La AEPD, que ha archivado el incidente, avala la “rápida actuación” del ayuntamiento que actuó “acorde con la normativa”
El consistorio castellonense acomete una nueva fase en la gestión del ciberataque con la comunicación individualizada a aquellas personas que resultaron afectadas por el ataque informático sufrido entre los días 29 y 30 de marzo del pasado año al detectarse datos de carácter personal entre la información exfiltrada. Esta nueva fase se inicia una vez procesados, analizados y categorizados los datos que resultaron comprometidos a causa del ciberataque y una vez obtenida la información mínima necesaria y contrastada para iniciar este proceso de comunicación individual a posibles afectados con lo que se cumple el artículo 34 del Reglamento General de Protección de Datos.
En esta fase, el consistorio remitirá a partir de mañana 3.733 cartas informativas a vecinos en las que se indica que, tras el análisis de la información exfiltrada, se ha detectado que constan datos de carácter personal. En la misiva se informa de los posibles riesgos que podría acarrear la exfiltración de datos, como la divulgación a terceros o su difusión, el enriquecimiento de bases de datos ajenas al Ayuntamiento, que los datos puedan ser explotados con fines ajenos a la actividad municipal u otros fines ilícitos.
Por ello, se informa al afectado de que puede obtener más información al respecto presentando una solicitud dirigida al Ayuntamiento, de manera presencial o a través de la sede electrónica (https://sede.castello.es/), o bien contactando en la dirección de correo dpd@castello.es.
Por otra parte, el Ayuntamiento ya notificó anteriormente de manera individualizada a personas afectadas por la exfiltración de datos de carácter especialmente sensible y tomó medidas específicas para reducir los posibles perjuicios.
Tal y como recoge el Reglamento General de Protección de Datos, el Ayuntamiento ha realizado una comunicación general a través de la página web municipal con el objetivo de informar al mayor número posible de personas, ya que no toda la información comprometida a causa del ciberataque permite la identificación personal del posible afectado tras la categorización de la información exfiltrada. También se ha notificado mediante comunicación interna a trabajadores municipales afectados por el ciberataque.
También, este mismo lunes, la concejala de Innovación Digital, Monica Barabás, ha dado cuenta e informado de esta nueva fase de gestión del incidente informático ante la Junta de Gobierno Local, ante la Junta de Portavoces y ante los representantes sindicales municipales.
Proceso de restauración
El Ayuntamiento sufrió un ataque informático entre los días 29 y 30 de marzo del pasado año que afectó a la infraestructura y equipos informáticos municipales, así como a las aplicaciones y servicios informáticos que funcionan a través de redes y, en general, a información obrante en los sistemas municipales de información y comunicaciones. Pese a la agresividad de la intrusión, dicha cantidad de información únicamente supuso el 0,21% de la totalidad de la información almacenada en la infraestructura municipal. Además, un mes después del ataque se pudo recuperar el 99% de los servicios informáticos, alcanzando la restauración total el pasado 3 de noviembre.
En este tiempo, se han restaurado nueve servidores, 137 servidores virtuales, y se han formateado, restaurado y actualizado 432 ordenadores personales, entre otras tareas de restablecimiento como nuevas altas de 1.362 usuarios TIC del Ayuntamiento. También se han adoptado más medidas de refuerzo de la seguridad y de protección de la infraestructura. Asimismo, durante este periodo se ha estado realizando un examen pormenorizado de la información exfiltrada de cara a la identificación de las personas afectadas para proceder a la notificación individualizada.
Además, el Ayuntamiento de Castelló ha contratado un servicio de vigilancia digital que incluye la monitorización de las publicaciones en internet, ‘dark web’ y otras fuentes abiertas con la finalidad, en su caso, de poder adoptar con carácter inmediato medidas adicionales de protección de las personas afectadas en el supuesto de que se detecte cualquier tratamiento de los datos publicados ilícitamente.
Cabe recordar que el Ayuntamiento notificó el incidente a la Agencia Española de Protección de Datos (AEPD) y se denunció ante la Policía Nacional (con posteriores ampliaciones) y ante el Centro Criptológico Nacional (CNN), dependiente del Centro Nacional de Inteligencia (CNI).
Archivo de la AEPD
Finalmente, cabe destacar el archivo de actuaciones por parte de la AEPD el pasado 26 de julio de 2021 al concluir que el Ayuntamiento, “con anterioridad a producirse la brecha (de seguridad), disponía de las medidas de seguridad organizativas preventivas y razonables para evitar este tipo de incidencias”. La resolución de la AEPD también destaca “la rápida actuación del Ayuntamiento desde el mismo momento en que tuvo conocimiento de los hechos, adoptando una actitud proactiva en su resolución”, así como las “nuevas medidas implementadas en orden a prevenir posibles ataques futuros”.
Por todo ello, la AEPD concluye que “se ha acreditado que la actuación del Ayuntamiento, como entidad responsable del tratamiento, ha sido acorde con la normativa sobre protección de datos personales”.