El CNI urge a los ayuntamientos a blindarse frente a ciberataques contra sus estructuras

Los últimos episodios sufridos por la administración tienen un denominador común: los agresores buscaron sus vulnerabilidades y provocaron el colapso de sus estructuras. El más notorio -por sus consecuencias públicas- fue el ciberataque que sufrió el Servicio Público de Empleo Estatal (SEPE), pero la amenaza se cierne sobre todos los organismos públicos. Incluidos los ayuntamientos. Y el Centro Nacional de Inteligencia (CNI), a través del Centro Criptológico Nacional (CCN-Cert) les urge a blindarse para hacer frente a las agresiones externas.

Uno de los mantras sobre los que se sostiene la ciberseguridad es que la fortaleza de toda una estructura recae sobre su eslabón más débil. Un ataque dirigido a un punto crítico puede tener consecuencias fatales y rápidamente extenderse por otros ámbitos de la administración. Ese es el espíritu que sostiene la guía elaborada por este órgano del CNI: el blindaje digital de los ayuntamientos no es un éxito individual, sino colectivo. Incluso apunta a la "responsabilidad" que debe adquirir cada consistorio -independientemente de su tamaño- en el blindaje de sus sistemas.

“Aunque el nivel de amenaza varía según los ayuntamientos, todos ellos poseen información o infraestructura de interés para los ciberatacantes”, advierte el Prontuario de ciberseguridad para entidades locales, un informe que lleva el membrete de este órgano de los servicios de inteligencia encargado de la gestión de la ciberseguridad y de la Federación Española de Municipios y Provincias (FEMP). El documento advierte de la necesidad de “garantizar la protección de sus capacidades tecnológicas, la información tratada y los servicios prestados”.

La duda es el 'cuándo'

El documento no ofrece margen de duda: todas las estructuras digitales de los ayuntamientos, más todavía con el creciente uso de estos recursos, sufrirán antes o después una incidencia: “Los ayuntamientos deben considerar que se trata de ‘cuándo’ y no de ‘si’ se producirá un ciberataque”.

Es por eso que el CCN-Cert y la FEMP señalan la “responsabilidad” de todos los ayuntamientos, diputaciones y cabildos de “hacer mejor, más eficiente y más segura la Administración Digital de nuestras entidades locales”: “Todos deben revisar, actualizar y reforzar continuamente su enfoque de ciberseguridad”.

Asimismo, el documento incide en que un blindaje adecuado frente a estas amenazas es “crucial” para que los servicios mantengan su funcionamiento. Cabe recordar que, en el caso del SEPE, el incidente supuso severos retrasos en las gestiones de los ciudadanos, en un ámbito tan sensible como las prestaciones y la búsqueda de empleo.

El CCN-Cert y la FEMP también advierten del daño reputacional que un episodio en estos términos supone para el organismo afectado: “La ciberseguridad es vital para garantizar que los ciudadanos confíen en los Ayuntamientos cuando les remiten sus datos”.

De acuerdo a la información facilitada en el informe, los ciberdelincuentes emplean diversas herramientas para cumplir con sus objetivos, que en muchos casos es el beneficio económico: infección por malware, ransomware, phishing o suplantación de identidad. También agresiones por denegación de servicio o explotación de vulnerabilidades.

¿Y quién debe implementar y velar por el cumplimiento de las medidas de seguridad? La guía reparte responsabilidades entre todos los cargos electos, empezando por el alcalde hasta los concejales, e incluso el pleno y la junta de gobierno local. En el caso de los funcionarios, el secretario y el interventor o tesorero también tendría competencias en la materia,