El Centro Criptológico Nacional, que depende de la agencia española de inteligencia, el CNI, ha tenido que intervenir en el Ayuntamiento de Jerez desde el pasado fin de semana, después de que un potente troyano —un ciberataque tipo ransomware con demanda de rescate en bitcoins— encriptase todos los archivos de la red informática municipal hace una semana. El Centro Criptológico ha lanzado una alerta nacional ante la peligrosidad de estos virus, que acecha sobre todo a las administraciones públicas.
La infección puede darse al abrir un archivo adjunto (en un formato tan común como el documento de texto) que cuenta con un código embebido. El script "inicia un proceso de conexión contra servidores y sistemas de comando y control existentes en internet que descargan un código dañino e infectan el sistema". "Una vez producida la infección, se lleva a cabo el cifrado del sistema, realizándose además otras acciones no autorizadas", explica el CCN del CNI en la alerta que ha emitido este mismo mes de octubre. Una vez los archivos han sido completamente cifrados generalmente llega la comunicación con el ciberdelincuente, que exige el pago de un rescate, generalmente mediante criptomonedas como los bitcoin. En el caso de Jerez, no ha trascendido la cantidad solicitada para desencriptar el sistema.
Lo que sí se sabe ya es que el Ayuntamiento de Jerez ya ha segurizado unos 400 equipos informáticos para la prestación del 90% de los servicios municipales en las próximas horas. Se trata de dispositivos instalados en dependencias de acceso y atención al público en diferentes edificios municipales, y corresponden a una primera fase de un proceso gradual que permitirá el restablecimiento completo del sistema informático tras sufrir el ciberataque hace ahora una semana.
En relación a informaciones recientes, el Ayuntamiento ha aclarado en una nota que comunicó el ciberataque al Consejo de Transparencia y Protección de Datos de Andalucía a pesar de no haberse producido ninguna violación de seguridad de datos personales de los ciudadanos. Asimismo, el Consistorio jerezano recuerda que el Centro Nacional de Inteligencia constató que no se había producido fuga de datos en la red municipal y que la información había estado en todo momento segura y protegida.
El equipo de ingenieros informáticos del Consistorio jerezano prosigue con los trabajos para subir los servicios a la red y recobrar lo antes posible la normalidad. Sobre este proceso, la teniente de alcaldesa, Laura Álvarez, subrayaba este pasado martes que la prioridad ahora es garantizar la total seguridad de la red y permitir el acceso a los servicios básicos, lamentando los perjuicios que este ciberataque ha podido ocasionar a la ciudadanía.
El Consejo de Transparencia y Protección de Datos de Andalucía ha señalado que, a raíz del ciberataque sufrido la pasada semana, se ha dirigido al Ayuntamiento a los efectos de recordarle que es la autoridad a la que debe notificar la posible violación de seguridad de datos personales. En una nota, ha recordado que el consejo, conforme a la Ley de Transparencia Pública de Andalucía, es la autoridad pública independiente de control en materia de protección de datos en la Comunidad Autónoma, habiendo asumido dicha competencia el pasado 1 de octubre.
En consecuencia, según señala, es el órgano supervisor de la aplicación del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos), que tiene por objeto la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de los datos personales.
En el articulado del citado reglamento se establece que, en caso de producirse una violación de la seguridad de los datos personales, debe notificarse la misma a la autoridad competente dentro de un plazo de 72 horas después de que el responsable del tratamiento haya tenido constancia de ella. A estos efectos, el Consejo dispone en su web (www.ctpdandalucia.es) de un formulario para facilitar la realización de esta notificación a los responsables, ha indicado.
Por otro lado, el consejo ha recordado al Ayuntamiento la obligatoria comunicación a la autoridad de control de la designación del Delegado de Protección de Datos y la difusión pública de sus datos de contacto. Asimismo, ha comunicado al Ayuntamiento que tanto el incumplimiento del deber de notificación a la autoridad de control como la falta de comunicación a la misma del nombramiento del Delegado de Protección de Datos son "infracciones" previstas en la Ley Orgánica de Protección de Datos Personales que están sujetas al régimen sancionador establecido al respecto.
Finalmente, ha trasladado al Ayuntamiento su "total disposición para aclarar cualquier aspecto relacionado con la notificación de la violación de seguridad y, en general, con el cumplimiento de la normativa reguladora de la protección de datos personales".
Comentarios