El Gobierno alega motivos de seguridad nacional

Transparencia insta a Díaz a desvelar la autoría y las secuelas del hackeo al SEPE

El organismo obliga al Ministerio de Trabajo a revelar las causas del ciberataque sufrido en marzo de 2021, la identidad de los atacantes y sus pretensiones, así como los datos confidenciales que fueron vulnerados.

Yolanda Diaz
Transparencia insta a Díaz a desvelar la autoría y las secuelas del hackeo al SEPE
Europa Press

Hace 10 meses, el Servicio Público de Empleo Estatal (SEPE) sufrió un ciberataque que provocó la paralización casi total de su actividad y que a día de hoy continúa rodeado de un difuso halo de misterio. Se desconoce la autoría y el alcance real de un hackeo que mantuvo en vilo al organismo durante semanas y provocó importantes retrasos en el pago de prestaciones de paro. Desde un primer momento, el Ministerio de Trabajo alegó motivos de seguridad nacional para evitar dar cuenta de lo sucedido públicamente, pero el Consejo de Transparencia y Buen Gobierno considera que esa no es razón suficiente para mantener en secreto información como la identidad de los atacantes, sus pretensiones o los datos que fueron vulnerados y ha instado al departamento que dirige Yolanda Díaz a desvelar todo lo que sabe.

En mayo de 2021, dos meses después del hackeo, se solicitó al Ministerio de Trabajo, a través de Transparencia, información sobre las causas del ciberataque, la identidad de los atacantes y sus pretensiones, así como los datos confidenciales que se pusieron en peligro. El SEPE denegó el acceso a esta información, alegando que supondría "un perjuicio para la seguridad pública", porque "proporcionaría información sobre el sistema de Tecnologías de la Información y Comunicaciones de este Organismo, y de aspectos comunes de seguridad de la Administración General del Estado, así como desvelaría aspectos que pudieran suponer un riesgo para la seguridad". "Ello haría aún más complicado, e incluso invalidaría, la labor de defensa de unas infraestructuras tecnológicas que dan soporte a un servicio esencial como es la gestión del sistema de protección por desempleo", concluyó.

Frente a esa respuesta, el interesado presentó una reclamación ante el Consejo de Transparencia, alegando que no había ningún riesgo para la seguridad porque no se había solicitado información sobre los sistemas de defensa o de reparación, ni ningún dato de carácter técnico. Pero el SEPE insistió en que el restablecimiento de los sistemas se había realizado bajo la supervisión del Centro Criptológico Nacional, que cuelga del Centro Nacional de Inteligencia (CNI), y en coordinación con la Secretaría General de Administración Digital, "siendo evidente que se trata de información que está sometida a limitaciones en el derecho de acceso" y cuya divulgación podría entrañar riesgos para la seguridad de la infraestructura tecnológica de gestión del sistema de protección por desempleo y para el conjunto de la Administración General del Estado.

Pero Transparencia, en una resolución fechada a 8 de noviembre de 2021, considera que "no existe una justificación suficiente que ampare la denegación del acceso a la información solicitada". En primer lugar, porque la Administración se limita a justificar la denegación total del acceso con una "inespecífica referencia al impacto que la revelación de la información solicitada tendría sobre la seguridad tecnológica del organismo afectado y de la Administración General del Estado, sin mayores concreciones". Y en segundo término, porque el "carácter genérico" de la información solicitada permite "modular el alcance de la respuesta" para conceder el acceso a "aquella parte de información cuyo conocimiento público no suponga un perjuicio real para la seguridad pública y la seguridad nacional".

Transparencia va más allá y añade que "buena prueba de que este deslinde es factible la ofrece el hecho de que la propia ministra de Trabajo y Economía Social, en su comparecencia en la sesión de la Comisión de Trabajo, Inclusión, Seguridad Social y Migraciones del Congreso de los Diputados celebrada el 22 de marzo de 2021, proporcionó determinada información sobre los aspectos que han sido objeto de la solicitud de información pública denegada por su Departamento ministerial". Cabe recordar que, en aquella intervención, celebrada apenas dos semanas después del ciberataque, Yolanda Díaz informó de que se había procedido a la contención de la amenaza para evitar su propagación, así como a la investigación de las causas y la restauración de los servicios, y aseguró que no se iban a producir retrasos en las nóminas (algo que, por cierto, negaron los sindicatos).

Por todo esto, Transparencia obliga al Servicio Público de Empleo Estatal del Ministerio de Trabajo a remitir al reclamante toda la información relacionada con el incidente de seguridad en sus instalaciones relativa a las causas del ciberataque, la identidad de los atacantes y sus pretensiones, así como información de los datos que se pusieron en peligro durante aquellas semanas del mes de marzo de 2021. Eso sí, pudiendo excluirse de esta información, según aclara el organismo público en su resolución, todos aquellos aspectos que resulten afectados por los límites previstos en la ley para los motivos de seguridad nacional, siempre que estos estén correctamente motivados en los términos exigidos en la legislación.

En un primer momento, Yolanda Díaz aludió a "motivos de seguridad del Estado" para justificar la imposibilidad de comentar en público los pormenores del hackeo. Según explicaron entonces fuentes al tanto de la investigación, la discreción era clave para evitar filtraciones de información que revelaran posibles grietas en los sistemas y pudieran provocar nuevos ataques al mismo SEPE o a otras administraciones públicas interconectadas a través de bases de datos, como sucedió apenas dos meses después en el mismo Ministerio. Lo cierto es que, a estas alturas, Trabajo dispone de un informe detallado del origen del ciberataque y su afectación, pero ni es público ni se espera que vaya a difundirse. Lo único que se sabe con certeza es que se trató de un ransomware Ryuk que tumbó al SEPE durante semanas y dejó en evidencia la vulnerabilidad de sus sistemas informáticos.

Mostrar comentarios