El caos por el Covid abre una grieta en la privacidad de los datos del SEPE

Explican también que este acceso no está informáticamente restringido únicamente a la persona que está resolviendo ese expediente, y también que, una vez resuelto, tampoco se borra esa información sino que permanece almacenada en las bases de datos. «La consecuencia de todo lo anterior es que ante un ciberataque como el que ha sufrido el SEPE, todos esos datos personales quedan gravemente en riesgo y solamente queda creer en la sinceridad de las declaraciones del director general del SEPE, Gerardo Gutiérrez , al decir que no se han visto comprometidos esos datos», explican las mismas fuentes. Añaden que si ha sido así es «porque no se ha querido capturar esos datos, no porque no hayan estado al alcance».

El organismo que paga el desempleo se mantenía ayer a medio gas, tras una semana desde que los piratas informáticos perpetraran un ataque con un virus de tipo ‘Ransomware’ , especializado en cifrar datos y secuestrar los ordenadores. Al complejo proceso de recuperación se une la advertencia lanzada ayer por CSIF : «Con casi total seguridad habrá retrasos en la gestión y aprobación de las nuevas prestaciones este mes». Es decir, estas se reconocerán y tramitarán, pero su cobro no llegará puntual dada la cola de resoluciones atascadas desde el martes día 9.

El problema es que, hasta ayer, las solicitudes se recogían con lápiz y papel en las más de 700 oficinas presenciales; ahora que ya van recuperándose diferentes funcionalidades hay que volcarlas al sistema. A ello se une que la carga de trabajo ya era elevada antes de la irrupción de los ciberdelincuentes . Según estimaciones de diferente sindicatos, a diario pueden llegar a entrar entre 100.000 y 120.000 nuevas solicitudes.

La plantilla del SEPE viene denunciando en los últimos días la sobrecarga de trabajo y la antigüedad de sus sistemas y aplicaciones informáticas, con más de 30 años. Un hecho reconocido también en una circular interna datada en 2019 y firmada por el director general del SEPE, Gerardo Gutiérrez, de la que ya informó ABC. Sin embargo, el organismo obvió el problema por el miedo a que un cambio informático pudiera afectar al pago de prestaciones , según los documentos que obran en poder de este diario.

No está ayudando en la solución del ciberataque el uso de portátiles personales por parte de los funcionarios que teletrabajan, lo que ha podido ser una puerta de entrada del virus, tal y como avanzó este periódico. Desde CSIF, su coordinador nacional en el SEPE, Manuel Galdeano, ha exigido a la Dirección General de la institución que aquellos equipos que han realizado teletrabajo «sean analizados y sea resuelta cualquier afectación de los mismos por parte de los servicios informáticos».

Los 8.000 funcionarios del organismo usaron también durante el primer confinamiento sus propios móviles y, por ello, tuvieron que hacer frente a unas facturas telefónicas más elevadas de lo habitual debido al importante número de terminales a los que debían llamar. Según CSIF, desde el pasado verano se ha introducido una aplicación para que los empleados públicos puedan llamar a través de internet (una conexión IP), y también han logrado que el SEPE compense esta circunstancia.

El auténtico test de estrés que ha supuesto la pandemia ha obligado a este organismo a poner al 101% a todos los efectivos disponibles, así como a los 1.500 funcionarios interinos incorporados como apoyo durante el año pasado. Un refuerzo que el sindicato de funcionarios ve insuficiente y, además, ha obligado a un esfuerzo de formación extra, ya que la experiencia de estos interinos era totalmente ajena a la actividad del SEPE. Todo ello agravado por la ola sin precedentes de nuevas solicitudes de prestaciones por paro que ha sufrido el organismo por el Covid, según fuentes consultadas

En este sentido, Galdeano defiende que todos los funcionarios tengan acceso a la información que necesitan para realizar su trabajo y recuerda que el ciberataque de la semana pasada fue perpetrado por un ‘malware’ (software malicioso) de última generación «tras el que hay verdaderos ciberdelincuentes».

Para el fundador de Securízame.com, Lorenzo Martínez, no se trata solo de una cuestión de «usuario y contraseña». En este sentido, cree que lo relevante está en la «política de autorización» y recomienda que esta gire alrededor de dos conceptos: el ‘need to know’, es decir, el que la persona acceda a las aplicaciones y datos estrictamente necesarios para hacer su trabajo. «O bien el enfoque puede ser el de la ‘list of privilege’, que privilegia el acceso, para que el usuario no pueda usar lo que no necesite para su labor», explica este experto. En paralelo, el representante de CSIF muestra su preocupación por la antigüedad de los sistemas y aplicaciones del SEPE. Una realidad que, a pesar de haber una partida presupuestada este año de 100 millones de euros para la modernización de equipos, no se ha sustanciado aún, según apuntan desde el sindicato.