blogimpulsa

Per Víctor Almonacid Lamelas. Consultor i Directiu especialitzat en innovació pública i Lletrat expert en Dret digital.

1. Un problema molt real.

En la nostra col·laboració d’aquest mes, volem cridar l’atenció sobre un fenomen que, a diferència de l’apagada elèctrica del 28 d’abril de 2025 passat, no necessita foscor física per paralitzar una administració: els ciberatacs contra els ajuntaments. Si aquell tall de subministrament ens va recordar brutalment la nostra dependència de l’electricitat, els atacs cibernètics recents estan evidenciant una vulnerabilitat encara més preocupant: la nostra fragilitat davant d’amenaces invisibles però devastadores.

El cas més recent i mediàtic és el de l’Ajuntament d’Elx, víctima l’agost del 2025 del “ciberatac més greu de la seva història” segons paraules del seu alcalde, Pablo Ruz. Un ransomware va paralitzar completament els sistemes informàtics municipals i va obligar el consistori a aprovar una partida extraordinària de 4,5 milions d’euros per fer front a les conseqüències de l’atac. Però Elx no està sol: La Rinconada, Badajoz, Níjar, Vila Joiosa, Melilla i desenes de municipis més han patit atacs similars només el 2025.

I malgrat els nombrosos casos, sorprenentment encara no som conscients d’aquest perill, i per descomptat no hem assolit un nivell òptim de ciberresiliència, de la mateixa manera que, com es va demostrar durant la pandèmia, la resiliència entesa en termes generals tampoc no és el nostre punt fort (i per això se suposa que estem emprant els fons europeus homònims). Sigui com sigui, a l’Administració, molt poques persones es prenen seriosament la seguretat i la ciberseguretat, encara que hauríem de ser, perquè no tots som els responsables de la seguretat dels sistemes informàtics, però tots en som usuaris.

A sobre, a les AAPP fem servir gran quantitat de dades i informació sensibles. A l’època de la IA les dades van que volen, literalment, i de les dades viuen moltes entitats i particulars, ja que no en va són l’or del segle XXI, i no totes ho fan de manera legal. Hem referit el succés crític de més actualitat, però ja en portem acumulats centenars. El 19 de juliol de 2024 el món es va col·lapsar per una gegantina fallada del sistema que ens recorda, en certa manera, al temut “efecte 2000”. Finalment no va ser un ciberatac, però va demostrar que una simple actualització de programari té un enorme potencial destructiu. I un altre: recorden l’aplicació Pegasus que va fer estralls a Espanya i en uns quants països més? No és més que un spyware ordinari (això sí, molt eficaç i extremadament car) que s’instal·la a telèfons mòbils aprofitant alguna vulnerabilitat del sistema. Un cop infecta el dispositiu, el converteix en una eina d’accés total i espionatge remot. La principal virtut d’aquest programa de vigilància és que podeu utilitzar “tecnologia de zero clic”, és a dir, no necessita que la víctima faci cap acció conscient o inconscient per deixar-se infectar. Però això no vol dir que aquesta “víctima” no sigui responsable d’haver contribuït a crear, directament o indirectament, l’esmentada bretxa de seguretat.

Les dades són esgarrifoses. Segons el Centre Criptològic Nacional (CCN-CERT), les administracions públiques espanyoles van experimentar 107.000 ciberatacs el 2023, gairebé el doble que l’any anterior. A Espanya, el 34% dels atacs informàtics s’adrecen específicament a aquestes entitats. Un estudi de la firma Sophos revela que el percentatge de governs locals atacats va passar del 58% el 2021 al 69% el 2023, superant la mitjana global del 66%.

