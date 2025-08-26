El ciberataque que mantiene paralizado el Ayuntamiento de Elche desde el pasado domingo no es una sorpresa para todos. La Sindicatura de Cuentas de la Comunitat Valenciana ya había advertido en un informe publicado en abril de este año -estudia la situación hasta el 31 de diciembre de 2023- de las carencias en materia de ciberseguridad que arrastraba el consistorio ilicitano. Refiriéndose a un informe anterior (de 31/12/2021), el documento oficial reconoce que el Consistorio ilicitano "ha atendido de forma parcial nuestras recomendaciones y el índice de madurez general de la ciberseguridad ha mejorado sustancialmente desde el 50 al 68 %", pero también alerta de que la mejoría "sigue siendo insuficiente para garantizar un adecuado grado de seguridad y alcanzar el 80 % requerido por el Esquema Nacional de Seguridad (ENS)".

El ciberataque contra el Ayuntamiento de Elche se produjo en pasado domingo / INFORMACIÓN

En las páginas del documento, el órgano fiscalizador señalaba que el Ayuntamiento no había implantado todas las medidas exigidas por el ENS, marco que regula la protección de la información en las administraciones públicas. En concreto, la Sindicatura apuntaba a deficiencias en la gestión de riesgos, en los planes de continuidad operativa y en los protocolos de detección y respuesta ante incidentes informáticos, lo que ha ocurrido precisamente ahora.

Carencia de una estrategia integral

El informe también advertía de que, pese a la creciente digitalización de los servicios municipales, el Consistorio carecía de una estrategia integral de protección frente a amenazas externas, y que los sistemas de seguridad existentes se encontraban “en un nivel básico o insuficiente”.

Estas observaciones cobran ahora una especial relevancia tras confirmarse que el Ayuntamiento se ha visto obligado a desconectar sus equipos, suspender plazos administrativos y trabajar únicamente con medios manuales o dispositivos personales de los funcionarios.

La sede digital del Ayuntamiento de Elche está inoperativa tras el ciberataque / INFORMACIÓN

La Sindicatura recomendaba al Ayuntamiento reforzar la formación del personal, actualizar los protocolos de seguridad y dotar de mayores recursos a su departamento de informática. Sin embargo, según refleja el informe, buena parte de estas recomendaciones quedaron pendientes de aplicar. "Es necesario, por tanto, solventar de forma urgente las carencias identificadas, que tienen un impacto negativo en el nivel de seguridad de la información del Ayuntamiento, y atender las recomendaciones efectuadas en el presente informe", concluye la entidad autonómica.

Con este aviso previo sobre la mesa, el ciberataque sufrido por Elche pone de relieve la vulnerabilidad de los sistemas municipales y reabre el debate sobre la necesidad de invertir de manera decidida en ciberseguridad institucional para evitar que episodios como este vuelvan a repetirse.

Mejoría sustancial pero, a la vista, insuficiente

El informe del Síndic exponía la mejoría vivida en dos años y reflejada en un cuadro clave, el que detalla el índice de madurez de los controles básicos de cibersegudidad. En este documento se puede ver que en cuestiones clave como el control de software autorizado y no autorizado, el Ayuntamiento pasó del 56 al 75 %. El incremento fue también notable (del 55 al 67,5 %) en el proceso de identificación y remediación de vulnerabilidades y en el registro de la actividad de los funcionarios (del 56 al 70 %) o en el incremento del 61,5 al 77,5 % en las copias de seguridad de datos y sistemas. Ahora bien, hay dosaspectos destacados en los que la madurez sigue siendo muy baja.

Tabla con el índice de madurez de los controles básicos de ciberseguridad del Ayuntamiento de Elche, elaborada por la Sindicatura de Cuentas / INFORMACIÓN

El primero es en las "Configuraciones seguras del software y hardware", que estaban en el 43 % y ahora rozan el 49. Y el segundo, en la gobernanza de ciberseguridad y cumplimiento normativo, que ha crecido en 15 puntos entre 2021 y 2023, pero sigue estando en un nivel bajo del 55 %.

Excesivas funciones en pocas manos

Por otro lado, para el órgano emisor del informe, "aunque el Ayuntamiento ha alcanzado la excelencia tecnológica en muchos procesos técnicos de seguridad, no los consideramos plenamente consolidados por la excesiva dependencia de determinadas personas clave que, aunque con las competencias y motivación adecuada, concentran excesivas funciones, por lo que no es asimilable a un proceso sistemático y formalizado.

"El Ayuntamiento de Elche no tiene establecida una adecuada gobernanza de la ciberseguridad. Se han subsanado determinadas deficiencias, pero se debe reforzar el apoyo a la seguridad de la información, particularmente en forma de recursos humanos. Los órganos superiores del Ayuntamiento (en particular el alcalde y la Junta de Gobierno) son los responsables de que existan unos controles adecuados sobre los sistemas de información y las comunicaciones, y su implicación, compromiso y liderazgo constituyen, posiblemente, el factor más importante para la implantación exitosa de un sistema de gestión de la seguridad de la información que garantice la ciberresiliencia de la entidad", dice textualmente el documento.

Sin comité de seguridad de la información

La esencia está en que "aunque se han subsanado determinadas deficiencias, las principales carencias identificadas en el anterior informe (2021) siguen vigentes. El marco normativo y procedimental actual se encuentra desactualizado y no representa la realidad de la organización. Además, no existe un comité de seguridad de la información con actividad efectiva -siempre atendiendo al informe del Síndic de diciembre de 2023-". Remarca el documento que "aunque se ha elaborado una nueva política de seguridad que define los roles y la constitución del comité de seguridad, esta se encuentra pendiente de aprobación por parte de los órganos superiores del Ayuntamiento".