El SEPE ha hecho por años programas pirata a pesar del riesgo “muy crítico” para la seguridad de sus sistemas

En solo tres meses el segundo ciberataque al Ministerio de Trabajo puso al descubierto la alta vulnerabilidad y los problemas de seguridad de una de las bases de datos de la Administración Pública de mayor sensibilidad y atractivo para los hackers, junto con las del Ministerio de Hacienda. Han negado fuentes del departamento de Yolanda Díaz que se produjera una fuga de datos o que se colocara en peligro documentación sensible. No obstante, analistas informáticos consultados tienen dudas al respecto, debido a que el solo hecho de que se hayan secuestrado algunos servidores y encriptado miles de archivos ya ha significado «una falla de seguridad grave», por haber pasado toda esa información al control de los «hackers» atacantes.

Por dicha razón, cuesta que se crea que los protocolos, servicios y sistemas de seguridad digital e informática en el Servicio Público de Empleo Estatal (SEPE) hayan estado en manos de programas que se denominan «piratas» por los expertos. Conforme se ha podido conocer, las bases de datos personales y laborales de millones de trabajadores españoles han estado desprotegidas por la utilización indiscriminada de programas que no se encuentran autorizados ni homologados por la Agencia Española de Protección de Datos (AEPD), por lo menos hasta el año 2019. Fuentes que se conocen de dicha situación confirmaron la utilización generalizada de programas como Banshee, BigBrother, Moira, Prepara, Cerebro Sispe, Lanter, Blade, Legion, Sentinel , Cerebro Gestor o Cerebro Certificados para el tratamiento de información y datos personales y laborales que han estado incumpliendo con los estándares de seguridad oficiales, saltándose la normativa vigente establecida por la AEPD. Se encontraba la dirección del SEPE, obligada a poner en conocimiento de la Agencia la utilización de dichos programas, sin embargo frente al temor de que no iba a obtener su visto bueno ya  que contravenían la normativa ha tomado  la decisión de no comunicarlo para lograr continuar usandolos. «No fue una decisión malintencionada en sí, simplemente era nuestra única opción para mantener nuestra operatividad», ha explicado a este diario un trabajador que los ha usado por años.

Hasta el 25 de mayo de 2018 –fecha de la entrada en vigor del Reglamento General de Protección de Datos (RGPD)– había la obligación de inscribir todos los ficheros en el Registro de la AEPD. Con la aplicación del RGPD ha desaparecido esta obligación y se ha sustituido por la de mantener y actualizar un Registro de Actividades de Tratamiento. Siendo el caso del SEPE, tanto previamente como tiempo más tarde de dicha fecha, se han continuado usando esos programas, desoyendo la obligación de comunicar y que se mantengan actualizados frente a la AEPD todos los ficheros y programas en uso. Frente al temor de que se fuesen a desautorizar sus aplicaciones, la dirección ha tomado la decisión de no informar para que se evite su cancelación.

Al respecto de sus informáticos el Inventario de Actividades de Tratamiento que hace el SEPE al respecto de sus programas informáticos –que es el que se entrega a la Agencia, siempre con fecha previa a 2019– no se ha hecho referencia a ninguno de estos programas que han estado tratando datos personales, confidenciales y protegidos de millones de personas. Por dicha razón, en el listado oficial del Ministerio de Trabajo no ha aparecido referencia alguna a estos programas porque no cuentan con autorización oficial.

Esta auditoría interna del SEPE hecha en el primer semestre de 2019 de parte de la Subdirección General de Tecnologías de la Información y Comunicación (SGTIC) ha evaluado «la estructura, funciones, amenazas y salvaguardas» de la intranet provincial del SEPE-Valencia desde finales de 2015. La conclusión no ha podido tener más claridad: ya que el nivel de riesgo potencial ha sido de 6,8 –puntuación que se incluye como «riesgo muy crítico»– en una escala de 0 a 10, siendo el valor 0 el de riesgo inapreciable y 10 el de extremadamente crítico.

Por dicha razón, constatadas las numerosas y graves deficiencias de alta seguridad –que han sido extensibles a la gran parte de las delegaciones provinciales del organismo de empleo público–, la Dirección General del SEPE ha tomado la decisión, con fecha 26 de julio de 2019, de no continuar asumiendo este riesgo «muy crítico» y le ha puesto fin a la utilización de estos programas, cuya falta de seguridad ha puesto en peligro estos bancos de datos que son muy sensibles. A pesar de esto, «no se descarta que algunas provincias puedan seguir usándolos, porque cada una es un mundo», ha sido explicado por fuentes internas del SEPE.

 

Ha sido confirmado por el Ministerio de Trabajo que actualmente ya no se encuentra produciendo esta situación y han defendido que, desde el instante en que se ha hecho cargo de dicha responsabilidad la actual dirección del Servicio de Empleo, «se trabaja para mejorar el tratamiento de los datos con los que opera el organismo». Conforme explicó a este periódico, el SGTIC, en colaboración con el personal informático de las direcciones provinciales, «ha inventariado las aplicaciones con las que trabajan y ha desarrollado otras nuevas con el objetivo de prestar un servicio eficaz, homogéneo y seguro. Estas aplicaciones pueden ser utilizadas, únicamente, por el personal autorizado y respetan plenamente la garantía de protección de datos exigida por la legislación vigente».

Dejar respuesta

Please enter your comment!
Please enter your name here