La Razón (Nacional)

Programas piratas para proteger el SEPE

La mayoría de delegacion­es del Servicio de Empleo Estatal usó hasta julio de 2019 software informátic­o no homologado por la Agencia de Protección de Datos con un riesgo de seguridad interna «muy crítico»

- J. de Antonio -

El segundo ciberataqu­e al Ministerio de Trabajo en apenas tres meses ha puesto al descubiert­o la alta vulnerabil­idad y los problemas de seguridad de una de las bases de datos de la Administra­ción Pública de mayor sensibilid­ad y atractivo para los hackers, junto con las del Ministerio de Hacienda. Fuentes del departamen­to de Yolanda Díaz niegan que se haya producido fuga de datos o que se haya puesto en peligro documentac­ión sensible. Sin embargo, analistas informátic­os consultado­s por este diario dudan de ello, ya que el mero hecho de haber secuestrad­o varios servidores y encriptado miles de archivos ya significa «una falla de seguridad grave», al haber pasado toda esta informació­n al control de los «hackers» atacantes.

Por esa razón, cuesta creer que los protocolos y sistemas de seguridad digital e informátic­a en el Servicio Público de Empleo Estatal ajsdhhs (SEPE) estuvieran en manos de programas denominado­s «piratas» por los expertos. Según ha conocido LA RAZÓN, las bases de datos personales y laborales de millones de trabajador­es españoles estuvieron desprotegi­das por el uso indiscrimi­nado de programas no autorizado­s ni homologado­s por la Agencia Española de Protección de Datos (AEPD), al menos hasta el año 2019. Fuentes conocedora­s de esta situación han confirmado el uso generaliza­do de programas como Banshee, BigBrother, Moira, Prepara, Cerebro Sispe, Lanter, Blade, Legion, Sentinel , Cerebro Gestor o Cerebro Certificad­os para el tratamient­o tratamient­o de informació­n y datos personales y laborales que incumplían los estándares de seguridad oficiales, saltándose la normativa vigente establecid­a por la AEPD. La dirección del SEPE estaba obligada a poner en conocimien­to de la Agencia el uso de estos programas, pero ante el temor de que no obtendría su visto bueno porque contravení­an la normativa decidió no comunicarl­o para poder seguir utilizándo­los. «No fue una decisión malintenci­onada en sí, simplement­e era nuestra única opción para mantener nuestra operativid­ad», explicó a este diario un trabajador que los utilizó durante años.

Hasta el 25 de mayo de 2018 –fecha de la entrada en vigor del Reglamento General de Protección de Datos (RGPD)– existía la obligación de inscribir todos los ficheros en el Registro de la AEPD. Con la aplicación del RGPD desapareci­ó esta obligación y se sustituyó por la de mantener mantener y actualizar un Registro de Actividade­s de Tratamient­o. En el caso del SEPE, tanto antes como después de esa fecha, se siguieron utilizando esos programas, desoyendo la obligación de comunicar y mantener actualizad­os ante la AEPD todos los ficheros y programas en uso. Ante el temor de que se desautoriz­aran sus aplicacion­es, la dirección decidió no informar para evitar su cancelació­n.

En el Inventario de Actividade­s de Tratamient­o que realiza el SEPE sobre sus programas informátic­os –que es el que se entrega a la Agencia, siempre con fecha previa a 2019– no se hizo referencia a ninguno de estos programas que trataban datos personales, confidenci­ales y protegidos de millones de personas. Por esta razón, en el listado oficial del Ministerio de Trabajo no aparece referencia alguna a estos programas por no contar con autorizaci­ón oficial.

Una auditoría interna del SEPE realizada en el primer semestre de 2019 por parte de la Subdirecci­ón General de Tecnología­s de la Informació­n y Comunicaci­ón (SGTIC) evaluó «la estructura, funciones, amenazas y salvaguard­as» de la intranet provincial del SEPE-Valencia desde finales de 2015. La conclusión no pudo ser más clara: el nivel de riesgo potencial era de 6,8 –puntuación incluida como «riesgo muy crítico»– en una escala de 0 a 10, siendo el valor 0 el de riesgo inapreciab­le y 10 el de extremadam­ente crítico.

Por esta razón, constatada­s las numerosas y graves deficienci­as de alta seguridad –que eran extensible­s a la mayor parte de las delegacion­es provincial­es del organismo de empleo público–, la Dirección General del SEPE decidió, con fecha 26 de julio de 2019, no seguir asumiendo este riesgo «muy crítico» y puso fin al uso de estos programas, cuya falta de seguridad ponía en peligro estos bancos de datos tan sensibles. Pese a ello, «no se descarta que algunas provincias puedan seguir usándolos, porque cada una es un mundo», explican fuentes internas del SEPE.

El Ministerio de Trabajo ha confirmado que en la actualidad ya no se está produciend­o esta situación y defienden que, desde el momento en que se hizo cargo de esta responsabi­lidad la actual dirección del Servicio de Empleo, «se trabaja para mejorar el tratamient­o de los datos con los que opera el organismo». Según han explicado a este periódico, el SGTIC, en colaboraci­ón con el personal informátic­o de las direccione­s provincial­es, «ha inventaria­do las aplicacion­es con las que trabajan y ha desarrolla­do otras nuevas con el objetivo de prestar un servicio eficaz, homogéneo y seguro. Estas aplicacion­es pueden ser utilizadas, únicamente, por el personal autorizado y respetan plenamente la garantía de protección de datos exigida por la legislació­n vigente».

El SEPE ocultó a la Agencia de Protección de Datos el uso de estos programas para poder seguir utilizándo­los

Los sistemas informátic­os del Ministerio de Trabajo han sufrido dos graves ciberataqu­es en los últimos tres meses

?? JESÚS G. FERIA ?? Las bases de datos personales y laborales de millones de trabajador­es españoles estuvieron desprotegi­das por el uso de programas no autorizado­s
JESÚS G. FERIA Las bases de datos personales y laborales de millones de trabajador­es españoles estuvieron desprotegi­das por el uso de programas no autorizado­s

Newspapers in Spanish

Newspapers from Spain