Hace tres meses que se produjo el ciberataque al Servicio Público de Empleo Estatal (SEPE) que dejó paralizadas, durante varios días, a las oficinas de empleo de España. Un nuevo asalto digital se ha producido este miércoles pero en esta ocasión a los sistemas informáticos y la web del Ministerio de Trabajo. Como ocurrió en el caso del SEPE, el departamento que dirige Yolanda Díaz no contaría con la certificación de ciberseguridad que exige el Centro Nacional de Inteligencia (CNI) a las Administraciones Públicas. Ni Trabajo ni otros 15 ministerios más.
Así lo indica el listado que maneja el Centro Criptológico Nacional, que depende del CNI. Este departamento es el que tiene que emitir los certificados de seguridad oficiales que ordena el Esquema Nacional de Seguridad (ENS) y que indican qué sistemas de seguridad virtuales, qué paginas web, en definitiva, cumplen con la legislación vigente.
Uno de los apartados del portal digital del CCN se titula 'Sector Público Certificado' y recoge el listado de entidades públicas que han recibido la susodicha acreditación. Las que figuran en él poseen un sistema sólido de seguridad. Es decir, que sus sistemas de seguridad virtuales cumplen con la legislación, marcada por el ENS.
Sin embargo, tan solo unas pocas instituciones de la Administración General del Estado (AGE) figuran en el susodicho listado. Entre los organismos cuyos sistemas informáticos están bien protegidos figuran las webs de la Guardia Civil y la Policía Nacional, ambas dependientes del Ministerio del Interior, que sí estaría en ese sentido protegido ante estas amenazas, pero solo dos de los espacios virtuales de los restantes ministerios: el de Economía y Sanidad. También el Ministerio de Igualdad, el de Derechos Sociales y Agenda 2030 y Consumo, que en términos de ciberseguridad estarían cubiertos por el departamento de Sanidad.
Es decir, que Trabajo, departamento que acaba de ser víctima de un ataque informático, no contaría con la certificación que prueba que su ciberseguridad está de acuerdo a las reglas del CNI. Sin embargo, en estas mismas circunstancias estarían otros 16 ministerios.
Los departamentos
Se trata de los ministerios de Presidencia, Relaciones con las Cortes y Memoria Democrática; Transición Ecológica y el Reto Demográfico; Asuntos Exteriores, Unión Europea y Cooperación; Justicia; Defensa; Hacienda; Transportes, Movilidad y Agenda Urbana; Educación y Formación Profesional; Industria, Comercio y Turismo; Agricultura, Pesca y Alimentación; Política Territorial y Función Pública; Cultura y Deportes; Ciencia e Innovación; Inclusión, Seguridad Social y Migraciones, y Universidades.
Invertia se ha puesto en contacto con varios de estos departamentos para conocer las razones de esta situación. Desde Transportes argumentan hay un "adecuado nivel de cumplimiento" del ENS y que "la mayoría de los sistemas corresponden con la categoría 'Básica' y es suficiente la autoevaluación". Con todo, admiten que "está pendiente la realización de la auditoría formal del nivel de cumplimiento correspondiente a sistemas de categoría 'Media' ".
Por otro lado, desde Industria precisan que "el Ministerio cumple estrictamente con las obligaciones del ENS en materia de Administración Electrónica. Dada la calificación de sus sistemas, no se requiere de una certificación publicada como la referida".
Justicia alega que ha venido trabajando "desde la publicación del ENS en la adopción de las medidas necesarias para su cumplimiento; así como en la adaptación en los cambios normativos en el ENS. A pesar de ello, los informes de auditoría sugieren algunas actuaciones para su cumplimiento pleno, lo que permitiría la certificación", indican. "Este 2021 está prevista la ejecución de una nueva auditoría, por lo que confiamos que las medidas que este Departamento está introduciendo contribuyan a lograr la certificación, lo que permitiría dar la publicidad al certificado en los sites del Ministerio".
En Asuntos Exteriores admiten que su portal web "no cuenta con un certificado SSL, pero dispone de medidas compensatorias para su protección". Por otro lado, departamentos como Hacienda o Seguridad Social aseguran a Invertia que también cuentan con las contramedidas de ciberseguridad necesarias, a pesar de que no figuren el listado.
Un listado en el que cuando sucedió el ciberataque del SEPE, en marzo, no figuraba el Ministerio de Asuntos Económicos y Transformación Digital. Su certificación no se produjo hasta principios de mayo.