Transparencia insta a Yolanda Díaz a desvelar la autoría del hackeo al SEPE

Yolanda Díaz, ministra de Trabajo. | Archivo

Redacción Madrid | Hace 10 meses, el Servicio Público de Empleo Estatal (SEPE) sufrió un ciberataque que provocó la paralización casi total de su actividad y que a día de hoy continúa rodeado de un difuso halo de misterio. Se desconoce la autoría y el alcance real de un hackeo que mantuvo en vilo al organismo durante semanas y provocó importantes retrasos en el pago de prestaciones de paro. 

Desde un primer momento, el Ministerio de Trabajo alegó motivos de seguridad nacional para evitar dar cuenta de lo sucedido públicamente, pero el Consejo de Transparencia y Buen Gobierno considera que esa no es razón suficiente para mantener en secreto información como la identidad de los atacantes, sus pretensiones o los datos que fueron vulnerados y ha instado al departamento que dirige Yolanda Díaz a desvelar todo lo que sabe.

En mayo de 2021, dos meses después del hackeo, se solicitó al Ministerio de Trabajo, a través de Transparencia, información sobre las causas del ciberataque, la identidad de los atacantes y sus pretensiones, así como los datos confidenciales que se pusieron en peligro.

El SEPE denegó el acceso a esta información, alegando que supondría «un perjuicio para la seguridad pública», porque «proporcionaría información sobre el sistema de Tecnologías de la Información y Comunicaciones de este Organismo, y de aspectos comunes de seguridad de la Administración General del Estado, así como desvelaría aspectos que pudieran suponer un riesgo para la seguridad». «Ello haría aún más complicado, e incluso invalidaría, la labor de defensa de unas infraestructuras tecnológicas que dan soporte a un servicio esencial como es la gestión del sistema de protección por desempleo», concluyó.

Frente a esa respuesta, el interesado presentó una reclamación ante el Consejo de Transparencia, alegando que no había ningún riesgo para la seguridad porque no se había solicitado información sobre los sistemas de defensa o de reparación, ni ningún dato de carácter técnico. Pero el SEPE insistió en que el restablecimiento de los sistemas se había realizado bajo la supervisión del Centro Criptológico Nacional, que cuelga del Centro Nacional de Inteligencia (CNI), y en coordinación con la Secretaría General de Administración Digital, «siendo evidente que se trata de información que está sometida a limitaciones en el derecho de acceso» y cuya divulgación podría entrañar riesgos para la seguridad de la infraestructura tecnológica de gestión del sistema de protección por desempleo y para el conjunto de la Administración General del Estado.

Pero Transparencia, en una resolución fechada a 8 de noviembre de 2021, considera que «no existe una justificación suficiente que ampare la denegación del acceso a la información solicitada». En primer lugar, porque la Administración se limita a justificar la denegación total del acceso con una «inespecífica referencia al impacto que la revelación de la información solicitada tendría sobre la seguridad tecnológica del organismo afectado y de la Administración General del Estado, sin mayores concreciones». Y en segundo término, porque el «carácter genérico» de la información solicitada permite «modular el alcance de la respuesta» para conceder el acceso a «aquella parte de información cuyo conocimiento público no suponga un perjuicio real para la seguridad pública y la seguridad nacional».

Transparencia va más allá y añade que «buena prueba de que este deslinde es factible la ofrece el hecho de que la propia ministra de Trabajo y Economía Social, en su comparecencia en la sesión de la Comisión de Trabajo, Inclusión, Seguridad Social y Migraciones del Congreso de los Diputados celebrada el 22 de marzo de 2021, proporcionó determinada información sobre los aspectos que han sido objeto de la solicitud de información pública denegada por su Departamento ministerial». Cabe recordar que, en aquella intervención, celebrada apenas dos semanas después del ciberataque, Yolanda Díaz informó de que se había procedido a la contención de la amenaza para evitar su propagación, así como a la investigación de las causas y la restauración de los servicios, y aseguró que no se iban a producir retrasos en las nóminas (algo que, por cierto, negaron los sindicatos).

Por todo esto, Transparencia obliga al Servicio Público de Empleo Estatal del Ministerio de Trabajo a remitir al reclamante toda la información relacionada con el incidente de seguridad en sus instalaciones relativa a las causas del ciberataque, la identidad de los atacantes y sus pretensiones, así como información de los datos que se pusieron en peligro durante aquellas semanas del mes de marzo de 2021. Eso sí, pudiendo excluirse de esta información, según aclara el organismo público en su resolución, todos aquellos aspectos que resulten afectados por los límites previstos en la ley para los motivos de seguridad nacional, siempre que estos estén correctamente motivados en los términos exigidos en la legislación.

Te puede interesar: