Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Ciberataques a entidades locales

Que las entidades locales (ayuntamientos) son un objetivo prioritario para los ciberdelincuentes es una realidad incuestionable. Basta con revisar el listado de ciberataques que dejo enlazado aquí para dar cuenta de ello. 

El Centro Criptológico Nacional (CCN-CERT), dependiente del Centro Nacional de Inteligencia (CNI), consciente del problema, elaboró en abril de 2023 un guía sobre «Gestión de crisis para ciberincidentes en entidades locales» dirigida a los cargos y órganos directivos de entidades locales, ya sean cargos electos o de función pública (alcalde, presidente de diputación, teniente de alcalde, junta de gobierno local, concejales, responsable de comunicación, secretarios, interventores y tesoreros).

Su objetivo es contribuir a mejorar las capacidades de las entidades locales para responder ante un incidente de ciberseguridad relevante y de alto impacto, para gestionar una cibercrisis y volver a la normalidad con las menores consecuencias para las propias entidades, la ciudadanía y otros grupos de interés.

Amenazas reales y enfoque en la resiliencia

La guía empieza reconociendo que «las entidades locales son susceptibles de sufrir un ciberataque, no es cuestión de preguntarse si ocurrirá, sino de cuándo y de si, para entonces, estaremos suficientemente preparados para responder adecuada y organizadamente. No podemos confiarnos: los atacantes seguirán intentando romper las barreras de seguridad para sustraer datos, dañar los sistemas y/o bloquear la gestión administrativa y la prestación de los servicios a la ciudadanía».

Una entidad local resiliente debe asumir e implantar el siguiente ciclo: prevención, preparación, detección, respuesta, recuperación y aprendizaje. La guía se centra en la fase de respuesta, proponiendo un método estructurado para gestionar crisis cuando ya han ocurrido.

La guía se divide en dos partes: la primera propone un modelo básico de organización para gestionar un ciberincidente, y la segunda detalla un protocolo de actuación.

Modelo básico de organización. El Comité de Crisis

La guía recomienda que las acciones organizativas, estratégicas y de comunicación sean asumidas por la junta de gobierno, que actúa como núcleo del Comité de Crisis (CdC). Este se constituirá específicamente para cada crisis y se apoyará en dos equipos técnicos especializados, con asistencia del CCN-CERT para incidentes de nivel alto, muy alto o crítico:

El modelo se adaptará a las circunstancias propias de cada entidad como tamaño, capacidades y recursos. En ayuntamientos pequeños, el alcalde ejercerá las mencionadas funciones, con la asistencia de los equipos técnicos y el CCN-CERT.

Para ser eficientes, es esencial establecer un protocolo previo de respuesta a incidentes o de gestión de crisis general o específico, asignar roles permanentes (como presidencia, coordinación operativa, comunicación y jurídico) y mantener una tabla actualizada con correspondencias de roles, contactos de titulares y suplentes. Esta tabla debe ser pública y revisada periódicamente.

La guía detalla funciones específicas para órganos como alcalde (dirección), teniente de alcalde (sustitución y apoyo), concejales (continuidad de servicios), secretaría (asesoramiento legal), intervención (control financiero), responsable de TIC (enlace técnico), responsable de comunicación (gestión de mensajes) y delegado de protección de datos (notificación a la AEPD en 72 horas).

Modelo básico de gestión de incidentes

Los apartados 5 y siguientes desarrollan un modelo básico de gestión de incidentes, que de básico tiene poco. El esquema propuesto es el siguiente:

Se distinguen cuatro fases:

  1. Identificación, clasificación y evaluación.
  2. Activación del Comité de Crisis.
  3. Gestión y seguimiento de la cibercrisis.
  4. Cierre y desactivación del Comité de Crisis. 

Como en cualquier incidente de seguridad es importante realizar un análisis post-crisis basado en lecciones aprendidas, con correcciones y medidas de mejora para evitar incidentes similares.

Conclusión

La propuesta del CNI es sólida y práctica, pero la realidad en las Administraciones locales revela, a menudo, respuestas atropelladas e improvisadas.

Un mal ejemplo es el ciberataque ransomware Lockbit 3.0 que sufrió el Ayuntamiento de Cangas do Morrazo en mayo de 2023 que paralizó la actividad durante un mes y medio, afectando sistemas clave como bases de datos policiales. A pesar de las recomendaciones del INCIBE contra el pago de rescates, negociaron y pagaron la cantidad de 197.843 € en bitcoins a través de la empresa encargada del mantenimiento del sistema informático, lo que derivó en una investigación judicial por posibles delitos de malversación, prevaricación, daños informáticos y coacciones, implicando a la alcaldesa y al administrador de la empresa.

Implementar esta guía de forma proactiva podría mitigar tales impactos, especialmente ante el pronóstico de una oleada de ciberataques en los próximos años.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es