El SEPE usó durante años programas pirata pese al riesgo “muy crítico” para la seguridad de sus sistemas

El segundo ciberataque al Ministerio de Trabajo en apenas tres meses ha puesto al descubierto la alta vulnerabilidad y los problemas de seguridad de una de las bases de datos de la Administración Pública de mayor sensibilidad y atractivo para los hackers, junto con las del Ministerio de Hacienda. Fuentes del departamento de Yolanda Díaz niegan que se haya producido fuga de datos o que se haya puesto en peligro documentación sensible. Sin embargo, analistas informáticos consultados por este diario dudan de ello, ya que el mero hecho de haber secuestrado varios servidores y encriptado miles de archivos ya significa «una falla de seguridad grave», al haber pasado toda esta información al control de los «hackers» atacantes.

Por esa razón, cuesta creer que los protocolos, servicios y sistemas de seguridad digital e informática en el Servicio Público de Empleo Estatal (SEPE) estuvieran en manos de programas denominados «piratas» por los expertos. Según ha conocido LA RAZÓN, las bases de datos personales y laborales de millones de trabajadores españoles estuvieron desprotegidas por el uso indiscriminado de programas no autorizados ni homologados por la Agencia Española de Protección de Datos (AEPD), al menos hasta el año 2019. Fuentes conocedoras de esta situación han confirmado el uso generalizado de programas como Banshee, BigBrother, Moira, Prepara, Cerebro Sispe, Lanter, Blade, Legion, Sentinel , Cerebro Gestor o Cerebro Certificados para el tratamiento de información y datos personales y laborales que incumplían los estándares de seguridad oficiales, saltándose la normativa vigente establecida por la AEPD. La dirección del SEPE estaba obligada a poner en conocimiento de la Agencia el uso de estos programas, pero ante el temor de que no obtendría su visto bueno porque contravenían la normativa decidió no comunicarlo para poder seguir utilizándolos. «No fue una decisión malintencionada en sí, simplemente era nuestra única opción para mantener nuestra operatividad», explicó a este diario un trabajador que los utilizó durante años.

Hasta el 25 de mayo de 2018 –fecha de la entrada en vigor del Reglamento General de Protección de Datos (RGPD)– existía la obligación de inscribir todos los ficheros en el Registro de la AEPD. Con la aplicación del RGPD desapareció esta obligación y se sustituyó por la de mantener y actualizar un Registro de Actividades de Tratamiento. En el caso del SEPE, tanto antes como después de esa fecha, se siguieron utilizando esos programas, desoyendo la obligación de comunicar y mantener actualizados ante la AEPD todos los ficheros y programas en uso. Ante el temor de que se desautorizaran sus aplicaciones, la dirección decidió no informar para evitar su cancelación.

En el Inventario de Actividades de Tratamiento que realiza el SEPE sobre sus programas informáticos –que es el que se entrega a la Agencia, siempre con fecha previa a 2019– no se hizo referencia a ninguno de estos programas que trataban datos personales, confidenciales y protegidos de millones de personas. Por esta razón, en el listado oficial del Ministerio de Trabajo no aparece referencia alguna a estos programas por no contar con autorización oficial.

Una auditoría interna del SEPE realizada en el primer semestre de 2019 por parte de la Subdirección General de Tecnologías de la Información y Comunicación (SGTIC) evaluó «la estructura, funciones, amenazas y salvaguardas» de la intranet provincial del SEPE-Valencia desde finales de 2015. La conclusión no pudo ser más clara: el nivel de riesgo potencial era de 6,8 –puntuación incluida como «riesgo muy crítico»– en una escala de 0 a 10, siendo el valor 0 el de riesgo inapreciable y 10 el de extremadamente crítico.

Por esta razón, constatadas las numerosas y graves deficiencias de alta seguridad –que eran extensibles a la mayor parte de las delegaciones provinciales del organismo de empleo público–, la Dirección General del SEPE decidió, con fecha 26 de julio de 2019, no seguir asumiendo este riesgo «muy crítico» y puso fin al uso de estos programas, cuya falta de seguridad ponía en peligro estos bancos de datos tan sensibles. Pese a ello, «no se descarta que algunas provincias puedan seguir usándolos, porque cada una es un mundo», explican fuentes internas del SEPE.

El Ministerio de Trabajo ha confirmado que en la actualidad ya no se está produciendo esta situación y defienden que, desde el momento en que se hizo cargo de esta responsabilidad la actual dirección del Servicio de Empleo, «se trabaja para mejorar el tratamiento de los datos con los que opera el organismo». Según han explicado a este periódico, el SGTIC, en colaboración con el personal informático de las direcciones provinciales, «ha inventariado las aplicaciones con las que trabajan y ha desarrollado otras nuevas con el objetivo de prestar un servicio eficaz, homogéneo y seguro. Estas aplicaciones pueden ser utilizadas, únicamente, por el personal autorizado y respetan plenamente la garantía de protección de datos exigida por la legislación vigente».