El Ayuntamiento de Elche cuenta desde finales de 2017 con un documento clave que, aunque poco conocido fuera de los círculos administrativos, define con precisión qué hacer -y quién debe hacerlo- si la institución sufre un ciberataque, como fue el caso el pasado 24 de agosto, intrusión en la que sigue sumergido, con los plazos paralizados y sin poder conectarse al servidor central, conocido popularmente como TAO. Se trata de la Política General Corporativa y de Seguridad de la Información (PGCSI), aprobada por la junta de gobierno local el 22 de diciembre de aquel año. De hecho, el documento sigue teniendo como regidor al que entonces era el alcalde, Carlos González; y figuran al frente de la cadena de mando funcionarios de alto rango apartados de las que entonces eran sus funciones, pero que siguen figurando en el documento.

Primera OMAC con cita previa El servicio de cita previa en la Oficina Municipal de Atención al Ciudadano (OMAC) se retomó este jueves en la sede del Centro ubicada en la calle Alfonso XII, tras el ciberataque sufrido en el Ayuntamiento de Elche hace dos semanas. Según la portavoz de la Junta de Gobierno Local, Inma Mora, se podrá solicitar la cita previa para la semana del 15 al 19 de septiembre en la web municipal www.elche.es/citasomac mientras que el servicio se restablecerá de forma progresiva en el resto de oficinas del municipio. “Este Ayuntamiento continúa trabajando en la recuperación progresiva de los servicios de atención a la ciudadanía con el objetivo de volver a la normalidad lo antes posible”, ha asegurado Mora.

Una cuestión que, evidentemente, no es lo importante en estos momentos. Sí lo es que la PGCSI tenga que funcionar como un manual de supervivencia en tiempos digitales: establecer la cadena de mando, los responsables directos y las fases que deben guiar la respuesta. También quién tiene acceso a la información de lo que está pasando y hasta qué nivel. No existe referencia alguna, por ejemplo, al Amber Strict en el que se ha basado el Gobierno local para evitar facilitar a la oposición las actas de las reuniones a las que no está invitado, pero a la que acuden concejales y asesores sin saberse a ciencia cierta si forman parte o no de este órgano que funciona con tanto secretismo. Quizá no aparezca el concepto Amber Strict porque entonces es más que probable que ni existiera, aunque se base ahora el Ejecutivo en él sin que aparezca en su documento de referencia.

El comisario Villafranca, a la izquierda, es el único funcionario que figura del documento de 2017 / INFORMACIÓN

Un documento sin referencias a comisiones de investigación La PGCSI no menciona ni una sola vez la creación de comisiones de investigación, como la anunciada esta semana por el Ayuntamiento de Elche para, supuestamente, saber qué ha pasado y, aunque no se diga, buscar responsables más allá de los "hacker" que metieron el ransomware en el sistema municipal. El documento de 2017 del Ayuntamiento de Elche no prevé comisiones de investigación políticas o independientes, sino comités técnicos internos encargados de gestionar la crisis y aprender de cada incidente para reforzar la seguridad.

El alcalde Ruz presidiendo una reunión del comité de crisis hace un par de semanas / INFORMACIÓN

En 2017, dice el documento el alcalde Carlos González Serna asumía la responsabilidad última de la Información. Bajo él, los jefes de servicio de cada área municipal -desde Bibliotecas hasta Urbanismo, pasando por Tesorería, Servicios Sociales o Deportes- se convertían en responsables de servicio, con el deber de garantizar que la seguridad no se rompiera en su terreno, algo que ahora ha sucedido. El peso técnico recaía en figuras como José Fernández Villafranca, designado responsable de Seguridad Corporativa, y quien sigue al frente de este órgano; y de Javier Melgar Oller, responsable de Sistemas, quien fue apartado del mismo el pasado año. A su lado, el documento menciona a Luis Tébar Ortiz, como responsable de Seguridad Física, quien aportaba la visión sobre infraestructuras, y que, como Melgar, tampoco está ya en un puesto desde el cual pueda cumplir esta responsabilidad. Todos ellos conformaban el Comité de Crisis, el órgano llamado a reunirse cuando las alarmas suenan. Solo queda de ellos el comisario Villafranca. En dos comparecencias públicas este ha aparecido junto al concejal de Innovación, Claudio Guilabert, y de María Asunción Brotons, quien es la subdirectora de la Oficina de Protección de Datos. La estructura sigue siendo válida, pero la foto fija de los responsables ha quedado desfasada.

