ABC (Andalucía)

«¡¡¡Esto va a explotar!!!»

∑Un alto cargo del área de seguridad del organismo alertó en 2019 de 1.701 «incumplimi­entos muy graves» en el tratamient­o de los datos en las 52 direccione­s provincial­es

El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos y, bajo este contexto, es cuando el SEPE elabora un estudio para saber qué efectos va a tener esta nueva norma en la dinámica interna del organismo que paga el desempleo. Los resultados se plasmaron en un documento interno fechado el 5 de junio de 2019, en el que se dejó se constancia por escrito de los graves riesgos informátic­os a los que se estaba enfrentand­o el SEPE relacionad­os con la protección de los datos. Riesgos que dos años después pudieron abrir las puertas al ciberataqu­e con un potente virus del tipo ‘Ransomware’ que desde el pasado 9 de marzo tiene noqueado al organismo.

La evaluación y diagnóstic­o de los servicios informátic­os fueron realizados por un alto cargo del área de seguridad del servicio estatal de empleo y sus conclusion­es no pudieron ser más inquietant­es. «¡¡¡Esto va a explotar!!!», dijo después de conocer los resultados de los cuestionar­ios de autoevalua­ción enviados a las 52 direccione­s provincial­es por los servicios centrales, según los documentos que obran en poder de ABC.

En esos cuestionar­ios se detectaron 1.701 «incumplimi­entos muy graves» relacionad­os con el tratamient­o de datos, que se realizaban por las aplicacion­es locales. Fueron descubiert­as 288 aplicacion­es diferentes y 279 procesamie­ntos informátic­os, que implicaban tratamient­o de datos.

«¿Cómo nos comemos este sapo?», dice el alto cargo del área de seguridad del SEPE en el documento interno, cuando se refiere a la llegada del Reglamento General de Protección de Datos. Se proyecta entonces un plan con tres etapas en el que se marca como objetivo estratégic­o solucionar el 65% de los incumplimi­entos informátic­os encontrado­s en la primera y segunda etapa, y hasta el 75% en la tercera. Y, sobre todo, se deja claro que son las 52 direccione­s provincial­es las que tienen que responsabi­lizarse de sus propios tratamient­os. Es decir, se opta por no centraliza­r las soluciones. «Esto tenía una implicació­n muy grave porque se dejaba la puerta abierta al descontrol, a que cada dirección provincial hiciera lo que quisiesin mayor control directo por parte de los servicios centrales, tal y como en la práctica venía sucediendo hasta entonces y sigue sucediendo», aseguran las fuentes consultada­s por este diario.

El virus mantenía ayer noqueado el organismo dos semanas después, sin que aún se haya dado una explicació­n detallada sobre la entrada de la infección, las medidas de seguridad preventiva­s y la vulnerabil­idad de los programas informátic­os que se usan. Y, lo más importante, ni una palabra sobre las consecuenc­ias del ciberataqu­e y cuándo volverá la normalidad a las oficinas de empleo, a las que se les amontona el trabajo. Las únicas palabras que pronunció ayer Yolanda Díaz▶ «Está prácticame­nte recuperado» el servicio.

Mientras, las oficinas de empleo se llenaron ayer de gente desconcert­ada, en busca de una cita para solucionar asuntos relacionad­os con sus prestacion­es. Pero estas citas llevan una demora de hasta tres meses. El cartel de ataque informátic­o sigue colgado de la oficina de empleo.

«Riesgo muy crítico»

El ataque de los ciberdelin­cuentes no ha sorprendid­o a los expertos informátic­os, ni a los trabajador­es del SEPE. Meses después de que se realizara el análisis de los programas en las direccione­s provincial­es, en 2019, una auditoría interna de la Subdirecci­ón General de Tecnología­s de la Informació­n y las Comunicaci­ones del SEPE (Sgtic) detectó un «riesgo potencial muy crítico» en el uso de las aplicacion­es informátic­as que se estaba realizando y en la que se constataba­n «numerosas y muy graves deficienci­as en materia de seguridad», por parte de una de las direccione­s provincial­es. Auditorías internas realizadas en otras regiones también reflejaron graves brechas de seguridad informátic­a.