2. L’(ignorat) marc normatiu.

La seguretat comença per la seguretat reguladora, però el cas és que la normativa la tenim. Ja fa més de tres anys que es va aprovar el «nou» Esquema Nacional de Seguretat (Reial Decret 311/2022, de 3 de maig), ja completament integrat amb disposicions d’àmbit europeu, com el Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d’abril de 2016 personals, i la Directiva NIS (Security of Network and Information Systems), avui dia ja substituïda per la NIS2, sense oblidar el Reglament (UE) 2024/1689 del Parlament Europeu i del Consell, de 13 de juny de 2024, pel qual s’estableixen normes harmonitzades en seguretat d’intel·ligència artificial. I també amb les d’àmbit nacional, com la LOPDGDD, les famoses lleis 39 i 40 d’1 d’octubre del 2015 i el seu Reglament de desenvolupament (Reial Decret 203/2021, del 30 de març). A més, la normativa ENS s’ha d’interpretar conjuntament amb les diverses Estratègies Nacionals de Seguretat, el Pla Nacional de Ciberseguretat, el Pla de Digitalització de les Administracions Públiques 2021-2025 i l’agenda Espanya Digital 2025. Aquest és el marc normatiu de seguretat i ciberseguretat a Espanya.

En definitiva, hi ha un marc normatiu sòlid que hauria de protegir-nos. En realitat, complint dues regulacions clau ja tindríem molt avançat: seguretat i protecció de dades. L’Esquema Nacional de Seguretat (ENS) està operatiu des del 2010 i s’hauria d’haver implantat des del gener del 2014. Aquesta norma estableix de manera molt clara les mesures de seguretat que han d’adoptar les administracions públiques. L’esmentat Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica 3/2018 de Protecció de Dades complementen aquest marc regulador “de mínims”. Tot i això, la realitat dista molt de la teoria.

Segons dades de l’Associació d’Organismes de Cooperació (AOC), tot i que el 87% dels ajuntaments catalans utilitzen solucions certificades amb l’ENS, la immensa majoria no tenen la certificació integral de l’ENS, especialment les de menor dimensió i recursos. Un estudi va revelar que el 90% dels grans municipis espanyols se situen lluny del 80% exigit per l’Esquema Nacional de Seguretat.

Però anem al millor dels escenaris… Complint i fent complir totes aquestes normes estem fora de perill? No. La veritat és que, sent realistes, cap organització pot garantir al cent per cent que els seus sistemes d’informació es trobin protegits davant de qualsevol amenaça, però sí que es poden prendre mesures dirigides a prevenir els possibles atacs, reaccionar primerencament davant d’aquests i recuperar-se en el menor temps possible. Recordem que els principis bàsics pels quals es regeix l’ENS són: seguretat integral; gestió de la seguretat basada en els riscos; prevenció, detecció, resposta i conservació; existència de línies de defensa; vigilància contínua i reavaluació periòdica; i sistema de responsabilitats. D’entre totes les mesures de seguretat, les que ens agraden més són les de caràcter preventiu: anàlisi de riscos, configuració segura “per defecte”, efectivitat dels tallafocs, formació i conscienciació del personal, o habilitació de canals de comunicació d’incidències de seguretat, entre d’altres. I si ens haguéssim de quedar amb una, apostaríem sens dubte per la conscienciació. Una manera de treballar (i actuar) més responsable és el millor tallafoc. En definitiva, com va dir Bruce Schneier, «el maquinari és fàcil de protegir: tancar-lo en una habitació, encadenar-lo a un escriptori o comprar-ne un de recanvi. La informació planteja més d’un problema. Pot haver-hi més d’un lloc; ser transportada a la meitat del planeta en segons; i ser robada sense coneixement».

Hem de prendre consciència de la realitat en què vivim, una realitat canviant, que va molt per davant del Dret i de la capacitat de reacció del sistema, en què ni tan sols els hackers –més precisament els ciberdelinqüents– ja són els d’abans, quan es dedicaven bàsicament a fer “cibergamberrades”. Ara són capaços de la més tremenda destrucció: accés a informació de caràcter mèdic, a les nostres targetes de crèdit, atacs als sistemes informàtics d’empreses (SegurCaixa Adeslas), administracions (ajuntaments de Carcaixent, Cheste i algun molt important com Sevilla), i per descomptat equips particulars… Aquests accessos són il·legals i, en molts casos delictius (estafes, amenaces, difusió, revelació o cessió il·legal de dades…).

