Si un Hacker “secuestra” al Ayuntamiento ¿Debe pagar el rescate?
El pasado 19 de abril se publicaba en El País una noticia bajo el título “El Ayuntamiento de Rialp, víctima de un ataque informático con petición de rescate” en la que se daba cuenta de cómo un virus informático camuflado bajo la falsa apariencia de una factura adjunta a un correo electrónico secuestraba toda la información que almacenaba el sistema informático del Ayuntamiento, mediante un ataque cibernético que ha inhabilitaba el sistema por completo, circunstancia aprovechada por los hackers para exigir el pago de un rescate a cambio de liberar la información
El sistema era aparentemente sencillo, tras acceder a un correo trampa que se presentaba bajo un remite que anunciaba «Factura Carmen», se abría un documento adjunto que hacía desaparecer los filtros de seguridad e infectaba el sistema de inmediato, codificando todos los archivos de manera automática. Y es en ese punto cuando aparece el hacker que exige el pago de un rescate para liberar la información retenida como consecuencia del incidente de seguridad.
En pocas palabras: el ayuntamiento era víctima de un ransomware, también conocido como critpovirus. Según la Wikipedia, un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.
Ransomware y políticas de seguridad en la administración pública
¿Por qué sucede esto? El sector público debería estar preparado contra este tipo de ataques. Se supone que todas las Administraciones Públicas están sujetas al marco de seguridad electrónica diseñado por el Esquema Nacional de Seguridad, (ENS) aprobado por Real Decreto 3/2010, de 8 de enero, y previsto ahora en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen jurídico del Sector Público.
El ENS tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. El propio ENS impone a todas las organizaciones que desarrollen e implanten sistemas para el tratamiento de la información y las comunicaciones la obligación de realizar su propia gestión de riesgos.
Y ¿para qué debe asumir su gestión de riesgos la administración? En primer lugar, porque se trata de una obligación legal. Pero a efectos prácticos, porque la gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. Pero es una obligación que afecta no sólo a los ayuntamientos (los 8.125) sino también a todas las Entidades locales, las Comunidades Autónomas, y todo el aparato de la Administración General del Estado, y, al sector público en general.
Para evitar este tipo de sucesos, resulta fundamental haber aprobado y cumplir adecuadamente con las políticas en materia de seguridad. Entre otros mandatos, en su Anexo 5.8.1 “Protección del correo electrónico” el ENS establece la obligación de proteger a la organización frente a problemas que se materializan por medio del correo electrónico, en concreto:
1.º Correo no solicitado, en su expresión inglesa «spam».
2.º Programas dañinos, constituidos por virus, gusanos, troyanos, espías, u otros de naturaleza análoga.
3.º Código móvil de tipo «applet».
A la vez que recoge la obligación de establecer normas de uso del correo electrónico por parte del personal determinado, que deberán incluir actividades de concienciación y formación relativas al uso del correo electrónico. Es fundamental la política de comunicación interna para que todos los usuarios conozcan exactamente las posibilidades y límites de las herramientas tecnológicas en general, y los riesgos que se asumen en la actividad diaria, pequeños gestos que pueden acarrear grandes problemas.
Pero estos riesgos no se limitan al uso del correo electrónico, sino que alcanzan a la utilización de los dispositivos electrónicos, al acceso a internet, a los recursos de información, al teletrabajo, pero también a otros aspectos que nos pueden parecer menos peligrosos, pero que tienen una gran trascendencia, como son las políticas de firma electrónica.
¿Debe pagarse el rescate de los datos públicos?
Ese correo con el criptovirus no debería haber llegado a penetrar en la seguridad del Ayuntamiento, y, aun habiéndolo hecho, el respeto a la política de seguridad de protección del correo electrónico, no debería haber llevado a su apertura. La prueba está en que el correo, que también fue recibido por otros particulares y ayuntamientos, no llegó a ser descargado. .
Por eso, respondiendo a la pregunta formulada la respuesta es NO, no debe plantearse un escenario en el que una administración pública deba pagar el rescate por su información. El Ayuntamiento, la Comunidad, Delegación o cualquier organismo del sector público debe invertir sus recursos en dotarse de la adecuada política de seguridad, y en formar e informar a sus empleados públicos sobre dicha política de seguridad. En la noticia citada el problema se resolvió mediante el recurso a una empresa especializada que consiguió “liberar” los archivos encriptados, pero lo deseable es no llegar a este punto.
Porque en estos momentos (y desde hace ya unos cuantos años) todas las entidades del sector público deben contar ya con su política de seguridad adecuada al ENS, pues según la Disposición Transitoria si a los doce meses de la entrada en vigor del ENS hubiera circunstancias que hubieran impedido su plena aplicación, debería haberse dispuesto de un plan de adecuación que marcase los plazos de ejecución que, en ningún caso, podrían ser superiores a 48 meses desde la entrada en vigor. Un simple vistazo al calendario permite comprobar que el plazo está más que excedido, a pesar de lo cual el nivel de cumplimiento no es generalizado.
Y en parte es así porque tendemos a creer que todos los aspectos relativos a seguridad pero también a interoperabilidad no nos afectan, que son cosa de los “informáticos”, pero sus previsiones vertebran el funcionamiento de la administración y el procedimiento administrativo común, ahora ya sí electrónico. Un simple vistazo a la materia abordada por las Normas Técnicas (documento electrónico, digitalización de documentos, política de firma electrónica y de certificados de la administración, expediente electrónica y muchas más), así lo acredita.
Por eso, y más tras la entrada en vigor de la reforma de 2015, es el momento de alinear la dimensión tecnológica, con la jurídico-administrativa y con la documental (las 3 llaves/claves del procedimiento) en la gestión pública y en el funcionamiento de la administración. Sólo así conseguiremos evitar sucesos como el que daba título a la noticia.
NOTA: Para más información sobre el ENS resulta de utilidad la consulta del documento de Recomendación ENS. Preguntas frecuentes.