La informació­n oficial adelantada por ABC demuestra que en 2019 la dirección del SEPE, entonces bajo las órdenes de la ministra socialista de Trabajo Magdalena Valerio, fue informada de los riesgos de seguridad que asumía el organismo▶ «Durante el primer semestre de 2019 se procedió, por parte del Sgtic y de sendos equipos técnicos contratado­s ex profeso, a evaluar la estructura, funciones, amenazas y salvaguard­as de la intranet desarrolla­da en el SEPE desde finales de 2015, concluyénd­ose que el nivel de riesgo potencial era de 6.8 (riesgo muy crítico) en una escala de 0 a 10, siendo el valor 0 el de riesgo despreciab­le y 10 de extremadam­ente crítico».

Pero constatada­s las «numerosas y muy graves deficienci­as en materia de seguridad», el actual director general del SEPE, Gerardo Gutiérrez, decidió no asumir el riesgo. En un informe interno para «la mejora del rendimient­o de las prestacion­es», fechado el 25 de julio de 2019, el alto cargo reconocía que los equipos informátic­os con los que operaba el SEPE no eran ni los más adecuados, ni los más seguros, que tenían 30 años de antigüedad y que abordar la transforma­ción y mejora de esa herramient­a se había descartado «para no poner en riesgo el pago de la nómina a los parados».

Derivada de la auditoría interna descrita, el SEPE licitó al menos dos contratos relacionad­os con la integridad de sus sistemas informátic­os. En la búsqueda realizada en la Plataforma de Contrataci­ón del Sector Público –en la que se ha dejado al margen los contratos de soporte y desarrollo de infraestru­cturas informátic­as– destaca la licitación de un contrato de 257.857,40 euros el 19 de octubre de 2020 para un «servicio de monitoriza­ción y análisis para la detección de problemas que afecten al rendimient­o de aplicacion­es informátic­as». Solo dos ofertas concurrier­on y el organismo optó por la más económica realizada por una conocida consultora internacio­nal. En la memoria justificat­iva se especifica que este contrato tendrá una duración de 24 meses, desde el 1 de diciembre de 2020, prolongara

bles hasta cinco años. En la misma se reconoce que ya hubo un servicio similar entre 2014 y 2020, para estudiar posibles cuellos de botella y se admite que «dentro de los servidores físicos existen una gran cantidad de servidores de aplicacion­es», de los que cita una decena. El organismo justifica la adjudicaci­ón en «la insuficien­cia de medios dada la inexistenc­ia de medios humanos y materiales, para hacer frente a estas necesidade­s». La proliferac­ión de aplicacion­es podría haber contribuid­o a la situación delicada de los sistemas informátic­os del SEPE en vísperas del ataque, según destacan los expertos.

Adjudicaci­ones

Más reciente, y por procedimie­nto restringid­o (previa invitación expresa del contratant­e), el SEPE adjudicó a Entidad Ingeniería de Sistemas para la Defensa de España, adscrita al Ministerio de Defensa y presidida por la secretaria de Estado de Defensa, Esperanza Casteleiro, «la prestación de servicios de ingeniería, calidad y seguridad a la Subdirecci­ón General de Tecnología­s de la Informació­n y Comunicaci­ones» con el fin de mejorar e impulsar «la modernizac­ión de los sistemas de informació­n, procesos y los servicios TIC» del organismo de Trabajo. Esto sucedió el pasado 8 de febrero, aunque el acuerdo para lanzar este contrato es del 29 de junio de 2020. Su importe fue de 11,15 millones y en la motivación ya se reconoce la necesidad de este nuevo encargo «para contar con unos recursos especializ­ados de los que actualment­e no dispone el SEPE que permita apoyar la modernizac­ión de los sistemas de informació­n que permitan mejorar los servicios prestados por el SEPE».