«¡¡¡Esto va a explotar!!!»
∑Un alto cargo del área de seguridad del organismo alertó en 2019 de 1.701 «incumplimientos muy graves» en el tratamiento de los datos en las 52 direcciones provinciales
El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos y, bajo este contexto, es cuando el SEPE elabora un estudio para saber qué efectos va a tener esta nueva norma en la dinámica interna del organismo que paga el desempleo. Los resultados se plasmaron en un documento interno fechado el 5 de junio de 2019, en el que se dejó se constancia por escrito de los graves riesgos informáticos a los que se estaba enfrentando el SEPE relacionados con la protección de los datos. Riesgos que dos años después pudieron abrir las puertas al ciberataque con un potente virus del tipo ‘Ransomware’ que desde el pasado 9 de marzo tiene noqueado al organismo.
La evaluación y diagnóstico de los servicios informáticos fueron realizados por un alto cargo del área de seguridad del servicio estatal de empleo y sus conclusiones no pudieron ser más inquietantes. «¡¡¡Esto va a explotar!!!», dijo después de conocer los resultados de los cuestionarios de autoevaluación enviados a las 52 direcciones provinciales por los servicios centrales, según los documentos que obran en poder de ABC.
En esos cuestionarios se detectaron 1.701 «incumplimientos muy graves» relacionados con el tratamiento de datos, que se realizaban por las aplicaciones locales. Fueron descubiertas 288 aplicaciones diferentes y 279 procesamientos informáticos, que implicaban tratamiento de datos.
«¿Cómo nos comemos este sapo?», dice el alto cargo del área de seguridad del SEPE en el documento interno, cuando se refiere a la llegada del Reglamento General de Protección de Datos. Se proyecta entonces un plan con tres etapas en el que se marca como objetivo estratégico solucionar el 65% de los incumplimientos informáticos encontrados en la primera y segunda etapa, y hasta el 75% en la tercera. Y, sobre todo, se deja claro que son las 52 direcciones provinciales las que tienen que responsabilizarse de sus propios tratamientos. Es decir, se opta por no centralizar las soluciones. «Esto tenía una implicación muy grave porque se dejaba la puerta abierta al descontrol, a que cada dirección provincial hiciera lo que quisiesin mayor control directo por parte de los servicios centrales, tal y como en la práctica venía sucediendo hasta entonces y sigue sucediendo», aseguran las fuentes consultadas por este diario.
El virus mantenía ayer noqueado el organismo dos semanas después, sin que aún se haya dado una explicación detallada sobre la entrada de la infección, las medidas de seguridad preventivas y la vulnerabilidad de los programas informáticos que se usan. Y, lo más importante, ni una palabra sobre las consecuencias del ciberataque y cuándo volverá la normalidad a las oficinas de empleo, a las que se les amontona el trabajo. Las únicas palabras que pronunció ayer Yolanda Díaz▶ «Está prácticamente recuperado» el servicio.
Mientras, las oficinas de empleo se llenaron ayer de gente desconcertada, en busca de una cita para solucionar asuntos relacionados con sus prestaciones. Pero estas citas llevan una demora de hasta tres meses. El cartel de ataque informático sigue colgado de la oficina de empleo.
«Riesgo muy crítico»
El ataque de los ciberdelincuentes no ha sorprendido a los expertos informáticos, ni a los trabajadores del SEPE. Meses después de que se realizara el análisis de los programas en las direcciones provinciales, en 2019, una auditoría interna de la Subdirección General de Tecnologías de la Información y las Comunicaciones del SEPE (Sgtic) detectó un «riesgo potencial muy crítico» en el uso de las aplicaciones informáticas que se estaba realizando y en la que se constataban «numerosas y muy graves deficiencias en materia de seguridad», por parte de una de las direcciones provinciales. Auditorías internas realizadas en otras regiones también reflejaron graves brechas de seguridad informática.
La información oficial adelantada por ABC demuestra que en 2019 la dirección del SEPE, entonces bajo las órdenes de la ministra socialista de Trabajo Magdalena Valerio, fue informada de los riesgos de seguridad que asumía el organismo▶ «Durante el primer semestre de 2019 se procedió, por parte del Sgtic y de sendos equipos técnicos contratados ex profeso, a evaluar la estructura, funciones, amenazas y salvaguardas de la intranet desarrollada en el SEPE desde finales de 2015, concluyéndose que el nivel de riesgo potencial era de 6.8 (riesgo muy crítico) en una escala de 0 a 10, siendo el valor 0 el de riesgo despreciable y 10 de extremadamente crítico».
Pero constatadas las «numerosas y muy graves deficiencias en materia de seguridad», el actual director general del SEPE, Gerardo Gutiérrez, decidió no asumir el riesgo. En un informe interno para «la mejora del rendimiento de las prestaciones», fechado el 25 de julio de 2019, el alto cargo reconocía que los equipos informáticos con los que operaba el SEPE no eran ni los más adecuados, ni los más seguros, que tenían 30 años de antigüedad y que abordar la transformación y mejora de esa herramienta se había descartado «para no poner en riesgo el pago de la nómina a los parados».
Derivada de la auditoría interna descrita, el SEPE licitó al menos dos contratos relacionados con la integridad de sus sistemas informáticos. En la búsqueda realizada en la Plataforma de Contratación del Sector Público –en la que se ha dejado al margen los contratos de soporte y desarrollo de infraestructuras informáticas– destaca la licitación de un contrato de 257.857,40 euros el 19 de octubre de 2020 para un «servicio de monitorización y análisis para la detección de problemas que afecten al rendimiento de aplicaciones informáticas». Solo dos ofertas concurrieron y el organismo optó por la más económica realizada por una conocida consultora internacional. En la memoria justificativa se especifica que este contrato tendrá una duración de 24 meses, desde el 1 de diciembre de 2020, prolongara
bles hasta cinco años. En la misma se reconoce que ya hubo un servicio similar entre 2014 y 2020, para estudiar posibles cuellos de botella y se admite que «dentro de los servidores físicos existen una gran cantidad de servidores de aplicaciones», de los que cita una decena. El organismo justifica la adjudicación en «la insuficiencia de medios dada la inexistencia de medios humanos y materiales, para hacer frente a estas necesidades». La proliferación de aplicaciones podría haber contribuido a la situación delicada de los sistemas informáticos del SEPE en vísperas del ataque, según destacan los expertos.
Adjudicaciones
Más reciente, y por procedimiento restringido (previa invitación expresa del contratante), el SEPE adjudicó a Entidad Ingeniería de Sistemas para la Defensa de España, adscrita al Ministerio de Defensa y presidida por la secretaria de Estado de Defensa, Esperanza Casteleiro, «la prestación de servicios de ingeniería, calidad y seguridad a la Subdirección General de Tecnologías de la Información y Comunicaciones» con el fin de mejorar e impulsar «la modernización de los sistemas de información, procesos y los servicios TIC» del organismo de Trabajo. Esto sucedió el pasado 8 de febrero, aunque el acuerdo para lanzar este contrato es del 29 de junio de 2020. Su importe fue de 11,15 millones y en la motivación ya se reconoce la necesidad de este nuevo encargo «para contar con unos recursos especializados de los que actualmente no dispone el SEPE que permita apoyar la modernización de los sistemas de información que permitan mejorar los servicios prestados por el SEPE».