Pasos en plena tormenta digital

El documento establece cuatro fases de trabajo, pero, sucedido el ciberataque, poco interés tiene que nos centremos en los dos primeras: qué había que hacer para prevenir o detectarlo, que eran la 1 y 2. Pero es interesante lo que dicen la tercera, denominada: Responder. Cuando la intrusión está confirmada, dice el PGCSI entra en juego la coordinación. El Comité de Crisis asume el mando, debe aislar el ataque, evitar su propagación y comunicar la situación tanto a la dirección política como, si procede, a organismos externos como los CERT nacionales o la Agencia Española de Protección de Datos, solo para el caso de que los datos personales hayan estado en juego, como así ha pasado.

La OMAC ha recuperado la cita previa en la oficina de Alfonso XII / INFORMACIÓN

Dos horas

Poca posibilidad de respuesta hubo. Concretamente, dos horas, que fue el tiempo que transcurrió ese lunes entre la 8.53 y las 10.54, cuando se mandó una alerta a todos los funcionarios para que apagaran los equipos. Dice el documento que en esa respuesta es decisivo restringir o incluso suspender temporalmente el acceso a información o servicios afectados. Que el responsable del Sistema tiene autoridad para frenar el uso de datos o paralizar un servicio entero si detecta deficiencias graves de seguridad. Ante la duda, la prioridad era y es proteger la información crítica y evitar daños mayores. Del mismo modo, dice el documento, el administrador de la Seguridad del Sistema debe aislar los sistemas comprometidos, cortar accesos y garantizar la integridad de los elementos más sensibles. En definitiva, que ciudadanos o empleados no puedan acceder temporalmente a ciertos trámites, portales o aplicaciones. Lo que ha ocurrido.

El trasfondo político Que este documento se aprobara en 2017 no es casualidad. Eran los años en que el RGPD europeo se preparaba para entrar en vigor, y los ataques informáticos contra administraciones públicas empezaban a ocupar titulares. Elche decidió dotarse de un escudo normativo y organizativo para no quedarse atrás. Hoy, el valor de aquella decisión es evidente. El cibercrimen no entiende de fronteras ni de municipios, y un ayuntamiento que se paraliza deja sin servicios esenciales a miles de vecinos. Por eso el protocolo insiste tanto en la rapidez, la claridad de roles y, sobre todo, en la capacidad de cortar de raíz el acceso a sistemas comprometidos. Pero lo que también queda en evidencia es la necesidad de revisar y actualizar este plan. Las personas cambian, los cargos se renuevan, y un documento que dependía de nombres concretos ya no puede garantizar por sí solo la misma eficacia que en 2017 si estos siguen apareciendo en él. El protocolo es sólido en teoría, pero necesita actualización para seguir siendo eficaz en la práctica. En un terreno tan cambiante como la ciberseguridad, lo que no se revisa se convierte pronto en un riesgo añadido.

Y la última fase es recuperar, en la que el Ayuntamiento va camino de cumplir su tercera semana, que consiste en levantar el servicio. Para ello, expresa el documento, deben existir planes de continuidad TIC que han de probarse de forma regular. No consta si esto se ha hecho. El responsable de Sistemas y el de Seguridad Corporativa lideran esta fase, pero la orden definitiva llega siempre desde arriba: primero el Comité de Seguridad de la Información y, en última instancia, la Alcaldía.

La política en acción

La PGCSI es clara en su jerarquía. El Comité de Seguridad de la Información decide la estrategia; el responsable de Seguridad Corporativa ejecuta las decisiones del día a día; y, cuando la crisis escala, el Comité de Crisis toma el control. Terceras partes tampoco escapan al control. Empresas contratadas para prestar servicios o manejar datos deben ajustarse a esta política, compartir incidentes y coordinarse con los comités municipales. En el caso de un ciberataque, la colaboración con externos puede ser la diferencia entre una caída breve y un colapso prolongado.