A principios del pasado mes de marzo, la prensa mundial anunció que el sistema informático utilizado por el Servicio de Empleo Público Estatal español (en adelante, el “SEPE”), había amanecido el día 9 del citado mes bloqueado como consecuencia del éxito de un ciberataque.
La ofensiva en cuestión consistió en la infección de los sistemas del organismo a través del ransomware “Ryuk”, un viejo conocido de las instituciones públicas y de empresas como la Cadena Ser o la consultora Everis. El comportamiento habitual del citado malware consiste enlocalizar los archivos a infectar, cifrarlos y bloquearlos exigiendo un rescate a satisfacer, normalmente, en bitcoins y donde el cracker exija.
En este caso, según las declaraciones efectuadas posteriormente por el Director General del SEPE, D. Gerardo Gutiérrez, los piratas informáticos no aprehendieron datos de los ciudadanos, no paralizaron los pagos de las prestaciones ni exigieron rescate alguno tras el bloqueo de los sistemas, lo que invita a concluir que éstos actuaron movidos bien por la remuneración pactada con alguna organización gubernamental, bien por simple diversión.
Fuere cual fuere su motivación, lo cierto es que durante días las 710 oficinas presenciales y las 52 que prestan atención telemática del mencionado organismo, colapsado desde hace tiempo, permanecieron cerradas y sin prestar atención a los ciudadanos. En un organismo que aloja millones de datos sensibles de los ciudadanos, ¿cómo es posible que una amenaza de este tipo irrumpa como un “elefante en una cacharrería”?
La respuesta parece encontrarse en la falta de un plan de actuación para este tipo de situaciones, en definitiva, a una ausencia total y absoluta de previsión y prevención. Partiendo de la base de que ningún usuario, sea singular, entidad pública o privada, se encuentra a salvo de las amenazas efectuadas a través de la Red, lo cierto es que las últimas deben contar con un proyecto en el que se expongan los potenciales riesgos a los que se enfrentan en materia de ciberseguridad, así como los medios personales y materiales de los que disponen para hacerles frente.
Atendiendo a lo dispuesto en el RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, constituye deber ineludible de la Administración garantizar la seguridad de sus sistemas, concepto en el que incluye la formación de su personal dependiente y la elaboración del meritado plan de prevención.
En concreto, su artículo 7 es especialmente esclarecedor al disponer que el plan debe prever líneas de actuación suficientes como para que las amenazas no lleguen a materializarse, todo ello con el fin de evitar que los servicios prestados por el ente en cuestión no se vean afectados gravemente. Asimismo, la Administración debe contar con un plan de reacción para minimizar los daños en caso de que la amenaza llegue a penetrar en el sistema, y con un responsable o comisión que vele por el cumplimiento del mismo y haga frente a cualquier eventualidad surgida dentro de su aplicación. En similares términos se pronuncia la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Entonces, ¿qué ha sucedido en el SEPE? Según lo publicado en distintos medios de comunicación, el plan de contingencia aplicado consistió en pedir a los funcionarios del SEPE que apagasen sus ordenadores. Además, Desde la Central Sindical Independiente y de Funcionarios (CSIF) se había venido manifestando desde hace tiempo que los sistemas del SEPE están obsoletos.
Sin embargo, en defensa de los responsables de redes del organismo se debe esgrimir que el día anterior tuvieron la buena fortuna (e idea) de realizar una copia de seguridad de los sistemas, hecho que, con posterioridad a la limpieza de los mismos por parte del Centro Criptológico Nacional (CCN), ha permitido restaurar la totalidad de los archivos de datos.
En conclusión, parece que, una vez más, el papel lo aguanta todo; sin la dotación a la Administración de los activos adecuados (tanto personales, como reales) no es posible materializar lo dispuesto en las normas reguladoras de su funcionamiento. El resto, es palabrería.
Artículo publicado el 14 de abril de 2021 en la sección #CaféconLex de la asociación Fundamento Jurídico UCM.