ELCHE. Este lunes se cumplen dos semanas del ciberataque que recibió el Ayuntamiento y Visitelche y que deja su funcionamiento, en lo respectivo a la tramitación ciudadana y administración electrónica, a medio gas. Y casi. Estos días atrás se han estado realizando importantes esfuerzos por recuperar cierta normalidad, sobre todo en lo que respecta a la atención ciudadana. Son ya varias las oficinas de atención, las OMAC, las que están ya en funcionamiento en casco urbano y pedanías. Y por ahora, según Contratación, las licitaciones también siguen en marcha. Ahora bien, el ataque ransomware, cada vez más frecuente y enmarcado dentro de otros ataques a adminsitraciones y empresas nacionales e internacionales, deja algunas dudas en el aire. Algunas fuentes municipales apuntan por ejemplo a que en los últimos tiempos, especialmente desde 2024, se han relajado algunos controles que antes sí se realizaban, además de no haber migrado a una nube externa la administración electrónica, lo que podría haber evitado parte del actual embrollo. Cuestiones que quizá no hubieran evitado el mismo, pero sí mitigar su daño.
Controles más laxos
En este sentido, algunas fuentes sostienen que la laxitud llega desde el pasado año, con el cambio del Jefe de sección de Nuevas Tecnologías, a quien se ha trasladado a otro departamento. Entre algunos cambios que han notado en el funcionariado en estos últimos tiempos, es que antes todos los ordenadores se apagaban por las noches, mientras que ahora no todos. Lo cual no es una varita mágica, pero entienden que quizá una de esas cosas que suma a la prevención. Según documentación municipal, de hecho, el ataque se registró el domingo 24 de agosto a las 1:50 de la madrugada —algo común, según expertos del sector, en estos ataques, fin de semana y de noche o madrugada—. Se infectaron 52 ordenadores con el ciberataque, y que como cortafuegos implicó el apagado preventivo de 1.800 dispositivos que ahora se intenta formatear.
Además de esto, como contó este diario, algunos funcionarios trabajan con VPN, es decir, en remoto desde casa con la red municipal. Sin embargo, algunas fuentes apuntan a que ya no se estaba pidiendo un doble check. Mientras que antes hacía falta un código que se enviaba al móvil de la persona para autorizar la conexión remota, ahora ya no se realiza. Mientras que antes ese código se facilitaba solo en contadas ocasiones, según fuentes conocedoras de la situación. Y también se apunta a que en etapas anteriores se hacían copias de seguridad diarias o semanales con la documentación realizada, y cada seis meses este volumen de información se llevaba a una nube externa. Algo que también se ha dejado de hacer con esa frecuencia. Estas fuentes indican que la última copia podría haber sido de hace meses. Y que por último, también se realizan con menor frecuencia reuniones del comité técnico de ciberseguridad.
Las dudas con la nube externa
Por otra parte, según ha podido saber este medio, el Ayuntamiento adjudicó el año pasado a T-Systems Iberia a través de un negociado sin publicidad (por ser quien ya prestaba este servicio), el servicio de mantenimiento de la plataforma de administración electrónica. Es la compañía que se encarga de proveer la plataforma TAO, con la cual se gestiona la administración electrónica. Sin embargo, aunque el Consistorio, a tenor del pliego de condiciones, establecía que el servicio se debía prestar en modalidad Saas, es decir, en una nube ajena, finalmente optó por no hacerlo. Con esa modalidad Saas, los usuarios, en este caso el Ayuntamiento, acceden a aplicaciones de software a través de Internet, es decir, de un tercero, en lugar de instalarlas localmente.
Este formato implicaba que el Ayuntamiento no se encargaría de la administración, mantenimiento, configuración, etc., del software y hardware de las aplicaciones informáticas. Sin embargo, a pesar del pliego, como ha podido saber Elche Plaza, el Consistorio tiene instalada una versión de TAO en sus servidores, y no en la nube externa que también ofrece la empresa. Lo cual sí había planteado en el pliego, pero finalmente no ha ejecutado. Por eso, al estar la administración electrónica alojada en los sistemas municipales, con el ciberataque, esta ha quedado en fuera de juego. Y por lo pronto, toda la documentación que ahora se está generando físicamente, se tendrá que trasladar al formato digital en cuanto se recupere la normalidad. Lo que aún tardará en llegar, y los problemas son de diferente índole. Estos días atrás, el mencionado programa AS/400, con el que se está trabajando para gestión diaria, habría estado dejando de funcionar en algunos departamentos según el día, por lo que el trabajo diario del funcionariado está siendo harto difícil.
Críticas internas en la gestión del área
Asimismo, y vinculado a los cambios de jefatura, el mismo ha venido generando tensiones internas. Este mismo año, hace meses, desde CCOO se criticó internamente la reorganización que se estaba realizando en el servicio de modernización y desarrollo tecnológico, apuntando que en lugar de una mejor planificación y estructura para optimizar recursos, se calificaba como "desastre generalizado" y una "huida en desbandada de buena parte del personal adscrito a ese departamento". Con el cambio añadían que "más de la mitad de la plantilla fija de técnicos/as del departamento de modernización y desarrollo tecnológico se han dado de baja porque no soportan las formas en que se está dirigiendo desde que se tomó la decisión política de apartar de la jefatura de servicio al anterior técnico jefe".
Si esto ha podido afectar o no al impacto del ciberataque, por lo pronto el lunes el sindicato se reunirá con Recursos Humanos para conocer soluciones, si se cumplió el protocolo existente, horas extra realizadas, qué medios se están destinando... Por tanto, si la situación ya generaba ciertas tensiones en el departamento de Telecomunicaciones e Informática, esto ha echado más leña al fuego. Por último, también hay quien cuestiona por qué si el ciberataque se registró en la madrugada del domingo, pero no saltaron las alarmas hasta pasadas las 8 del lunes —que es lo que se ha dicho oficialmente—, no se ordenó apagar los ordenadores hasta las 10 horas, aunque el daño ya estuviera hecho.
Los precedentes de Sindicatura
Por último, aunque estos años se ha estado invirtiendo en general bastante en mejora de estos sistemas para prevenir ciberataques, y la administración ilicitana no ha sido una excepción, incluso con fondos europeos Next Generation, hay que recordar que este mismo año, en su informe, la Sindicatura de Comptes advertía que los controles básicos de ciberseguridad del Ayuntamiento de Elche son insuficientes, e instaba a a reforzar este ámbito con más personal, viendo la situación del Consistorio a finales de 2023, para poder alcanzar los niveles exigidos por el Esquema Nacional de Seguridad.
A fecha del informe, la Sindicatura consideraba que el Ayuntamiento ha alcanzado la "excelencia tecnológica" en muchos procesos técnicos de seguridad, aunque no se consideran plenamente consolidados "por la excesiva dependencia de determinadas personas clave que, aunque con las competencias y motivación adecuada, concentran excesivas funciones, por lo que no es asimilable a un proceso sistemático y formalizado". En cualquier caso, y a pesar de que por ahora la información sobre la situación se suministra a cuentagotas, obliga a replantear muchas cuestiones en esta materia cada vez más relevante.
