Segovia

La Diputación sube el gasto en ciberseguridad a casi un millón

D. A.
-

El plan de actualización de servicios informáticos que ultima la institución provincial le dota de unos niveles de seguridad que, según su presidente, Miguel Ángel de Vicente, «en otras circunstancias habrían sido impensables de aquí a un quinquenio»

Una empleada del departamento de Informática trabaja con un portátil durante el ciberataque de mayo de 2021, cuando hubo que apagar todos los ordenadores. - Foto: Rosa Blanco

Casi dos años después del ciberataque que colapsó la Diputación de Segovia, con todo su personal administrativo trabajando sin ordenadores por aquel suceso, incluso tirando de papel y boli, hasta conseguir recuperar algo de normalidad unas cuantas semanas después, el acelerón de las inversiones acometidas durante este mandato para prevenir que se repitan problemas semejantes ya ronda el millón de euros, si se incluye lo consignado en las cuentas de este ejercicio. «Cuando ya habíamos pasado las peores consecuencias del coronavirus, en mayo de 2021 nos tocó sufrir virus informáticos», recuerda el presidente de la institución provincial, Miguel Ángel de Vicente, en declaraciones a El Día. «Nada que no le haya pasado a más de 400 entidades e instituciones públicas y privadas de nuestro país, pero que al menos ha posibilitado que en poco tiempo nuestro nivel de ciberseguridad haya crecido exponencialmente», valora. 

«Eso no significa que estemos libres de que nos vuelva a pasar pero, asesorados por el Centro Criptológico Nacional, nos ha llevado a tomar medidas impulsando un plan de actualización de los servicios informáticos de la Diputación con un coste elevado, y nos está permitiendo trabajar con unos cánones de seguridad en el ámbito informático que, en otras circunstancias, probablemente habrían sido prácticamente impensables para nosotros de aquí a un quinquenio. Todo eso se ha adelantado, y a día de hoy estamos bastante actualizados», incide.

«También tengo que decir, por otra parte, que nuestros profesionales informáticos demostraron la capacidad que se les presuponía y que muchas veces no se tiene ocasión de demostrar salvo que ocurran situaciones como ésta; y agradecer al Centro Criptológico Nacional que en pocas horas se hicieran presentes para averiguar por dónde había entrado el virus, a través de qué equipo, y desde luego ha permitido que hoy ya trabajemos de otra manera». Pronto sin servidores propios, por ejemplo, ya que De Vicente admite que operaban con un sistema «un poco arcaico» para los tiempos que corren.

El diputado responsable del área informática, Jaime Pérez, matiza que la estrategia de mejora de la ciberseguridad de la Diputación ya se puso en marcha al comienzo de este mandato, en el verano de 2019, «pero es verdad que aquel ataque trastocó todo y a la vez fue un acicate para acelerar todo presupuestaria y técnicamente, porque desgraciadamente nadie está exento de que pasen estas cosas». 

«En el mundo hay cientos de miles de ataques cibernéticos a diario, una guerra cibernética con episodios de mayor o menor relevancia según los sitios donde se libre. Ministerios de muchos países atacados, oficinas, empresas del primer nivel atacadas, particulares... Se estima que el 80 por ciento de los ordenadores privados de las personas de cada casa están afectados por elementos dañinos que están latentes hasta que sucede algo concreto que les activa. Una fecha, la actualización de un programa u otro tipo de acciones, si es que no los activan ellos en remoto», afirma en alusión a «los malos», tal y como llaman «quienes saben de esto» a los ciberdelincuentes. 

Entre las medidas más recientes que ha adoptado la Diputación, Pérez destaca una solución de seguridad Endpoint: «Quiere decir que cada ordenador tiene instalado una especie de súper antivirus», resume, para intentar explicar al lego en la materia lo que supone la implementación de un paquete de herramientas que complementa el potencial de los antivirus y cortafuegos convencionales, orientado a limitar la vulnerabilidad que genera el trabajo en red y, especialmente, el uso de dispositivos externos que se conectan de forma remota. Detecta amenazas avanzadas y evita que se transmitan a los dispositivos conectados.

Asimismo, con fecha del pasado 27 de enero se formalizaba el acuerdo de adjudicación de un servicio de centro de operaciones de ciberseguridad para la Diputación y Prodestur (Organismo Autónomo para la Promoción y el Desarrollo Económico y Turístico de la Provincia) a la única empresa que se presentó al concurso, Ciencia e Ingeniería Económica y Social. «Nos va a aportar actuaciones de vigilancia continua, nos auditará para comprobar si tenemos vulnerabilidades, estará preparada para dar respuesta inmediata ante incidentes informáticos, asesoramiento para todo el cumplimiento legal y normativo del Esquema Nacional de Seguridad, y colaborará en la formación y concienciación tanto de nuestro personal técnico de informática y telecomunicaciones como del resto de empleados que trabajan con ordenadores», resume el diputado provincial. «Porque no podemos olvidar que los sistemas pueden ser vulnerables, por supuesto, pero al final es la persona la que normalmente puede llegar a cometer errores que permiten la entrada de un 'ransomware' o cualquier otro virus». El coste de este servicio, 78.399,17 euros al año.

