Diario del Derecho. Edición de 18/10/2017
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 06/02/2013
 
 

Para "poner en evidencia" la inseguridad del sistema informático

La Fiscalía denuncia a dos funcionarios del Ayuntamiento de Granada por espiar nóminas de políticos

06/02/2013
Compartir: 

La Fiscalía se ha querellado contra dos funcionarios del Ayuntamiento de Granada por espiar las nóminas de políticos, entre ellos el alcalde, José Torres Hurtado (PP), con el objetivo de "poner en evidencia" la supuesta inseguridad del sistema informático tras su destitución en sus puestos del Centro de Proceso de Datos municipal (CPD).

GRANADA, 5 (EUROPA PRESS)

El fiscal delegado de criminalidad informática, Francisco Hernández, que presentó la querella este lunes 4 de febrero ante los juzgados de Instrucción de Granada, les atribuye un delito de descubrimiento y revelación de secretos cometido por funcionario público y otro en su modalidad de acceso y mantenimiento inconsentido en un sistema de información.

Según consta en la querella, a la que ha tenido acceso Europa Press, fue el 14 de julio de 2011 cuando se produjo una reorganización administrativa del Centro de Proceso de Datos del Ayuntamiento de Granada, cesando como director técnico a José A.S.R., que a partir de ese momento quedaba adscrito al director técnico recién nombrado. El otro denunciado, Eduardo P.F., fue igualmente cesado como subdirector de soporte, pasando al puesto de jefe de servicio de la subdirección de desarrollo y soporte del CPD.

Los querellados mostraron su desacuerdo con estas decisiones tanto de manera oficial como en comentarios y manifestaciones propias relativas a sus nuevos puestos. Así, durante el mes de octubre de 2011 José A.S.R. fue requerido a la recepción de las directrices dictadas por el nuevo director técnico hasta en cuatro ocasiones, pasando él mismo a determinarlas mediante correo electrónico interno remitido a los miembros del CPD el 7 de noviembre de 2011.

Según señala el fiscal, el Sistema de Información Municipal (SIM) fue desarrollado por José A.S.R., que se negó, pese a las reclamaciones del equipo de gobierno, a entregar el código fuente de la aplicación, alegando que el departamento informático tenía conocimiento suficiente del mismo.

Consecuencia del cambio de funciones y de dicho comportamiento fue la retirada de permisos de acceso a recursos del sistema informático del CPD por el responsable de seguridad.

UNA APLICACIÓN PARA CONSULTAR LAS NÓMINAS

Por otra parte, desde noviembre de 2010 se hallaba en explotación una aplicación diseñada inicialmente por el equipo de José A.S.R. para la consulta de las nóminas por los funcionarios de la corporación local, un fichero que estaba inscrito en el registro de la Agencia Española de Protección de Datos.

A la vista del buen funcionamiento de la aplicación, se decidió su extensión al resto de funcionarios locales así como su capacidad para ser consultado vía Internet --no por la Intranet municipal, como hasta ese momento--, iniciándose los trabajos de acomodación en noviembre de 2011. El proyecto se puso en explotación en marzo de 2012, tras haberse realizado pruebas el mes anterior, siendo ampliada la consulta vía Internet no sólo a los datos de nómina, sino también a los de los certificados de retenciones en abril de 2012.

En mayo de 2012 se realizó una actualización del visor 'Nóminas' para permitir una mejor ordenación de los documentos consultables, siendo desarrollada por otro trabajador, asesorado a su petición por José A.S.R.

Hasta ese momento, desde su implantación en noviembre de 2011, la aplicación no había generado ningún problema de seguridad, ni se habían detectado accesos no autorizados. Sin embargo, tras cargarse y ponerse en aplicación la actualización mencionada a las 11,59 horas, comenzaron a producirse accesos no autorizados a partir de las 12,03; accesos que continuaron hasta las 22,26 horas.

