VALÈNCIA. "Esto no fue un ataque real pero podría haberlo sido". Es el mensaje que se encontraron la pasada semana los funcionarios del Ayuntamiento de València que cayeron en la trampa puesta desde el Servicio municipal de Tecnologías de la Información y Comunicación (SerTIC) para prevenir los fraudes informáticos. El consistorio ha puesto en marcha una campaña interna para concienciar y formar a los empleados municipales, y evitar fallos humanos como, por ejemplo, 'picar' ante correos electrónicos fraudulentos.
Este, el envío masivo de correos falsos a los 5.000 trabajadores de la casa, ha sido el primer ejercicio de un programa mucho más amplio que se ha puesto en marcha ante el incremento de intentos de estafas informáticas en todas las instituciones tras el estallido de la pandemia de coronavirus, y especialmente tras los desagradables fraudes acaecidos en el sector público municipal: un fraude de cuatro millones de euros en la EMT y otro de 21.000 euros en el Palacio de Congresos. En ambos casos los errores humanos fueron fundamentales.
Pero el Ayuntamiento de València también ha sufrido intentos de phising que no han triunfado. En este sentido, el edil del ramo, Pere Fuset, explica que además de mejorar la seguridad informática, es esencial encontrar dónde están las vulnerabilidades humanas, que son más difíciles de corregir. De ahí la idea de poner en marcha esta campaña municipal que, en colaboración con el departamento de Personal, que dirige Luisa Notario, se desarrollará durante varios meses y que "por motivos obvios" el edil no quiere desvelar. Pero sí explica a Valencia Plaza en qué ha consistido el primer experimento, que duró apenas dos días.
El departamento de informática del consistorio preparó diferentes prototipos de correos electrónicos, que fueron remitidos a los funcionarios consistoriales con el membrete del Ayuntamiento de València y nombres creíbles en el remite -pese a proceder de cuentas ajenas al consistorio-. En todos ellos, algunos escritos en valenciano para ganar en verosimilitud, se adjuntaban enlaces que decían remitir a un sitio, que en realidad era fraudulento. Si el empleado pinchaba en él, le aparecía la advertencia de que había caído en la trampa.
Uno de los mensajes, por ejemplo, aprovechaba la vuelta a la presencialidad de todos los empleados municipales tras el estallido de la pandemia de coronavirus para informar de "una serie de medidas en materia de salud laboral, que han de ser conocidas y aplicadas". Así, se adjuntaba un enlace que supuestamente llevaba al documento informativo "publicado en la intranet" municipal.
Otro correo electrónico avisaba a los empleados de que habían superado el límite de almacenamiento de su buzón. "Haga clic en el siguiente enlace para abrir una nueva herramienta proporcionada por el SerTIC que permite, de forma asistida, limpiar la bandeja de entrada y mantener organizado el correo electrónico", rezaba el mensaje. Otro, por contra, informaba al trabajador de que no había completado la formación obligatoria en materia de seguridad, y le remitía a través de un enlace al programa de formación.
De esta manera, aquellos que pinchaban en el enlace eran enviados a la alerta: "Este no fue un ataque real pero podría haberlo sido". Y aquí el Ayuntamiento explicaba que la intención con esto era "la mitigación del riesgo al que puede estar expuesta la información sensible de la corporación" y conseguir así "que se establezca una cultura de seguridad dentro de la organización".
Uno de los riesgos evidentes al que se expone el Ayuntamiento cuando recibe este tipo de correos es, por ejemplo, la descarga involuntaria de archivos dañinos para el sistema y virus que puedan extraer información importante de la organización y del funcionamiento interno, así como contraseñas, credenciales y otro tipo de claves sensibles. Los ejercicios que se lleven a cabo más adelante tratarán de encontrar otras vulnerabilidades en las respuestas humanas.
Así pues, aquellos que cayeron en el engaño, fueron inscritos automáticamente en un pequeño módulo de formación -real- en materia de ciberseguridad que es obligatorio. Por el momento, todavía no hay resultados sobre cuántos empleados municipales 'picaron'.
Fuset explicó al respecto que la ciberseguridad "se ha convertido en una preocupación crucial de todo tipo de organizaciones ante una transformación digital acelerada por la crisis de la COVID-19 y queremos reforzar al personal municipal ante estas posibles amenazas en un ayuntamiento que está experimentando una espectacular evolución en el uso de su administración electrónica".
En este sentido, el edil señaló que mas allá de los refuerzos tecnológicos, "el mayor reto es prevenir y procurar la óptima respuesta ante estas amenazas constantes y crecientes que en muchas ocasiones tratan más de aprovechar el factor humano que cualquier vulnerabilidad técnica". Así, considera este programa totalmente novedoso y "ambicioso", realizado "aprovechando las sinergias con uno de los centros referentes de La Marina de València".