La Agencia de Protección de Datos da por archivada la investigación por este delito informático
La Agencia de Protección de Datos ha archivado la investigación del Ciberataque sufrido por el Ayuntamiento de Castelló entre los días 29 y 30 de marzo de 2021. A partir de este momento, el ayuntamiento comunicará a las 3.733 personas afectadas por la filtración de sus datos personales, las posibles consecuencias y riesgos a los que se encuentran expuestos por este delito informático, como la divulgación a terceros o su difusión, el enriquecimiento de bases de datos ajenas al Ayuntamiento que podrían utilizarlos con fines ilícitos.
Esperanza Molina/ Castellón Información
Durante los días 29 y 30 de marzo de 2021 el Ayuntamiento de Castelló sufrió un ciberataque a su sistema informático. Eran momentos complicados para todos los ciudadanos, ya que la pandemia de la Covid aportaba sus cifras más funestas y prácticamente todos los trámites se realizaban con cita previa o vía online.
El ciberataque bloqueó completamente toda la red informática, página web y los portales de gestión tributaria o de gestión administrativa. Dejaron de funcionar tanto la web como los sistemas de gestión on-line. Hubo que desinfectar ordenador a ordenador. No funcionaban tampoco los sistemas de redes municipales ni los correos electrónicos.
Según el diagnóstico que re realizó, el tipo de ataque detectado fue producido por un ‘ransomware’, que consiste, básicamente, en un virus que encripta toda la información del sistema, bloquea el acceso y solicita un rescate para poder liberarlo.
Tras la infección inicial el virus intenta propagarse a todos los sistemas que están conectados al núcleo principal. Dicho de otra manera, dejó de funcionar todo y todo cuanto estaba conectado a ese sistema central y hubo que tomar decisiones para poder ampliar los plazos administrativos en cuestiones de subvenciones, ayudas o concursos sujetos a la tramitación por vía electrónica.
El Ayuntamiento de Castelló notificó el incidente a la Agencia Española de Protección de Datos (AEPD) y lo denunció ante la Policía Nacional (con posteriores ampliaciones) y ante el Centro Criptológico Nacional (CNN), dependiente del Centro Nacional de Inteligencia (CNI).
Mientras se analizaba el sistema informático para averiguar qué datos habían podido robar los piratas informáticos, se activaban también las copias de seguridad del sistema.
Datos personales de 3.733 personas afectados
Sin embargo, muchos de los datos internos de la gestión municipal fueron filtrados a la ‘Internet profunda’ y con ello muchos datos personales de miles de ciudadanos usuarios de la web municipal.
El equipo de gobierno convocaba de forma urgente una reunión extraordinaria de la Junta de Portavoces para informarles sobre el ciberataque de Castelló.
Según el comunicado remitido a los medios de comunicación, La Agencia Española de Protección de Datos ha completado y archivado la investigación sobre este Ciberataque.
Ahora bien, se tiene constancia de que a través del ataque informático han podido filtrarse los datos personales de 3.733 personas que se encontraban en las bases de datos del Ayuntamiento de Castelló. Y eso no es ninguna broma. Las personas cuyos datos se han filtrado pueden estar expuestos a una serie de riesgos como podría ser, que sean utilizados de forma indiscriminada e incluso con fines ilícitos.
Por esta razón, explicaba el comunicado municipal, el Ayuntamiento de Castelló establecerá una comunicación individualizada con aquellas personas resultaron afectadas por el ataque informático.
El Ayuntamiento de Castelló remitirá a partir de mañana 3.733 cartas informativas a los vecinos en las que se indica que, tras el análisis de la información ex filtrada, se ha detectado que constan datos de carácter personal. En la misiva se informa de los posibles riesgos que podría acarrear la ex filtración de datos y se informa a los afectados que pueden obtener más información al respecto, bien con la presentación de una solicitud dirigida al ayuntamiento, de manera presencial o a través de la sede electrónica (https://sede.castello.es/), o bien mediante contacto con la dirección de correo dpd@castello.es.
