier comunicaci¨®n con el exterior, bajar la red y advertir a todos los usuarios que apagaran los ordenadores", recuerda Jes¨²s Fe, director de los servicios informativos del ayuntamiento jerezano.

Este incidente, el de mayor gravedad que ha sufrido el consistorio, dej¨® secuelas que tardaron dos semanas en subsanarse por completo. Seg¨²n el informe del CCN, el 36% de los incidentes registrados en 2018 tardaron m¨¢s de 21 d¨ªas en resolverse. No existen plazos perfectos, explica Nerea de la Fuente, directora de suscripci¨®n t¨¦cnica de Hiscox. La gravedad del ataque, los sistemas de prevenci¨®n y la disponibilidad de copias de seguridad condicionan la duraci¨®n de la crisis. "Tambi¨¦n ayuda que tengan a alguien a su lado, proveedores externos y compa?¨ªas aseguradoras que les ayuden a que todo pueda volver a funcionar lo antes posible", a?ade.

• M¨¢s digitales, ?m¨¢s expuestos?

M¨¢s informaci¨®n

Espa?a tiene perdida la guerra contra el cibercrimen

Daswani: ¡°El cibercrimen se basa en el arte del enga?o m¨¢s que en la t¨¦cnica¡±

En la localidad jienense de Martos no han escatimado esfuerzos para ponerse a la vanguardia en lo que a nuevas tecnolog¨ªas se refiere. Desde pasos de peatones con sensores, internet de las cosas para gestionar los aparcamientos, no en vano fueron uno de los primeros de la provincia en implementar tramitaci¨®n electr¨®nica de expedientes o gesti¨®n de contabilidad. "Una mayor oferta de servicios aumenta la ventana de exposici¨®n y en consecuencia el riesgo, sin embargo, creemos que las TIC son un elemento transformador muy potente como para dejarlo de lado por miedo, pero s¨ª lo tratamos con respeto", reconoce Lourdes Mart¨ªnez, concejal de presidencia. Siguiendo las indicaciones de los organismos competentes, as¨ª como las directrices del ENS obtenemos herramientas e implementamos procesos para reducir este riesgo protegi¨¦ndonos contra las amenazas que puedan surgir".

De hecho, el siguiente paso para Martos es solicitar la certificaci¨®n el CCN. Con la experiencia de quien ya est¨¢ acreditado, V¨ªctor Solla ve esta concesi¨®n como una prueba de madurez tecnol¨®gica y administrativa cuyas exigencias explican que a¨²n sean pocos los consistorios que la han obtenido. "Yo creo que en este momento, una vez que los cinco primeros nos hemos atrevido a saltar a la piscina, va a haber un n¨²mero importante de administraciones que se certifiquen".

• Cerditos irresistibles

El inter¨¦s de los cibercriminales en acceder a los servidores consistoriales no es casual. "Trabajamos con datos personales muchos de ellos sensibles, por ejemplo, datos de recaudaci¨®n, sanciones, sobre usuarios de servicios sociales...", detalla Mart¨ªnez. Adem¨¢s, los efectos del ataque no se sienten solo en las dependencias municipales, si no en toda la localidad. "Esto es uno de los activos m¨¢s importantes que puede llegar a tener cualquier organizaci¨®n, y en el caso de un ayuntamiento, se paraliza todo. La dependencia tecnol¨®gica es tan inmensa y tan grande que sin ella no podr¨ªamos subsistir", asegura Fe. "cada vez se est¨¢ tomando m¨¢s concienciaci¨®n en estos temas, pero no solamente a nivel de usuarios, sino a nivel pol¨ªtico"

Ayuda haber visto las orejas de lobo. En Jerez ya se han adelantado recursos para la adquisici¨®n de equipos m¨¢s modernos y otras mejoras en los sistemas de seguridad. Los recursos son clave, pero no siempre est¨¢n disponibles. "Por eso lo que hacemos nosotros es apuntalar tambi¨¦n la parte de formaci¨®n y concienciaci¨®n", a?ade la portavoz de Hiscox.