La Diputación de Segovia ha denunciado ante el Cuerpo Nacional de Policía la filtración en internet de miles de documentos con datos personales robados a la institución provincial durante el ciberataque que sufrió el pasado mes de mayo. Información sensible que El Día declina detallar pero que, según ha podido comprobar, fue volcada el 10 de noviembre por el grupo criminal autor de dicho ataque. Se la ofrece a cualquiera que entre a su dark web, denominación que reciben los sitios de la red que sólo son accesibles mediante un navegador especializado.
De este nuevo delito, que se suma al que ya supuso el propio ciberataque de mayo, supo esta redacción tras recibir el aviso de un particular. Un segoviano que trabaja en un laboratorio de ciberseguridad y que se topó con la información de la Diputación «de casualidad», mientras investigaba la filtración de documentos que sufrió recientemente otra institución española atacada por el mismo grupo criminal, muy conocido a nivel mundial por la cantidad de víctimas de todo tipo que ya acumula.Entró en su dark web y ahí se encontró la documentación.
El Día preguntó el miércoles por la filtración al diputado provincial responsable del área informática, Jaime Pérez, quien declinó dar detalles, según argumentó, «siguiendo indicaciones» de las instituciones que están ayudando en el caso.
«La Diputación ha hecho lo que corresponde», respondió Pérez en referencia a que la institución está en contacto con «el Centro Criptológico Nacional, la Agencia Española de Protección de Datos (AEPD) y la Policía». «Todo está funcionando bien, esto tiene que ver con el ataque de mayo pero no afecta a nuestro funcionamiento», subrayó, al tiempo que añadió que están investigando «cuánto puede tener de delictivo» cualquier tipo de manejo de dicha información.
Comunicación a afectados. Ahora, según establece la ley de protección de datos, la Diputación debe comunicar a todos los afectados la información sensible de su interés que se ha filtrado y que, además, es sólo una parte de toda la que le robaron en el ciberataque. «Debe informarse a los afectados y por supuesto, antes de nada, comunicar la brecha de seguridad a la AEPD», explican a El Día fuentes oficiales de este organismo público encargado de velar por que entidades públicas, empresas privadas o cualquier otra asociación o colectivo responsable de ficheros cumpla la legislación vigente al respecto. La comunicación a la AEPD ya se ha llevado a cabo, según Diputación, ¿pero cómo debe hacer para informar a los afectados cuando se pueden contar por miles? «No hace falta comunicárselo de manera personal, se puede utilizar cualquier otro medio alternativo, ya sea el teléfono, correo postal o correo electrónico», aclaran también desde la agencia.
Lo que sufrió la Diputación en mayo fue un 'ransomware' o secuestro de datos. Un ataque por el que el criminal introduce un malware o programa malicioso en el sistema de su víctima a través de un email o alguna otra brecha de seguridad; encripta los datos de sus discos duros (es decir, les cambia las claves de acceso) y pide un rescate para liberarlos. Así suelen actuar, aunque la institución provincial nunca ha confirmado que sucediera en su caso.
De la noche a la mañana, la Diputación se vio privada de cualquier servicio informático, y eso es todo en pleno siglo XXI. Con los ordenadores apagados por seguridad, sus empleados tuvieron que tirar de papel y boli, al estilo de otro tiempo. El colapso fue total y aunque poco a poco fue recuperando actividad y servicios, tardó más de un mes en alcanzar un mínimo de normalidad.
El riesgo de fuga de datos sensibles era evidente y la confirmación ha llegado cinco meses largos después, el 10 de noviembre, día en que este grupo criminal decidió volcar en su dark web la información robada a la Diputación y también a otras muchas empresas e instituciones de medio mundo. Las hay de España y de otros países europeos, así como de Sudáfrica, México o EEUU. Desde colegios hasta ayuntamientos y empresas públicas y privadas.
En lo que atañe a la Diputación de Segovia, su información ha sido volcada en cuatro archivos que contienen miles de documentos de texto y que ahora quedan al alcance de cualquiera que acceda a su sitio web, alojado en lo que se denomina 'internet oscuro'. Si la filtración continúa o no con nuevas remesas está por verse, y también la manera en que la Diputación gestiona semejante fuga de información sensible, a la espera de conocer además el alcance real del delito y sus consecuencias.