El sindicato JUPOL (Justicia Policial), mayoritario en Policía Nacional, fue el primero en mostrar su preocupación ante el ciberataque que ha recibido el Grupo MPE (Medios de Prevención Externos Sur SL), con sede en Sevilla, responsable de la gestión de los reconocimientos médicos de la Policía Nacional.
Pero según avanzaron las horas, más asociaciones como la Asociación Profesional de Suboficiales de la Guardia Civil (ASESGC) o el Sindicato Unificado de la Policía (SUP) exigieron explicaciones a la Dirección General de la Policía y al Ministerio del Interior, el que lidera Fernando Grande-Marlaska, para que aseguren que sus datos personales están protegidos.
Además, la Confederación Española de Policía (CEP) ha indicado que «la filtración de información comunicada por la propia empresa en el ámbito de Policía Nacional y Guardia civil es un hecho muy grave que ya hemos denunciado en el órgano nacional de Riesgos Laborales, reclamando medidas urgentes», por lo que avisan que ahora será la justicia quien investigue el ciberataque a la empresa. Asimismo, han pedido «extremar las exigencias en protección de datos en la próxima licitación de la Policía nacional, que está en marcha estos días».
«hasta el momento no hay evidencia de que se haya producido una fuga de dicha información»
Las asociaciones se alertaron al conocer que un ataque informático podría haber comprometido los datos personales e información médica y confidencial de miles de agentes, por lo que JUPOL registró enseguida un escrito ante la Dirección General de la Policía para pedir explicaciones sobre el alcance y las consecuencias del citado ataque informático, así como solicitando información sobre las medidas a tomar por parte de la Dirección General de la Policía ante estos hechos.
JUPOL, por otro lado, mostraba su sorpresa al enterarse del asunto por una carta remitida a los agentes de la Guardia Civil, que también realizan sus reconocimientos médicos a través de esta empresa, «pero no se ha hecho comunicación oficial alguna a los miembros del Cuerpo Nacional de la Policía», reprochaba. Un extremo que no hizo más que aumentar la desinformación, la incertidumbre y preocupación por parte de los agentes.
EN MARZO HACKEARON DATOS A LA EMPRESA
La empresa hackeada, encargada de los reconocimientos médicos a miembros de la Guardia Civil, la Policía Nacional y Fuerzas Armadas, entre otros civiles, sufrió el pasado día 22 de marzo el ciberataque, aunque no se ha hecho público hasta esta semana del mes de abril. Al percatarse de lo ocurrido, inmediatamente interpuso una denuncia en la Guardia Civil -de ahí que la benemérita se pudiera enterar antes que la Policía Nacional- y trabajó conjuntamente con Telefónica para tratar de revertir, solucionar e investigar los hechos mencionados.
«Queremos comunicar que el pasado día 22 de marzo de 2024, nuestros sistemas de información han sufrido un ciberataque de tipo Ransonware Lockbit 3.0», explicaba la empresa en un comunicado. Además, reconocía que los autores, los piratas, podrían haber accedido a los datos confidenciales del «personal de la Guardia Civil y de las Fuerzas Armadas y personal civil con destino en el ámbito de la Dirección General de la Guardia Civil». Entre esos datos estarían: «número de la tarjeta de identificación profesional (TIP); número de teléfono móvil; correo electrónico; fecha de nacimiento; sexo; puesto de trabajo; resultado del reconocimiento médico; certificado de aptitud».
ACCIONES CORRECTORAS PARA LA SEGURIDAD DE LOS DATOS
La Asociación Profesional de Suboficiales de la Guardia Civil (ASESGC) indicó que tras conocer la violación de la seguridad de los datos personales de guardias civiles, se dirigió a la Agencia Española de Protección de Datos (AEPD) para conocer los detalles del cibertataque. «Es necesario comprobar si existen medidas apropiadas para garantizar un nivel de seguridad adecuado y los motivos de la dilación de la comunicación a los interesados», reclama esta organización.
Si bien, en el comunicado firmado por el Grupo MPE y la Guardia Civil se detalla que hasta el momento no hay evidencia de que se haya producido una fuga de dicha información y además se han adoptado una serie de acciones correctoras. Se trata de medidas técnicas e informáticas para defender la afectación del ciberataque y erradicar su capacidad. También se ha realizado un análisis forense del impacto y alcance del ciberataque y el proceso de restauración de la información.
También se ha llevado a cabo el cambio masivo de contraseñas, para ello el usuario debe cliquear en «he olvidado contraseña» cuando acceda a la página web o la app, explica la compañía. «Esto hará que llegue un correo electrónico donde podrá restablecerla. Dicha contraseña deberá cumplir unos requisitos de seguridad. Tendrá varios intentos para introducir la contraseña, tras los cuales, de no poder conseguirlo, el usuario se bloqueará durante unos minutos».
«En todo caso, la empresa cuenta con copias de seguridad que ha permitido que podamos seguir prestando el servicio a todo el personal objeto de los reconocimientos médicos», indicaba la empresa, que ofrecía para cualquier aclaración, duda o consulta al respecto una dirección de correo electrónico de protección de datos de la empresa, añade el comunicado firmado por el director general de la compañía Gilberto Conde Rosado.
PIDEN A LA DGP QUE CONFIRME QUE LOS DATOS NO FUERON ROBADOS
SUP, tras el comunicado de la empresa, informó que solo fue un bloqueo temporal, pero igualmente exigen información a la Dirección General de la Policía para que confirme el extremo de que «ningún dato de nuestros compañeros de Policía Nacional fue robado».
En redes sociales no han faltado los comentarios que opinan que se trata de «una nueva chapuza» del ministerio que gestiona Fernando Grande-Marlaska, recomendando que los funcionarios no pasen reconocimientos médicos en una empresa a la que se le dan los datos personales si luego esta empresa puede sufrir un ciberataque y los hackers tener acceso a los datos de los guardias civiles.
La Brigada Central de Investigación Tecnológica, encuadrada en la Unidad de Investigación Tecnológica (C.G.P.J), es el órgano de la Dirección General de la Policía encargado de la investigación y persecución del ciberdelito de ámbito nacional y transnacional y quien actúa como Centro de Prevención y Respuesta E-Crime de la Policía Nacional.
El ministro del Interior, Fernando Grande-Marlaska, ha asegurado este martes que su departamento no tiene constancia de «ninguna filtración» de información relevante tras el ciberataque sufrido por la empresa que se encarga de reconocimientos médicos de policías y guardias civiles.
