El Ayuntamiento de València suspende en ciberseguridad, por detrás de Castellón y Alicante

VALÈNCIA. El Ayuntamiento de València no llega al 5 en ciberseguridad y queda por detrás de las otras capitales de provincia en la Comunitat, Castellón de la Plana y Alicante, según un estudio realizado por la Sindicatura de Comptes en una quincena de municipios del territorio valenciano. 

Aunque la media de madurez en este ramo de todos los ayuntamientos analizados alcanza sólo el 44% -por debajo del 80% recomendado por los organismos de seguridad-, el consistorio valenciano que lidera Joan Ribó se encontraría en el 47,5% junto con Paterna, y justo por detrás de Castellón y Alicante (51% y y 48,8%, respectivamente). Por delante quedarían Benidorm, en primer lugar, con un 61% y Elda, con un 52%.

Son ocho los aspectos analizados por la Sindicatura de Comptes, entre los que se encuentran el inventario de dispositivos físicos y software, la identificación y solución de vulnerabilidades, el uso controlado de privilegios, la seguridad en las configuraciones, el registro de actividades de los usuarios, o las copias de seguridad de datos.

El organismo de control concluye, en términos generales, que "ningún ayuntamiento auditado dispone de un conjunto de controles de ciberseguridad que permita proteger sus sistemas de infomación de manera satisfactoria". Unos "malos resultados", subraya, que evidencian unos sistemas "en riesgo ante amenazas de ciberseguridad" y que los ayuntamientos "han de mejorar los controles".

Uno de los ámbitos en los que más deficiencias presenta el Ayuntamiento de València es en la configuración de seguridad de los dispositivos. Según explica la Sindicatura, "la mayoría de sistemas están configurados para facilitar su uso y no necesariamente pensando en su seguridad", por lo que los equipos cuentan con "controles poco robustos, servicios y puertas abiertas, cuentas y contraseñas predeterminadas, protocolos antiguos y software preinstalado innecesario", aspectos que acrecentan la vulnerabilidad de las redes consistoriales.

Otro de los aspectos sobre los que alerta el informe es el control de los privilegios que se le dan a los empleados municipales -claves y capacidad de acceso mediante cuentas, contraseñas y credenciales-. Se han detectado riesgos de acceso y de cambios no autorizados en sistemas y datos internos debido a una falta de control en los privilegios de los usuarios, convirtiéndose así esta cuestión en una "puerta de entrada para acceder desde fuera a la red interna".

Por otro lado, se han reseñado problemas en el inventario y el control de dispositivos físicos. La mayoría de casos, entre los que se encontraría el consistorio del Cap i Casal, presentan una ausencia de procedimientos formalmente aprobados para la gestión de este inventario, con revisiones periódicas del mismo. Además, en la mayor parte de los casos, el inventario existente no está debidamente actualizado o los controles para acceder a estos dispositivos son inefectivos o inexistentes.

Por encima de la media -lo cual no implica encontrarse en el nivel óptimo- se sitúa el Ayuntamiento en el registro de actividades de los usuarios y su monitoreo, en el inventario del software, y en el cumplimiento de la legalidad. Con todo, el sindic continúa detectando problemas en este ámbito y señala que en todos los consistorios existen "incumplimientos generalizados de esa normativa", siendo el índice medio de cumplimiento del control de ciberseguridad del 44,2%.

Los máximos órganos de dirección de los ayuntamientos, recuerda, "tienen la responsabilidad de garantizar un nivel adecuado de cumplimiento de las normas legales y deben impulsar las medidas necesarias para subsanar la deficiente situación existente", al tiempo que añade que los consistorios "deben adoptar medidas para mejorar su ciberseguridad". Asimismo, la Sindicarura hace notar que "mantener una ciberhigiene adecuada y un sólido sistema de protección frente a las ciberamenazas es más necesario que nunca".

Tras conocer el informe el edil de Ciudadanos Narciso Estellés, dijo que en el grupo municipal estaban "muy preocupados" por "la inacción y la falta de eficacia" del gobierno municipal en estas cuestiones. Una preocupación que "se magnifica en el caso de la EMT", que sufrió una estafa de cuatro millones de euros por unos ciberestafadores. En este sentido, Narciso recordó el acuerdo plenario de octubre sobre la realización de una auditoría en materia de ciberseguridad.

Vulnerabilidad ante los ciberataques 

En este sentido, la Sindicatura sostiene que la situación provocada por la epidemia de Covid-19 "ha mostrado con absoluta claridad la total dependencia de los sistemas de información y las comunicaciones que existe actualmente en la gestión pública, lo que hace que las administraciones públicas sean más vulnerables que nunca frente a los ciberataques y ha puesto de relieve que mantener una adecuada ciberhigiene y un sólido sistema de protección frente a aquellos es de vital importancia".

El organismo subraya también que es necesario "un mayor compromiso y concienciación de los órganos de gobierno de los ayuntamientos con la seguridad de los sistemas de información y las comunicaciones, lo que inevitablemente conlleva una mayor inversión económica y en recursos humanos cualificados".

Por último, el síndic afirma que en la fase final de discusión de los borradores de informe con los distintos responsables, han manifestado, en general, su voluntad de subsanar las deficiencias de control observadas. En algunos casos, apunta, las han solucionado antes de la emisión del informe.