La alcaldesa de Jerez, Mamen Sánchez, ha afirmado en relación al ciberataque sufrido la pasada semana en el sistema informático del Ayuntamiento, que aún afecta al servicio, que han "garantizado antes la seguridad que poner un servicio en marcha que podía echar atrás todo lo que se había trabajado".
En una entrevista en Canal Sur Radio, Sánchez ha señalado que se están "recuperando los servicios, empezando por los de atención a la ciudadanía". "Desde un primer momento casi se podía haber montado porque se protegió bien y no se vio afectado, pero era necesario, a parte de la investigación, preocuparnos de que todos y cada uno de los equipos no estuvieran en ese estado para poder ponerlo en valor y poder hacer el servicio que tiene que hacer", ha asegurado.
En este sentido, ha aseverado que podían hacer gestión, pero se bloqueó el sistema del Ayuntamiento para que el virus no se propagara, además de hacer que los trabajadores desconectaran el equipo.
En cuanto al ataque, la alcaldesa de Jerez ha explicado que "lo primero que hubo fue una detección de correos extraños, porque el sistema que utilizan son correos que resultan familiares y es normal que pinches y ya a partir de ahí, entra". "La alerta se produjo en el momento que se vio algo extraño y se procedió a proteger", ha afirmado Sánchez, que ha indicado que los primeros correos se detectaron "el martes por la noche cuando alguna gente que estaba trabajando vio algo raro, incluso el lunes alertaron algunos que habían llegado facturas telefónicas".
La alcaldesa de Jerez ha insistido en que "el sistema estaba totalmente protegido", así como que "no ha habido fuga de ningún datos". En este sentido, ha criticado que la gente opina "sin haber estado sentado siquiera con los directores de los servicios informáticos o el CNI".
"Ni el mejor antivirus del mundo puede para que este tipo de ataque se produzcan, son organizaciones internacionales criminales que van por delante", ha añadido Sánchez, que ha señalado que "no es un ataque concreto a Jerez, es un ataque masivo y ya alguien caerá". De hecho ha afectado también a alguna ciudad en el País Vasco.
La alcaldesa ha recordado que en el Ayuntamiento hay 1.300 equipos informáticos, por lo que una vez que durante el fin de semana se ha trabajado en el núcleo de todo el servicio, "ahora hay que ir equipo por equipo para ponerlo en activo".
"El daño podía haber sido mayor, como pasó lo de Roquetas de Mar que entraron en las cuentas y transfirieron dinero, pero se protegió corriendo todo", ha afirmado Sánchez, que ha añadido que "parece que en esta etapa de campaña tampoco van buscando los datos, van buscando el colapso y el rescate". Un rescate de la que no conoce su cuantía, ya que "nunca se pinchó esa ventana porque podía ser otra trampa".
La alcaldesa ha agradecido el trabajo de los informáticos del Ayuntamiento así como del CNI, que a partir de ahora va a tener motorizado al Consistorio jerezano y se ha instalado un sistema de alerta para comunicar cualquier alerta que se produzca con el objetivo de estar prevenidos.
Consejo de Transparencia
Por su parte, el Consejo de Transparencia y Protección de Datos de Andalucía ha señalado que, a raíz del ciberataque sufrido la pasada semana, se ha dirigido al Ayuntamiento de Jerez a los efectos de recordarle que es la autoridad a la que debe notificar la posible violación de seguridad de datos personales.
En una nota, ha recordado que el consejo, conforme a la Ley de Transparencia Pública de Andalucía, es la autoridad pública independiente de control en materia de protección de datos en la Comunidad Autónoma, habiendo asumido dicha competencia el pasado 1 de octubre.
En consecuencia, según señala, es el órgano supervisor de la aplicación del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos), que tiene por objeto la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de los datos personales.
En el articulado del citado reglamento se establece que, en caso de producirse una violación de la seguridad de los datos personales, debe notificarse la misma a la autoridad competente dentro de un plazo de 72 horas después de que el responsable del tratamiento haya tenido constancia de ella. A estos efectos, el Consejo dispone en su web (www.ctpdandalucia.es) de un formulario para facilitar la realización de esta notificación a los responsables, ha indicado.
Por otro lado, el consejo ha recordado al Ayuntamiento la obligatoria comunicación a la autoridad de control de la designación del Delegado de Protección de Datos y la difusión pública de sus datos de contacto.
Asimismo, ha comunicado al Ayuntamiento que tanto el incumplimiento del deber de notificación a la autoridad de control como la falta de comunicación a la misma del nombramiento del Delegado de Protección de Datos son "infracciones" previstas en la Ley Orgánica de Protección de Datos Personales que están sujetas al régimen sancionador establecido al respecto.
Finalmente, ha trasladado al Ayuntamiento su "total disposición para aclarar cualquier aspecto relacionado con la notificación de la violación de seguridad y, en general, con el cumplimiento de la normativa reguladora de la protección de datos personales".