I encara que cap organització no pot garantir completament que els seus sistemes d’informació estiguin protegits davant de qualsevol amenaça, sí que té almenys l’obligació d’adoptar una conducta activa en la presa de mesures, fonamentalment preventives. Per exemple, l’ajuntament d’Alzira ha implementat, des de fa temps, les mesures de seguretat relacionades el Reial decret 3/2010 esmentat, del 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’administració electrònica. Parlem d’una norma «antiga» (encara que ja ha experimentat algunes modificacions, la més important la citada del 2022, i que requereix que les entitats ja certificades es recertifiquin amb la nova versió) i el compliment de la qual havia de fer-se efectiu, ja ho hem dit, el gener del 2014. Acumulem endarreriments de més d’una dècada en matèria de compliment de la norma. No s’hauria, ja que es tracta de mesures dirigides a prevenir els possibles atacs, de reaccionar primerencament davant d’aquests i recuperar-se en el menor temps possible. Per tant, potser no podem evitar tots els atacs, però hi ha molta diferència entre complir l’ENS i no complir-lo.

3. Un problema agreujat als ajuntaments.

Per què els ajuntaments són l’objectiu perfecte? La vulnerabilitat dels ajuntaments no és casual. Com explica Manuel Asenjo, CIO del despatx Broseta: “la vulnerabilitat rau en una combinació de factors que els fa particularment susceptibles”. Aquests factors inclouen:

• La informació que gestionen. Els ajuntaments disposen de dades personals sensibles de milers de ciutadans (padrons, expedients, informació fiscal), convertint-los en un botí molt atractiu per al cibercrim.

• Nivell de maduresa inferior. Molts ajuntaments presenten un nivell de ciberseguretat inferior al de grans empreses, a causa de la manca de pressupost, escassetat de personal especialitzat i obsolescència de sistemes informàtics.

• Complexitat de xarxes. Els consistoris tenen múltiples departaments amb sistemes i aplicacions diversos i generen una superfície d’atac molt àmplia.

• Factor humà. Els empleats, sense formació adequada, poden ser la baula més feble, caient en trampes de pesca o descarregant codi maliciós que compromet tota la xarxa.

• Serveis crítics. La interrupció de serveis públics essencials genera “una pressió enorme” per pagar rescats o invertir recursos massius en recuperació.

Tenir tots aquests hàndicaps, un punt de partida desfavorable al qual s’afegeix no estar preparats, surt car. Quan finalment passa un succés, i passarà, el cost de la improvisació és brutal. Els números parlen per si sols. Elx va destinar 4,5 milions d’euros per recuperar-se d’un sol atac. Però el dany va més enllà del que és econòmic: pèrdua de confiança ciutadana, interrupció de serveis essencials, deteriorament de la imatge institucional i, en molts casos, vulneració de dades personals de milers de ciutadans. En gairebé tres de cada quatre incidents de ransomware (76%) contra governs locals, els delinqüents aconsegueixen xifrar les dades. A més, el sector públic ha esdevingut el més afectat per robatori de dades: en un 48% dels casos no només s’hi xifren arxius, sinó que també s’exfiltra informació sensible, molt superior a la mitjana global del 30%.

Què podem fer els Ajuntaments? Entre els controls que estableix la normativa, podem destacar els següents tres tipus de mesures (els quals compartim per il·lustrar les organitzacions que volen millorar en seguretat):

1. Mesures de caràcter preventiu:

a. Es realitza periòdicament una anàlisi de riscos, identificant els actius crítics del sistema, les relacions existents entre aquests, valorant en termes de seguretat la seva criticitat i analitzant els possibles esdeveniments de seguretat a què es troben sotmesos tant en probabilitat com en impacte, proposant per als riscos resultants projectes que ajuden a ser cada dia menys tolerants al risc.

b. Es proporciona a l’usuari una configuració segura per defecte, de manera que es protegeix l’activitat de l’usuari, llevat que aquest conscientment s’exposi al risc.

c. Es disposa d’un tallafocs que separa la xarxa interna de l’exterior, de manera que només es deixa transitar els fluxos autoritzats prèviament.

d. S’han segregat les xarxes, acotant l’accés a la informació i, per tant, la propagació d’incidents de seguretat i s’han limitat al segment afectat.

e. Treballem amb les persones, no amb la tecnologia (que és un mer instrument). Un fet fonamental i en què l’Ajuntament ha insistit molt és la formació i conscienciació dels empleats públics, informant-los de les incidències més habituals, virus actuals i, sobretot, obrint un canal de comunicació d’incidències de seguretat perquè puguin escalar ràpidament qualsevol sospita d’incidència.

