La ciberseguridad se ha convertido en uno de los mayores desafíos de la era digital. Las instituciones públicas, como el Ayuntamiento de Sevilla, no están exentas de ser blanco de ciberataques y este reciente incidente pone de manifiesto la necesidad apremiante de mejorar las prácticas de seguridad en estas entidades. En este sentido, las malas prácticas de seguridad en las instituciones públicas españolas, son un campo abonado para el ransomware, el secuestro digital, que es la modalidad de ataque más rentable para los delincuentes; consiste en acceder a la red de alguna institución y encriptar todos los archivos, pidiendo un rescate para entregar la contraseña que permita la desencriptación y la vuelta al funcoinamiento normal del sistema.
Lockbit, un destacado conglomerado de hackers con sede en Holanda y presunta asociación con Rusia, exige un pago de 1,5 millones de dólares para evitar daños que podrían ascender a cinco millones. Sin embargo, el Ayuntamiento de Sevilla se mantiene firme en su decisión de no ceder al chantaje, y con razón.
Primero, es importante destacar que ceder a las demandas de los ciberdelincuentes no garantiza la recuperación de datos ni la seguridad a largo plazo. Los expertos han cuestionado durante años la efectividad de pagar rescates, ya que en muchos casos los datos nunca son devueltos o se utilizan para futuros ataques. Segundo, los piratas informáticos a menudo ejecutan un «ataque trampa» después del pago inicial, lo que aumenta los riesgos para las instituciones públicas. Tercero, el Ayuntamiento de Sevilla ya había estado en el foco de ataques previos, lo que lo hace aún más atractivo para las bandas de criminales informáticos.
El ciberataque al Ayuntamiento de Sevilla se originó en un ordenador de la Policía Local, lo que más que plantear interrogantes muestra a las claras la indolencia de los funcionarios (cuando no su simple y total ignorancia o su torpeza ¡o las dos, que es lo más normal!) sobre la seguridad de las redes de las instituciones públicas españolas. Los hackers lograron acceso a la red municipal a través de la VPN del consistorio, la cual permite a los funcionarios trabajar de forma remota. La captura de las claves de usuario y el acceso a los sistemas demuestran la vulnerabilidad de las infraestructuras informáticas públicas y muestra una vez más que se debe tratar a los funcionarios que usan esos sistemas como lo que realmente son: unos incompetentes a los que les encanta que les bloqueen los ordenadores para no tener que hacer como si trabajaran.
Aunque el Ayuntamiento de Sevilla asegura que la barrera de ciberseguridad no se rompió, el acceso de los piratas informáticos a la red y la encriptación de servidores antiguos muestran que existen problemas de seguridad que deben abordarse con urgencia. Aunque no se haya producido una filtración de datos de los ciudadanos hasta el momento, el incidente pone de manifiesto el riesgo constante al que están expuestos los datos sensibles en manos de los funcionarios públicos.
El ciberataque ha paralizado las operaciones de casi 5,000 trabajadores municipales y ha afectado gravemente la capacidad de realizar trámites y servicios digitales. Esto demuestra la importancia de contar con sistemas de respaldo y recuperación en caso de incidentes cibernéticos. El enfoque del Ayuntamiento de Sevilla en «saber qué ha pasado para que no vuelva a ocurrir» es loable pero también se necesita una acción inmediata para restablecer los servicios esenciales para los ciudadanos.
Es preocupante que este sea el tercer ataque que sufre el Ayuntamiento de Sevilla en los últimos años. En septiembre de 2021, un grupo de piratas logró apoderarse de un millón de euros de las arcas municipales mediante un astuto ataque conocido como «Man in the Middle». Este ataque implicó la suplantación de la identidad de la empresa adjudicataria para cobrar por un servicio que no se había prestado. Aunque se tomaron medidas para reforzar la ciberseguridad, parece que no fueron suficientes y no lo van a ser mientras se siga confiando en los conocimientos informáticos de los funcionarios y en que pongan el más mínimo interés en mantener la inviolabilidad del sistema.