La ciberdelincuencia sigue creciendo. Y si bien muchos mantienen el foco en personas y empresas de todos los tamaños; ayuntamientos, Ministerios y entes públicos también están en el centro de la diana. El Consejo de Transparencia y Protección de Datos de Andalucía ha detectado 29 brechas de seguridad en organismos e instituciones de Málaga en el último lustro. El 70%, según consta en un informe de esta entidad, al que ha tenido acceso este periódico, corresponden a ciberataques que, en su mayoría, afectan a los ayuntamientos. De estos agujeros, 11 se descubrieron en el año 2021. Un año después, se registraron nueve. Hay casos en los que se han perdido o sustraído datos confidenciales. 

La mayoría de los asuntos atañen a las administraciones locales. El ejemplo más gráfico es el del Ayuntamiento de Sevilla, que paralizó prácticamente todos los servicios e inhabilitó todos los trámites que podían realizarse on line, además de hacer caer todas las webs municipales. Pero, pese al impacto que tuvo, el de la capital andaluza no fue el único caso. Un total de 50 consistorios de toda Andalucía resultaron atacados entre 2019 y 2023.

En palabras de expertos consultados por este periódico, las administraciones públicas todavía cuentan en Málaga con sistemas de protección "vulnerables" cuando no "inexistentes". Y, pese a que no se refieren en concreto a ningún municipio, hacen extensibles sus análisis al territorio. 

Asaltos "continuos" al Consistorio de Vélez-Málaga

Desde el Consistorio de Vélez-Málaga, a través del concejal de Nuevas Tecnologías, David Segura, señalaron a propósito del ataque al Consistorio sevillano que están experimentando asaltos "continuos", pero que, paralelamente, "trabajan gradualmente para mejorar sus sistemas y concienciar al personal municipal sobre las actuaciones de seguridad necesarias", especialmente en casos de phishing y malware. Segura menciona además un incidente de phishing que lograron resolver con éxito.

Del informe del Consejo de Transparencia se desprende que también sufrió 13 brechas de seguridad la Junta, 27 entidades de derecho público o privado dependientes de la administración autonómica, 16 organismos dependientes de ayuntamientos y dos el sistema universitario andaluz, entre otros. En total, fueron 111 los agujeros detectados por el Consejo de Transparencia en este último lustro. Los años 2021 y 2022 dejaron los datos más negativos, con 36 y 38 casos respectivamente.

En cuanto a la tipología de estos ataques, 107 afectaron a la confidencialidad, 32 a la disponibilidad y 15 a la integridad. Transparencia calificó como de severidad alta 12 casos, mientras que otros 27 fueron clasificados como de nivel medio y 72 bajo. Las causas más extendidas son los ciberincidentes (hacking, malware o phising), con 50 casos. Le siguen los dispositivos perdidos, robados o desechados, con 15; los datos enviados o mostrados por error, con 13; y las publicaciones indebidas, con 10.

El ransomware con cifrado de archivos es la causa que más brechas y afectados genera. Se trata de incidentes generados usualmente por un actor externo a la organización, cuyo objetivo es obtener un beneficio ilícito mediante el daño causado. Las consecuencias de estos delitos pueden conllevar el acceso a información, su exfiltración (transferencia de información no autorizada a un lugar externo) y el cifrado ilícito de la misma para impedir su uso. Además de estas consecuencias, suele provocar interrupción de los servicios durante periodos de tiempo considerables.

Los ataques de ransomware vienen en muchos casos precedidos de ataques de phising (intento de hacerse pasar por una persona o entidad de confianza para que la víctima realice alguna acción que no debería hacer) mediante correo electrónico, cuyo objetivo es el robo de credenciales de accesos a equipos como paso previo. 

Un empleado de un organismo público sufrió un ataque de este tipo que le llevó a cumplimentar un formulario en el que facilitó las claves de acceso a su cuenta corporativa de correo electrónico, sin ser consciente de ello. Seguidamente, el ciberdelincuente modificó la configuración del correo para que se redireccionase a una cuenta externa. Utilizó la cuenta para el envío de mensajes fraudulentos hasta su detección, que resultó ser inferior a un día.

Estos ataques se organizan en tres pasos: entrar en el sistema, cifrar la información y, posiblemente, exigir un rescate. En un caso concreto gestionado por Transparencia, fue el encargado del tratamiento, que manejaba datos sensibles, el que sufrió un ciberataque de ransomware. Este encargado reaccionó con rapidez y eficacia ante la brecha de seguridad. Adoptó medidas inmediatas y se comunicó con diversas entidades técnicas y la Policía.

Transparencia destaca la importancia de que los responsables contraten servicios TIC sólo con encargados cualificados y con recursos suficientes para responder ante incidentes de este tipo, especialmente en casos donde se manejen datos sensibles o grandes volúmenes.

Aislar los activos afectados, la clave en la gestión de la brecha

Durante la gestión de la brecha, algunas de las medidas que se pueden tomar son aislar los activos afectados, detectar y evitar la exfiltración de datos, recuperar la información y restaurar los servicios, notificar a la autoridad de control en cuanto se tengan datos, comunicar a los afectados y realizar un análisis forense. A posteriori, se debe aumentar el nivel de seguridad, impulsar y revisar los controles y mejorar la gestión de los incidentes.

Las brechas de tipo difusión también se han dado en Málaga. Son achacables a errores humanos, más que a ciberataques. Habitualmente se cometen a través del correo electrónico, cuando se envía información a destinatarios incorrectos. Destacan los casos en los que se emplean listas de distribución que contienen un elevado número de direcciones de correo electrónico, ya que un único error (basta con incluir la dirección de la lista) es suficiente para comunicar los datos a un elevado número de personas.

Una variante de este error es la publicación o comunicación indebida, que se produce cuando se publica en algún medio o se comunican datos personales de forma indebida y extensa. Pueden entenderse como una generalización del caso anterior. En la mayoría de los casos se trata de errores humanos. Un ejemplo es la publicación del DNI completo en un boletín oficial o listar datos identificativos completos de los participantes en procesos selectivos. También hay errores técnicos, como la configuración errónea de una aplicación que permite acceder a información de otros clientes, pacientes, estudiantes, empleados, etc. En Málaga se dio el caso de una entidad que, en la tramitación de una convocatoria, publicó datos en la web que podrían permitir la reidentificación de los participantes.

El Reglamento General de Protección de Datos define el concepto de brecha de seguridad como "violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizados a dichos datos". Los responsables del tratamiento de datos tienen la obligación de comunicar a la autoridad de control competente, en este caso el Consejo de Transparencia, cualquier brecha que se produzca en un plazo de 72 horas.

El papel del Consejo es supervisar el proceso de gestión, dando prioridad a las situaciones de mayor riesgo y asegurando una respuesta eficaz. Es fundamental realizar una notificación temprana y adecuada, ya que esto proporciona al Consejo la oportunidad de analiza las causas y exigir o recomendar las medidas apropiadas, promoviendo la transparencia y la responsabilidad en el tratamiento de datos personales por parte de los organismos públicos. 

Y para poner coto a estas situaciones, Transparencia también hace una serie de recomendaciones. El Consejo asegura que es necesario garantizar un nivel de seguridad adecuado al riesgo de tratamientos, además de ofrecer información y concienciar en seguridad a las personas, que suelen ser consideradas como el elemento más débil en la seguridad de la información.