Según ha manifestado la concejal Mónica Barabás, el Ayuntamiento ya notificó anteriormente de manera individualizada a personas afectadas por la exfiltración de datos de carácter especialmente sensible y tomó medidas específicas para reducir los posibles perjuicios.
Además, tal y como recoge el Reglamento General de Protección de Datos, el Ayuntamiento ha realizado una comunicación general a través de la página web municipal con el objetivo de informar al mayor número posible de personas, ya que no toda la información comprometida a causa del ciberataque permite la identificación personal del posible afectado o afectada tras la categorización de la información exfiltrada.
También se ha procedido a notificar mediante comunicación interna a trabajadores y trabajadoras municipales afectados por el ciberataque.
¿Se realizaron compras privadas en internet a través del sistema municipal?
En la Junta de Portavoces Extraordinaria, también se ha informado a todos los grupos, que la normativa de uso del sistema informático municipal va a ser más rigurosa. Y es que habría sospechas de que una de las causas que dieron entrada al virus en el sistema informático, pudo ser el uso de sus terminales para realizar compras en página de internet.
Como sabrá el lector, no todas las páginas web en las que se puede comprar o vender son seguras. Hay casos en las que se ponen en circulación portales fraudulentos que persiguen hacerse con los datos privados del usuario y también del sistema que utilizan para acceder a ellos.
El comunicado municipal también ha realizado un resumen del ataque y del proceso de restauración del sistema municipal
Proceso de restauración
“El Ayuntamiento sufrió un ataque informático entre los días 29 y 30 de marzo del pasado año que afectó a la infraestructura y equipos informáticos municipales, así como a las aplicaciones y servicios informáticos que funcionan a través de redes y, en general, a información obrante en los sistemas municipales de información y comunicaciones. Pese a la agresividad de la intrusión, dicha cantidad de información únicamente supuso el 0,21% de la totalidad de la información almacenada en la infraestructura municipal. Además, un mes después del ataque se pudo recuperar el 99% de los servicios informáticos, alcanzando la restauración total el pasado 3 de noviembre.
En este tiempo, se han restaurado nueve servidores, 137 servidores virtuales, y se han formateado, restaurado y actualizado 432 ordenadores personales, entre otras tareas de restablecimiento como nuevas altas de 1.362 usuarios TIC del Ayuntamiento. También se han adoptado más medidas de refuerzo de la seguridad y de protección de la infraestructura. Asimismo, durante este periodo se ha estado realizando un examen pormenorizado de la información exfiltrada de cara a la identificación de las personas afectadas para proceder a la notificación individualizada.
Además, el Ayuntamiento de Castelló ha contratado un servicio de vigilancia digital que incluye la monitorización de las publicaciones en internet, ‘dark web’ (Internet profunda) y otras fuentes abiertas con la finalidad, en su caso, de poder adoptar con carácter inmediato medidas adicionales de protección de las personas afectadas en el supuesto de que se detecte cualquier tratamiento de los datos publicados ilícitamente.
Archivo de la AEPD
Barabás también ha confirmado el archivo de actuaciones por parte de la AEPD el pasado 26 de julio de 2021 al concluir que el Ayuntamiento, “con anterioridad a producirse la brecha (de seguridad), disponía de las medidas de seguridad organizativas preventivas y razonables para evitar este tipo de incidencias”. La resolución de la AEPD también destaca “la rápida actuación del Ayuntamiento desde el mismo momento en que tuvo conocimiento de los hechos, adoptando una actitud proactiva en su resolución”, así como las “nuevas medidas implementadas en orden a prevenir posibles ataques futuros”.
Por todo ello, la AEPD concluye que “se ha acreditado que la actuación del Ayuntamiento, como entidad responsable del tratamiento, ha sido acorde con la normativa sobre protección de datos personales”.