Programas pirata con nombres de superhéroes para proteger los datos de millones de trabajadores

Los últimos ciberataques sufridos por el Ministerio de Trabajo y sus organismos en apenas tres meses han dejado en evidencia la vulnerabilidad y la de seguridad de sus sistemas operativos y sus bases de datos, que han podido estar en peligro por las actividades ilícitas de los hackers. Aunque fuentes ministeriales han negado que los datos de los millones de trabajadores españoles hayan estado en algún momento en peligro, la realidad es que hasta 2019 los protocolos, servicios y sistemas de seguridad digital e informática de muchas delegaciones del Servicio Público de Empleo Estatal (SEPE) estuvieron protegidos por soporte informático de origen «pirata», no autorizado ni homologado por la Agencia Española de Protección de Datos (AEPD).

Aunque este uso de software ilegal fue generalizado en este organismo desde los 90, en el caso de la delegación del SEPE de Valencia la situación cobró tintes inesperados. Durante años, la seguridad de los bancos de datos, los sistemas operativos y los servicios de esta delegación estuvieron protegidos por programas informáticos creados con nombres como Banshee, Blade, Legion, Cerebro, Arrow, Blackpanther, Cage, Flash, Lantern, Legion, McCoy, Prometheus, Rogers, Sentinel, Stark... ¿Qué tienen en común todos estos nombres? Pues que son superhéroes y protagonistas de famosos cómics de Marvel o de DC. Y todos ellos se utilizaron violando las leyes de seguridad y de protección de datos.

Especial relevancia tenía el programa bautizado como Cerebro, ya que entre sus funciones estaba el acceso a las consultas de la vida laboral y de las bases reguladoras -con toda la información y datos personales que conllevan- de los millones de trabajadores que gestiona la Seguridad Social. Igual que con el resto, la utilización de este programa fue ocultada a la AEPD, a la que nunca se le informó de su uso hasta que se abrió una investigación.

Situación grave

«A esta gente, en su delirio, no se le ocurrió otra cosa que poner nombres de superhéroes de comic a los programas informáticos piratas que creaban. Nunca hemos visto nada igual en la Administración Pública. Si no estuviera en juego la seguridad y los datos personales de cientos de miles de personas, la cosa no dejaría de ser una anécdota o una memez, pero con lo que estaba en juego, la situación era mucho más grave que eso», explican a LA RAZÓN fuentes internas del SEPE en la Comunidad Valenciana.

Todo esto tiene que ver con la pasión que los equipos directivos y de soporte técnico de esa delegación tenían por los cómics, auspiciados por el director, Pedro J. Beneyto. La situación llegó a tal extremo que se utilizó la página oficial de la intranet de la Dirección Provincial de Valencia para lamentar la muerte del famoso dibujante estadounidense Stan Lee -creador de personajes tan famosos como Spiderman, X-Men, Hulk, Iron Man, Thor, Daredevil, Doctor Strange o Black Panther-, ocurrida el 12 de noviembre de 2018. Según la normativa vigente, este tipo de soporte está exclusivamente habilitado para publicar información técnica sobre legislación laboral y enviar instrucciones de trabajo al personal pero, en este caso, se utilizó de forma fraudulenta para hacer una dedicatoria de pésame y «un emotivo homenaje» para darle las gracias «por los buenos momentos que nos has dado», se podía leer.

Mientras esta delegación acumulaba importantes problemas de gestión, con las oficinas colapsadas, con un déficit preocupante de personal y la frustración de su plantilla disparada, «lo realmente trágico que ocurrió a juicio de la Dirección Provincial del SEPE en Valencia fue la muerte de Stan Lee», critican irónicamente las mismas fuentes.

Auditoría

Unos meses después, en el primer semestre de 2019, una auditoría interna realizada por la Subdirección General de Tecnologías de la Información (SGTIC) revelaba un «riesgo muy crítico» en los sistemas de seguridad y de protección de datos en Valencia, y la Dirección General del SEPE no tuvo más remedio que intervenir. Tras evaluar «la estructura, funciones, amenazas y salvaguardas» de la intranet provincial y de todos sus sistemas operativos y de protección desde finales de 2015, la conclusión no pudo ser más concluyente: riesgo potencial de 6,8 sobre 10, es decir, «riesgo muy crítico». Por esta razón, constatadas las numerosas y graves deficiencias de seguridad –que se hicieron extensibles a la mayor parte de las delegaciones provinciales del organismo de empleo público–, la Dirección General del SEPE decidió, con fecha 26 de julio de 2019, poner fin al uso de estos programas, que en la actualidad «han sido completamente descartados. Se trabaja para mejorar el tratamiento de los datos con los que opera el organismo», explicaron a este diario desde el Ministerio de Trabajo. El SGTIC, en colaboración con el personal informático de las direcciones provinciales, «ha inventariado las aplicaciones con las que trabajan y ha desarrollado otras nuevas que respetan plenamente la garantía de protección de datos exigida por la legislación vigente», defienden.

Miembros de la plantilla del SEPE de Valencia han confirmado a este periódico que la utilización de estos programas «no era optativa», sino que se convirtió en «obligatoria» para todos los funcionarios de la delegación. Por ello, cuando muchos funcionarios se negaron a utilizar estos programas pirata, fueron advertidos de «las graves consecuencias que podría acarrearles su negativa. De hecho, hubo varias denuncias internas advirtiendo de la ilegalidad y el riesgo de estos programas ilegales, que fueron silenciadas con amenazas por la Dirección».

Pese al conocimiento de todas estas irregularidades por parte de la delegación, la entonces ministra de Política Territorial y Función Pública, Carolina Darias, a través de la Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios (Aeval), concedió en diciembre de 2020 al director provincial del SEPE en Valencia, Pedro J. Beneyto, la distinción Sello de Cristal «por su contribución a la excelencia y a la innovación en la gestión pública», así como su «excelencia acreditada en la aplicación de los programas de mejora de la calidad» del servicio público, rezaba el texto de la mención.

Fuentes internas de la Dirección General del SEPE confirmaron a LA RAZÓN que la solicitud de apertura de una investigación interna -presentada de acuerdo a lo que exige la legislación de la Administración Pública- fue denegada y archivada, pese a que el director general de la entidad, Gerardo Gutiérrez Ardoy, «era conocedor de los hechos y de la necesidad de una depuración de responsabilidades». A día de hoy, los responsables de todas estas irregularidades siguen sin haber dado cuenta de sus responsabilidades y no se ha impuesto ninguna sanción.