2. Mesures reactives:

a. Es disposa d’eines que protegeixen els serveis web més exposats (correu electrònic, serveis, aplicacions web i atacs de denegació de servei), que disposen d’alertes que permeten prendre decisions primerenques.

b. Es disposa d’eines que protegeixen l’ajuntament davant de virus, cucs, troians, programes espies (spyware), i en general, contra qualsevol malware.

3. Mesures de recuperació:

a. Es fan còpies de seguretat que garanteixen la continuïtat de les operacions en cas de pèrdua dels sistemes habituals de treball.

b. S’ha realitzat una anàlisi d’impacte i plans de continuïtat consegüentment, de manera que s’estableixen una sèrie d’accions a realitzar en el cas d’interrupció dels serveis prestats amb els mitjans habituals.

El Promptuari de ciberseguretat per a entitats locals, elaborat pel CCN i la FEMP, estableix clarament les responsabilitats d’alcaldes, regidors i funcionaris en matèria de ciberseguretat. Des de la definició d’estratègies fins a la creació de comitès de crisi, passant per la formació del personal i l’establiment de plans de contingència. Tot i això, la implementació real d’aquestes mesures és desigual i sovint insuficient. El Centre Nacional d’Intel·ligència (CNI) ha arribat a afirmar categòricament: “les entitats locals són susceptibles de patir un ciberatac, no és qüestió de preguntar-se si passarà, sinó de quan”.

Davant aquesta ceguesa apostem, com a mal menor, per un despertar tardà. La bona notícia és que alguns ajuntaments reaccionen. Municipis com els de Girona, Vilanova i la Geltrú, Manlleu, o l’esmentat d’Alzira, han certificat sistemes segons l’ENS, mentre que d’altres com Arenys de Munt o Agramunt han implementat els 35 controls del perfil bàsic CCN-STIC 890A. L’Ajuntament de Madrid ha creat fins i tot un Centre de Ciberseguretat (CCMAD) amb rang de subdirecció general. Però aquests són casos excepcionals. La realitat és que una de cada deu autoritats locals declara haver estat objecte d’un o més atacs informàtics només el 2024, i les previsions no són optimistes.

Per això hem proposat un paquet de mesures bàsiques, basades en el marc legal esmentat encapçalat per l’ENS i la normativa sobre protecció de dades, als quals afegiríem l’Estratègia de Ciberseguretat Nacional (i, en menor mesura, l’Estratègia d’Intel·ligència Artificial), així com les Recomanacions bàsiques de ciberseguretat del Centre Criptològic Nacional. Tot això sotmès a més a un procés de millora contínua de seguretat, de manera que el procés integral de la seguretat és actualitzat i millorat de manera ininterrompuda. I tot i així, en honor a la veritat, hem de reconèixer que no estem completament fora de perill. Això sí, és la nostra obligació, com a responsables de les dades dels nostres ciutadans i, en general, de la informació especialment sensible, posar-ho difícil als ciberdelinqüents. Aquesta qüestió és molt important; donem-li doncs la importància que té i, ja que apostem per la tecnologia, apostem també de manera clara per la seguretat dels sistemes que suporten tota la nostra activitat i informació. Fa molts anys que advertim que aquest és un dels aspectes més importants de l’administració electrònica. Però actualment el perill és molt superior al d’aquells anys incipients. Com més desenvolupament tecnològic, més risc. Ara arriba la IA, que també té la seva pròpia regulació, essencialment el Reglament d’Intel·ligència Artificial, que estableix un sistema força cautelós amb la seguretat i la protecció de dades que, atesa la seva novetat respecte d’altres normes que hem citat, encara trigarà encara més a complir-se. No podem ni imaginar la catàstrofe que s’acosta. La IA és un Ferrari que sembla que vulguem aparcar al carrer amb les claus posades.

Per a més informació o per contactar amb Víctor Almonacid