El Ayuntamiento de Barcelona enfrenta una ola creciente de ataques informáticos: hasta mayo ha sufrido 25.000 eventos de seguridad, los mismos que en todo 2024, de los que 3.000 derivaron en el lanzamiento de alertas de ciberseguridad. En 144 ocasiones los ciberataques superaron los sistemas de defensas y tuvieron éxito en perturbar los sistemas informáticos del consistorio (en 33 casos de manera significativa) “aunque no provocaron problemas operativos a los ciudadanos”, señala David Esteban, director de Ciberseguridad (CISO) del consistorio barcelonés.
“El aumento de los ataques es una tendencia generalizada, que sufren todas las empresas e instituciones, no solo nosotros” señala Esteban. Los ataques que han identificado responden exclusivamente a motivos económicos. “Pero nosotros lo tenemos muy claro: no pagaremos”, por lo que el consistorio está poniendo todos sus esfuerzos en prevenir que los ataques tengan éxito y en planificar como se recuperaría la operativa si un ataque logra perturbar el funcionamiento de la informática municipal, dando prioridad a los servicios que más afectan a los ciudadanos. “Hemos de ser conscientes de que ataques dirigidos tendremos siempre”, señala Esteban. Cuando se producen, los hackers lanzan simultáneamente diversos tipos de ataques, como la activación de virus que encriptan la web y roban datos y el colapso de la web con la ayuda de bot, en ataques de DDoS (ataques de denegación de servicio distribuido).
Los ciberataques contra el consistorio que han tenido éxito han sido en su mayor parte a consecuencia de campañas de phishing que han conseguido las credenciales de trabajadores municipales. “Hemos introducido la identificación con dos factores, y esto lo está frenando”, señala. El ayuntamiento también ha tenido ataques masivos DDoS de bots para colapsar la web. Muchas grandes capitales españolas sufrieron este tipo de ataque en marzo, y en algunos casos fueron reivindicados por un grupo de hackers prorusos en represalia por el apoyo a Ucrania en el conflicto con Rusia.
Lee también
El Ayuntamiento tiene una red de 52 entidades: el Instituto Municipal de Informática gestiona directamente la informática de más de 40 de ellas, mientras que el resto de entidades, como las empresas públicas BSM o Bimsa tienen sus propios sistemas que gestionan directamente y “nosotros somos solo prescriptores” des medidas recomendadas de ciberseguridad.
La avalancha de ataques y su continuo crecimiento ha llevado al consistorio a poner en común sus estrategias de defensa con los ayuntamientos de Madrid y Málaga: sus responsables mantienen reuniones periódicas. “En nuestro campo la colaboración es esencial. Estamos también en un grupo de comunicación que incluye la mayoría de grandes ciudades de España y algunas empresas. Porque cuando una ciudad sufre un tipo de ataque seguramente a continuación lo sufriremos nosotros”.
La colaboración es también internacional, y especialmente estrecha con el ayuntamiento de Roma, con el que están coordinándose en la licitación del nuevo contrato del Centro de Operaciones de Seguridad (SOC). Actualmente es Minsait Cyber, una empresa del grupo Indra, la que gestiona el SOC. “En el nuevo contrato queremos estar seguros de pedir capacidades muy exigentes pero que pueda suministrarlas el mercado”.
Dos hitos: la licitación del nuevo SOC y el Plan Director de Ciberseguridad
La licitación del nuevo SOC, prevista para 2026, es uno de los dos ejes de la estrategia del ayuntamiento para reforzar la seguridad de sus operaciones. El otro es la licitación del Plan Director de Ciberseguridad, que prevén iniciar en los próximos días. “El crecimiento exponencial de los ataques obliga a revisarlo todo” señala Esteban. “Queremos hacer un mapa de riesgos para priorizar los recursos y concentrarlos en los puntos donde éste sea más grande”.
Los ciberataques, señala, ponen al Ayuntamiento ante un riesgo de información (el robo de datos), otro operativo (que se manipulen servicios esenciales como los semáforos, la iluminación o los radares) y un riesgo en la seguridad física de las instalaciones que albergan los equipos informáticos. “Tenemos centros de datos propios, además de sistemas redundantes, y hay que garantizar que no haya entradas no autorizadas, o que si se producen se detecten y neutralicen sin que puedan causar daños. Y los edificios municipales tienen también salas donde se realiza la conexión a la red municipal que igualmente hemos de proteger”. Un ataque supondría también un riesgo reputacional para el Ayuntamiento, y un riesgo financiero si afectara a la recaudación de impuestos, por ejemplo.
La prioridad: el riesgo operativo y el operacional
“Como Ayuntamiento, queremos priorizar la protección del riesgo operativo y el reputacional”, señala Esteban.
El Ayuntamiento tiene actualmente un equipo de 15 personas especializado en ciberseguridad, un área a la que destina un presupuesto del entorno de 5 millones de euros “dividido en múltiples departamentos” y en contratos con empresas de tecnologías que gestionan muchos de los servicios. El nuevo plan, que prevén tener listo el verano próximo, habría de incrementar esos recursos, reconoce Esteban.
De entrada el consistorio realizará este mes un simulacro de ciberataque, para entrenar a toda la organización en la respuesta a un incidente crítico, y ha iniciado una campaña de concienciación a su propio personal.
Lee también
“Globalmente se estima que el 80% de los ciberataques vienen por suplantaciones de identidad, por lo que el reto para las organizaciones a menudo no es tanto tecnológico, sino de adopción de la tecnología. Y en este sentido es muy importante hacer campañas internas, para que la seguridad no se vea como una molestia sino como algo que aporta valor porque protege también los datos y la privacidad de la persona, que quedarían expuestos a los hackers”.
