El Ayuntamiento de Sevilla se rearma contra los hackers un año después del gran ciberataque

Ya ha pasado un año desde que los servicios informáticos del Ayuntamiento de Sevilla fuesen ciberatacados duramente. El 5 de septiembre de 2023 un grupo de hackers holandeses, Lockbit, dejó inutilizada su sede electrónica al atacar a 4.000 equipos, que rápidamente fueron apagados para evitar una fuga de datos. Durante más de un mes se paralizaron todos los trámites telemáticos que tenían que hacer los sevillanos con las diferentes oficinas virtuales del consistorio: pagos de tributos locales, gestiones telemáticas y consultas online.

Cuarenta días después se restablecieron los servicios electrónicos y todo volvió a la normalidad, según defendió el equipo de Gobierno de José Luis Sanz, que con este episodio vivió una de sus primeras grandes crisis. Más de 365 días después, en la Plaza Nueva se rearman contra los piratas informáticos.

El Ayuntamiento de Sevilla ha sacado a licitación un contrato de 1.554.649,71 euros (sin impuestos) para que un servicio externo se encargue de hacer auditorías y reforzar su seguridad informática. En concreto, según el pliego consultado por El Correo de Andalucía, a través de tres lotes se contratarán auditorías de seguridad, una Oficina Técnica de Seguridad de la Información, servicios de ciberseguridad y el suministro de licencias antivirus y mecanismos de respuesta ante incidentes.

Los licitantes sólo pueden optar sólo a un lote de los tres y presentar sus ofertas hasta el próximo 23 de octubre. Según el pliego, cada servicio contratado tiene un plazo de ejecución de dos meses. En 2025, el Ayuntamiento espera tener un escudo informático más fuerte para evitar un nuevo ciberataque que, hace un año, puso contra las cuerdas al recién estrenado equipo de Gobierno que tuvieron que gestionar una crisis inédita: la petición de un rescate de cinco millones (luego rebajaron a 1,5 millones) para devolver a la normalidad los sistemas municipales online, un chantaje al que se negó en rotundo el alcalde.

Los ciberdelincuentes que estaban detrás de este ataque a la red en Sevilla fueron los mismos que hackearon el servicio de correos británico, el Royal Mail, en 2023 a partir de la utilización de ransomware, un sistema capaz de encriptar cantidades ingentes de datos en apenas minutos.

El pliego explica, literalmente, que se hacía necesario un refuerzo más para "mejorar la seguridad de toda la infraestructura informática del Ayuntamiento". Con estos tres lotes el consistorio busca un sistema "que prevenga y detecte las amenazas y riesgos, y proteja y dé respuestas a las mismas, tanto de forma reactiva como preventiva, para minimizar los riesgos, y garantizando, en la medida de lo posible, la seguridad de la información y la disponibilidad de los servicios".

Un lote para auditorías

El primer lote licitado tiene como objetivo realizar auditorías de seguridad y análisis de vulnerabilidades para encontrar problemas en la infraestructura y los sistemas informáticos del Ayuntamiento de Sevilla. 

Por ejemplo, para comprobar la existencia o no de configuraciones potencialmente inseguras que puedan ser aprovechadas por un intruso, enumerar los activos que puedan ser objeto de un ciberataque, detectar vulnerabilidades en cualquier parte de la red del Ayuntamiento o determinar el nivel de seguridad de las aplicaciones que se utilicen.

También se realizarán los llamados test de intrusión, de forma que el adjudicatario deberá intentar acceder a los sistemas corporativos a través de cualquiera de los servicios públicos del Ayuntamiento, simulando como lo haría un atacante real.

Oficina Técnica de Seguridad

El segundo lote consiste en la puesta en marcha de la Oficina Técnica de Seguridad de la Información (OTSI), que tendrá que apoyar a la persona responsable del contrato en todas las labores a implementar y en la supervisión de la gestión de la seguridad en toda la infraestructura.

En concreto, realizará tareas como el seguimiento y control de todas las actuaciones, soporte y supervisión de la seguridad, generar informes de la revisión de los trabajos hecha en las auditorías, lograr la implantación del sistema de seguridad, actividades de divulgación y concienciación en materia de seguridad, o un servicio de respuesta ante incidentes de seguridad y análisis forense (DFIR - Digital Forensics and Incident Response).

La Oficina Técnica de Seguridad de la Información deberá controlar todas las actuaciones o realizar informes de los trabajos

Prestará soporte técnico a la implementación de las medidas de seguridad que se determinen, pero no implementará las mismas, que lo hará el personal técnico del Servicio de Tecnologías de la Información con el apoyo técnico de esta oficina.

Centro de Operaciones de Ciberseguridad

El Ayuntamiento ya tiene desplegado un Centro de Operaciones de Seguridad y también tiene implementada una solución de antivirus junto con EDR (respuesta a incidentes en los puntos de conexión), cubriendo todos los equipos (PCs, terminales móviles y tablets) y los servidores.

Sin embargo, se ve necesario mejorar el centro y contratar más servicios, así como renovar la protección de antivirus y añadir a la respuesta EDR (Endpoint Detection and Response) la XDR (Extended Detection and Response), que ofrece funcionalidades automatizadas de respuesta a incidentes en toda la pila de seguridad.

Este Centro de Operaciones de Ciberseguridad será un servicio externo de profesionales cualificados en ciberseguridad encargados principalmente de monitorizar las 24 horas del día los sistemas ya desplegados por el Ayuntamiento de Sevilla, proporcionando servicios horizontales de prevención, detección, vigilancia digital, protección y respuesta a todas las áreas de la organización ante cualquier tipo de amenaza. 

También es objeto de este tercer lote la formación y capacitación del personal técnico del Ayuntamiento de Sevilla, y el soporte funcional y técnico en el uso de la plataforma.