Los denunciados se hallaban a esa hora en las dependencias del Centro de Proceso de Datos, y el acceso, según el Ministerio Público, se produjo mediante el empleo de una subrutina no documentada del SIM (/sacanomina) que soslayaba los mecanismos de seguridad lógica instalados (la necesidad de autenticación con certificado digital). Inicialmente se realizó accediendo a nóminas correspondientes a miembros del CPD, pero, aun constatados con dichos accesos la vulnerabilidad de la aplicación, éstos siguieron realizándose desde equipos internos del CPD y externos a información de naturaleza económica de personas ajenas al CPD, incluidas la secretaria de la corporación municipal y el propio alcalde.

De hecho, se produjeron numerosos accesos a las nóminas de la fedataria local durante la tarde del día 31, siendo precisamente su información la que empleó José A.S.R. para comunicarle al teniente de alcalde de Personal, Juan Antonio Fuentes, la existencia de esta vulnerabilidad. El acceso fue a su vez comunicado por el edil a su equipo técnico, procediéndose entre las 20,00 y las 22,00 horas a su subsanación.

Sin embargo, los accesos se realizaron además por otro tipo de ataque no comunicado en la forma anterior. Haciendo uso de otra subrutina (/doc2) se tenía acceso directo a documentos del SIM, invocando directamente su número de identificación. Este tipo de accesos se realizó el 31 de mayo y el 4 de junio de 05,58 a 06,51 horas, desde una dirección IP no correspondiente al rango de direcciones IP del proveedor de comunicaciones electrónicas del Ayuntamiento.

TENÍAN CONOCIMIENTO DEL FUNCIONAMIENTO DEL SISTEMA

Según el fiscal de criminalidad informática, ambos tipos de accesos fueron directos, es decir, no precedidos de intentos y tanteos de hallazgos de vulnerabilidades. Por este motivo y por el uso de subrutinas no documentadas de la aplicación SIM, el personal técnico consideró que únicamente una persona de la organización, con conocimientos de la aplicación SIM, pudo cometer los hechos.

Parte de los accesos fueron realizados mediante el empleo de los certificados digitales de los denunciados, José A.S.R. y Eduardo P.F. Así, el fiscal considera que, sin descartar la participación de otras personas en coordinación con ellas, los acusados realizaron dichos actos para "poner en evidencia" la presunta inseguridad del Sistema de Información Municipal, "debida a la mala gestión y organización del CPD ocasionada por su destitución tras la última remodelación operada en el CPD el 14 de julio de 2011".

De esta forma, sin hallarse adscritos al proyecto ni autorizados para el empleo de los recursos físicos, lógicos o informacionales del SIM, "generaron un ataque al SIM y se mantuvieron en el mismo mucho más tiempo del preciso para la mera detección y neutralización de los posibles problemas de diseño de la aplicación Visor Nóminas y Visor Retenciones".

Además, lo hicieron "con el propósito de documentar en los registros de la aplicación un incidente que comprometiera la imagen de la corporación local en materia de seguridad informática de sus recursos, obligándole a afrontar las posibles consecuencias en el plano legal y de deterioro de su imagen pública frente a los organismos públicos encargados de la protección de la información personal almacenada en el SIM.

Prueba de ello es que el 26 de junio, recuerda el fiscal, el denunciando Eduardo P.F. --como miembro del sindicato CC.OO-- y otros representantes sindicales dieron una rueda de prensa en la que dieron cuenta tanto del hecho acaecido como de la naturaleza y descripción de los ataques realizados, explicando detalladamente a los medios informativos convocados "cómo convertirse en un hacker" del sistema informático municipal. Información que, por otra parte, ambos denunciados ya habían ofrecido en explicaciones dadas a medios de comunicación desde el 19 de junio.

Por todo, la Fiscalía interesa que se le tome declaración a los dos denunciados en calidad de imputados y ofrece al Ayuntamiento la posibilidad de personarse como parte perjudicada. Asimismo, pide a la Policía Nacional (Delitos Tecnológicos) que informe de las direcciones IP vinculadas con los accesos no autorizados.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2017

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana