El Ayuntamiento de Algeciras se blinda ante miles de ciberataques
El Consistorio mantiene a salvo sus sistemas informáticos de delincuentes que usan servidores de Rusia y Vietnam para hacerse con los datos de los ciudadanos
El Ayuntamiento de Algeciras está siendo víctima desde hace meses de miles de ataques informáticos que intentan acceder a la ingente cantidad de datos de la ciudad y sus vecinos que gestiona la entidad local. Los ciberdelincuentes no han conseguido su objetivo, pero no cejan en su empeño de hacerse con las cuentas que almacena el Consistorio, que padece el mismo problema que otras muchas instituciones públicas y privadas: el aumento de la este tipo de delitos durante la pandemia.
De él han alertado todo tipo de organismos nacionales e internacionales, que han detectado un incremento de estos actos y una reorientación hacia las grandes organizaciones y administraciones. El problema ya se había dado antes de la llegada del coronavirus: el pasado mes de octubre, el Ayuntamiento de Jerez quedó completamente paralizado por un ciberataque. No fue ni mucho menos el único: el Centro Criptólogico Nacional alertó a finales de año de una campaña muy agresiva del troyano Emotet contra organismos públicos y empresas, que acababa con “un proceso de secuestro del sistema mediante el cifrado del contenido, el robo y exfiltración de contenido sensible o formando parte de una red de tipo botnet”.
En el caso del Ayuntamiento de Algeciras, explica el teniente de alcalde de Comercio, Industria, Informatica, Universidad y Mercados, Sergio Pelayo (Cs), los ataques –“miles”, remarca– han sido en su mayoría “por fuerza bruta”, es decir, con reiterados y masivos intentos que tratan de obtener los usuarios y contraseñas de los servicios municipales para hacerse con las cuentas registradas probando claves. Esos datos se utilizarían después para desarrollar todo tipo de fraudes cibernéticos.
También se han detectado numerosos casos de phishing, en los que el delicuente trata de suplantar a otra persona o una entidad para conseguir que quien recibe su mensaje (por correo electrónico, mensajería instantánea u otros) ejecute una acción o aporte datos confidenciales, como el número de cuenta bancaria.
Información tributaria, seguridad ciudadana, servicios básicos, “los ataques llegan allí donde los datos pueden ser más sensibles”, relata Pelayo. Y lo hacen desde servidores externos a la Unión Europea, donde existe un control más férreo. Los delincuentes utilizan servidores enmascarados y situados en países como Rusia o Vietnam.
¿Cómo actúa el Ayuntamiento frente a ellos? “Lo que hacemos es básicamente bloquearlos”, explica el teniente de alcalde. “Hemos establecido políticas de seguridad mucho más restrictivas, elevando los niveles para evitar el acceso al sistema”.
El objetivo es evitar que pase lo ocurrido en ayuntamientos de toda España, uno de los últimos el de Guadarrama, que en octubre sufrió un ataque con el que secuestraron los datos municipales para pedir un rescate por ellos. “Funcionarios y técnicos han sido capaces de defender el sistema, un trabajo que ha sido ejemplar y referente a nivel provincial y autonómico”, señala con orgullo del responsable municipal. Gracias a ello, “no se han visto comprometidos datos del Ayuntamiento”.
En ese reforzamiento de la seguridad, señala Pelayo, es clave la renovación de contraseñas, que tienen que ser “difíciles de adivinar, algo muy personal, privado y seguro”. Esto se consigue mediante directivas de seguridad, que obligan a establecer claves más complicadas, o con la concienciación del usuario. Un cambio que ha afectado a ma´s de 600 funcionarios municipales.
El concejal recuerda que el principio fundamental es la precaución y verificación antes de actuar. “Tiene que quedar claro que el Ayuntamiento jamás va a pedir una verificación de cuenta bancaria por un cauce no oficial, para eso están las citas previas y los sistemas de certificado electrónico. Por correo nunca se van a pedir datos sensibles”. “Tenemos que tener la conciencia de actuar ante los medios digitales igual que en la calle. No darías tu DNI a cualquiera que te lo pidiera por la calle ni dejarías una tarjea de crédito en medio de la calle Ancha, ¿no? Pues lo mismo hay que hacer en internet, no dar datos personales en sitios que no conocemos”, apostilla.
Sergio Pelayo Tte. de alcalde de Informática
El Ayuntamiento jamás va a pedir una cuenta bancaria por un cauce no oficial”