Los ayuntamientos no son ajenos a los ataques informáticos. A diario vemos como cuentas de empresas, ciudadanos o personas de notoriedad pública sufren ataques informáticos. Apropiación indebida de información, suplantación de la identidad, ataques bancarios... Son solo algunas de las cuestiones que aparecen en la opinión pública. Pero, ¿qué ocurre en el caso de administraciones públicas donde tienen millones de datos? ¿Y en concreto, en los ayuntamientos donde disponen toda la información de ámbito municipal?

Los municipios cada vez son más conscientes de los problemas de seguridad, pero no todo se reduce a cambiar contraseñas de, al menos, 10 caracteres. Además, la Estrategia Nacional de Ciberseguridad, aprobada por el Consejo de Seguridad Nacional el pasado mes de abril, obliga a las administraciones públicas a cumplir esta normativa, lo que conlleva unos obligatorios dispendios económicos. Llegados a este punto, los ayuntamientos carecen de recursos, tanto técnicos como económicos, ya no solo para acometer las medidas necesarias, sino tan solo para entenderlas.

Exigir, por ejemplo, a un ayuntamiento de pequeño tamaño, que por el hecho de almacenar en sus bases de datos información «sensible» referente a datos de salud, la necesidad de tener una infraestructura de bases de datos replicada en un centro de proceso de datos de respaldo, no parece que esté alineado con la realidad de ese municipio. Sin embargo, la mayoría de la normativa de referencia no hace distinción respecto al tamaño de municipio o a su plantilla o presupuesto.

Es en este escenario donde toman especial relevancia la figura de las Diputaciones, ya que son estas las que deben apoyar y en muchos casos suplir las carencias de los ayuntamientos en muchas materias, entre ellas las tecnológicas y más concretamente la ciberseguridad. Por este motivo, la Diputación de Alicante destinará una partida anual de 100.000 euros a «blindar» la seguridad de los ayuntamientos ante los posibles ataques informáticos.

Almacenaje de frío

El diputado de Innovación y portavoz del Gobierno de la Diputación de Alicante, Adrián Ballester, señaló ayer que lo que se ofrece a los ayuntamientos es «una extensión de las medidas que para sí misma ya tiene implementadas la Diputación. Como la mayoría de servicios que la Diputación provee a los ayuntamientos lo hace mediante el acceso a la «nube privada» de la propia Diputación, donde se alberga la infraestructura, los servicios y los datos pertenecientes a estos municipios -en concreto la administración electrónica, el registro electrónico, la contabilidad pública, el padrón municipal de habitantes, la gestión del patrimonio, el correo electrónico o las webs municipales-, será por esta vía por donde se puedan «utilizar firewalls (cortafuegos) para prevenir ataques informáticos y entradas no autorizadas», explica Ballester. Además se emplearán conexiones VPN, que son conexiones que se establece un canal securizado dentro de internet para codificar la información que circula por la nube.

En concreto, las medidas generales que aporta la Diputación son una mejora continua de sus sistemas de seguridad contra intrusiones, el asesoramiento técnico en configuraciones complejas de sistemas de seguridad y comunicar a las autoridades competentes (AEPD, CCN-CERT) las violaciones de seguridad que se sufran.

En cuanto a las medidas específicas, siguiendo la Estrategia Nacional de Ciberseguridad, la Diputación de Alicante se encargará de la prevención, detección, respuesta y recuperación ante las ciberamenazas. Para ello usará herramientas de protección perimetral, mediante una doble barrera de cortafuegos de última generación, que permite identificar y detener esa actividad maliciosa, y sistemas antivirus con un chequeo de los sistemas en tiempo real y actualizaciones de los motores y firmas de manera diaria.

Las redes alámbricas deberán superar protocolos de autenticación de usuario y con las inalámbricas, de manera especial, se usarán distintos niveles de acceso a través de roles de usuario, al igual que se realizará una monitorización de sistemas usando herramientas que permiten comprobar comportamientos anómalos en cualquiera de nuestros sistemas para poder actuar de manera rápida.

A su vez, la implantación de medidas del Esquema Nacional de Seguridad conllevará auditorías, inventario de activos y el análisis de riesgos y amenazas. Por último, habrá campañas de formación y sensibilización a los empleados públicos en materia de protección de datos.

La ciberseguridad obliga a preservar datos almacenados

A grandes rasgos, las características de la ciberdelincuencia son su bajo coste, la ubicuidad, su gran impacto y el reducido riesgo para el delincuente. El acceso a herramientas gratuitas para realizar ataques es muy fácil a través de la conocida como «Dark Web». El ataque se puede producir desde cualquier lugar del mundo debido a la interconexión desde la World Wide Web. La gran mayoría de particulares o empresas no están especialmente protegidos ante este tipo de ataques, donde es muy difícil perseguir al ciberdelincuente.