Por otro lado, la Diputación tiene abierto actualmente otro concurso para contratar a una empresa que aloje en la nube sus servidores y aplicaciones, migrar allí también sus sistemas y dotarse de servicios de administración, soporte y mantenimiento de la infraestructura en estas nuevas circunstancias, monitorización de los sistemas, evolución, mejora y consultoría… «Con la migración del Centro de Procesamiento de Datos (CPD) del palacio provincial aumentamos la seguridad», explica Pérez, fundamentalmente, por no tener que depender de copias de seguridad en discos duros propios. «Luchamos contra la obsolescencia de maquinaria que con el tiempo tienes que cambiarla y es carísima, pero si lo tienes en la nube ya no la necesitas igual», al tiempo que la institución gana capacidad de almacenaje, ante la posibilidad de ampliar ese hueco en la nube para alojar archivos, en caso de ser necesario, «sin necesidad de adquirir nueva maquinaria». El valor estimado para este contrato asciende a 472.727,2 euros, pero repartido en dos años. 

Para este ejercicio, la Diputación ha consignado un presupuesto de 750.000 euros al área de Informática y Nuevas Tecnologías, «y una buena parte se lo lleva la ciberseguridad», incide. «El año pasado ya se invirtieron casi 100.000 euros en ella, el anterior fueron unos 200.000... y al final se llegan a unas cifras que rondan el millón de euros para conseguir unos desarrollos adecuados al día de hoy».

EL ATAQUE DE MAYO DE 2021. Lo que sufrió la Diputación en mayo fue un 'ransomware' o secuestro de datos, un ciberdelito por el que el criminal introduce un malware o programa malicioso en el sistema de su víctima a través de un email o alguna otra brecha de seguridad. Así encripta los datos de los discos duros (les cambia las claves de acceso) con idea de pedir posteriormente un rescate para liberarlos, si bien la institución provincial nunca entró en el detalle de confirmar que sucediera exactamente así en su caso.

De la noche a la mañana, el 23 de mayo de 2021, la Diputación se vio privada de cualquier servicio informático, lo cual es prácticamente todo en pleno siglo XXI. Con los ordenadores apagados por seguridad, sus empleados tuvieron que tirar de papel y boli, al estilo de otro tiempo. El colapso fue total, se paralizaron hasta los pagos a proveedores, y aunque poco a poco fue recuperando actividad y servicios, tardó más de un mes en alcanzar un mínimo de normalidad.

El riesgo de fuga de datos sensibles era evidente y la confirmación le llegó cinco meses largos después, el 10 de noviembre de 2021, día en que el grupo criminal decidió volcar en su 'dark web' (denominación que reciben los sitios de la Red que sólo son accesibles mediante un navegador especializado) la información robada a la Diputación, a la vez que la de otras muchas empresas e instituciones de medio mundo; de España y de otros países europeos, así como de Sudáfrica, México o EEUU. Desde ayuntamientos hasta colegios, pasando por diversas empresas públicas y privadas.

Casi dos años después, la Diputación sigue sin confirmar que se le pidiera un rescate y la manera en que lo gestionó, o dónde y cómo se produjo exactamente la brecha de seguridad: «Todo eso no lo podemos comentar. Se hicieron las investigaciones correspondientes por parte del Centro Criptológico Nacional y ellos transmitieron a los servicios técnicos y a presidencia de Diputación cuestiones que son tremendamente sensibles, porque la confidencialidad es obligada siempre en estos casos, y en esa pelea de información entre 'los malos' y 'los buenos', si nosotros estamos del lado de 'los buenos', tenemos que mantenernos en silencio», argumenta. Pero eso sí, tocó remitir miles de comunicaciones electrónicas a todos los afectados por la fuga y publicación de datos en la 'dark web'.

«De todo aquello nos queda el mal recuerdo, pero al final pudimos solucionarlo», valora, aunque el coste de reposición de todo el daño causado fue muy alto. No en vano, hubo que apagar todos los ordenadores de la Diputación para después ir procediendo poco a poco a hacer de nuevo primeras instalaciones, revisiones de antivirus… «De uno en uno, y son como 300, entre los de Segovia y los que tenemos repartidos por los pueblos», advierte Pérez. ¿Y cómo valoras el tiempo no trabajado por 300 funcionarios?, ¿o el retraso de varias semanas en expedientes?, ¿y la maquinaria dañada? El coste fue muy alto, pero de todo se sale», concluye.
ARCHIVADO EN: Diputación de Segovia, Ciberdelincuencia, Ciberataques, Ciberseguridad, Virus, Miguel Ángel de Vicente, Jaime Pérez, Informática, Segovia, Coronavirus, Palacio Provincial, Inversiones, Ciencia, Sudáfrica, Prodestur, Estados Unidos, España, Siglo XXI, México


PUNTO Y APARTE