Piden 16 meses de prisión para dos funcionarios acusados de espiar nóminas del Ayuntamiento
Entre ellas las del exalcalde de Granada, José Torres Hurtado, y de la exsecretaria general del Consistorio
La Fiscalía de Granada pide 16 meses de prisión y seis años de inhabilitación absoluta a dos funcionarios acusados de espiar nóminas de altos cargos del Ayuntamiento de Granada, entre ellos el exalcalde José Torres Hurtado (PP), con el objetivo de "poner en evidencia la presunta inseguridad" del sistema informático tras su destitución como responsables del Centro de Proceso de Datos municipal (CPD).
Según consta en el escrito de acusación provisional de la Fiscalía, fue el 14 de julio de 2011 cuando se produjo una remodelación administrativa del Centro de Proceso de Datos del Ayuntamiento de Granada, cesando como director técnico a José A.S.R., quien desde ese momento quedó adscrito al nuevo encargado. El otro acusado, Eduardo P.F., fue también cesado como jefe de servicio de la subdirección de desarrollo y soporte del CPD.
Los procesados, a los que el fiscal atribuye un delito contra la seguridad de sistemas de información, mostraron su desacuerdo con estas decisiones tanto de manera oficial como en comentarios y manifestaciones propias relativas a sus nuevos puestos, especifica el fiscal.
Así, durante el mes de octubre de 2011 José A.S.R. fue requerido a la recepción de las directrices dictadas por el nuevo director técnico hasta en cuatro ocasiones, pasando él mismo a determinarlas mediante correo electrónico interno remitido a los miembros del CPD el 7 de noviembre de 2011.
Conforme a lo que señala el fiscal, el Sistema de Información Municipal (SIM) fue desarrollado por José A.S.R., que se negó, pese a las reclamaciones del equipo de gobierno, a entregar el código fuente de la aplicación, alegando que el departamento informático tenía conocimiento suficiente del mismo.
Consecuencia del cambio de funciones y de dicho comportamiento fue la retirada de permisos de acceso a recursos del sistema informático del CPD por el responsable de seguridad.
Con el propósito de "reivindicar su capacidad profesional, en demérito de los miembros del equipo directivo sucesor, ambos acusados aprovecharon la puesta en explotación de una aplicación auxiliar que permitía a los funcionarios de la corporación municipal la consulta vía Internet de sus nóminas y recibos del IRPF --marzo de 2012-- para demostrar las presuntas carencias de diseño de seguridad informática de la misma", agrega el fiscal.
Aprovechando una actualización de la versión de la aplicación realizada en mayo de 2012, los acusados realizaron una serie de accesos al sistema informático y a la aplicación "que comprometieron la seguridad del mismo"
Hasta ese momento, desde su implantación en noviembre de 2011, la aplicación no había generado ningún problema de seguridad, ni se habían detectado accesos no autorizados. Sin embargo, tras cargarse y ponerse en aplicación la actualización mencionada a las 11,59 horas, comenzaron a producirse accesos no autorizados a partir de las 12,03; accesos que continuaron hasta las 22,26 horas.
Los denunciados se hallaban a esa hora en las dependencias del Centro de Proceso de Datos, y el acceso, según el Ministerio Público, se produjo mediante el empleo de una subrutina no documentada del SIM (/sacanomina) que soslayaba los mecanismos de seguridad lógica instalados (la necesidad de autenticación con certificado digital). Inicialmente se realizó accediendo a nóminas correspondientes a miembros del CPD, pero, aun constatados con dichos accesos la vulnerabilidad de la aplicación, éstos siguieron realizándose desde equipos internos del CPD y externos a información de naturaleza económica de personas ajenas al CPD, incluidas la entonces secretaria de la corporación municipal y el ex alcalde José Torres Hurtado.
De hecho, se produjeron numerosos accesos a las nóminas de la fedataria local durante la tarde del día 31, siendo precisamente su información la que empleó José A.S.R. para comunicarle al entonces teniente de alcalde de Personal, Juan Antonio Fuentes, la existencia de esta vulnerabilidad. El acceso fue a su vez comunicado por el edil a su equipo técnico, procediéndose entre las 20,00 y las 22,00 horas a su subsanación.
Sin embargo, los accesos se realizaron además por otro tipo de ataque no comunicado en la forma anterior. Haciendo uso de otra subrutina (/doc2) se tenía acceso directo a documentos del SIM, invocando directamente su número de identificación. Este tipo de accesos se realizó el 31 de mayo y el 4 de junio de 05,58 a 06,51 horas, desde una dirección IP no correspondiente al rango de direcciones IP del proveedor de comunicaciones electrónicas del Ayuntamiento.
Tenía conocimiento del funcionamiento del sistema
Según el fiscal, ambos tipos de accesos fueron directos, es decir, no precedidos de intentos y tanteos de hallazgos de vulnerabilidades. Por este motivo y por el uso de subrutinas no documentadas de la aplicación SIM, el personal técnico consideró que únicamente una persona de la organización, con conocimientos de la aplicación SIM, pudo cometer los hechos.
Parte de los accesos fueron realizados mediante el empleo de los certificados digitales de los acusados, José A.S.R. y Eduardo P.F. Así, el fiscal considera que los acusados realizaron dichos actos para "poner en evidencia" la presunta inseguridad del Sistema de Información Municipal, "debida a la mala gestión y organización del CPD ocasionada por su destitución tras la última remodelación operada en el CPD el 14 de julio de 2011".
De esta forma, sin hallarse adscritos al proyecto ni autorizados para el empleo de los recursos físicos, lógicos o informacionales del SIM, "generaron un ataque al SIM y se mantuvieron en el mismo mucho más tiempo del preciso para la mera detección y neutralización de los posibles problemas de diseño de la aplicación Visor Nóminas y Visor Retenciones".
Además, lo hicieron "con el propósito de documentar en los registros de la aplicación un incidente que comprometiera la imagen de la corporación local en materia de seguridad informática de sus recursos, obligándole a afrontar las posibles consecuencias en el plano legal y de deterioro de su imagen pública frente a los organismos públicos encargados de la protección de la información personal almacenada en el SIM".
Prueba de ello es, según Fiscalía, que el 26 de junio el acusado Eduardo P.F. -como miembro del sindicato CCOO- y otros representantes sindicales dieron una rueda de prensa en la que dieron cuenta tanto del hecho acaecido como de la naturaleza y descripción de los ataques realizados, explicando detalladamente a los medios informativos convocados "cómo convertirse en un hacker" del Sistema Informático Municipal. Información que, por otra parte, ambos acusados ya habían ofrecido en explicaciones dadas a medios de comunicación desde el 19 de junio.
La Fiscalía especifica que estos hechos generaron "costes de explotación directos y derivados a la corporación municipal" que concreta en los relacionados con las labores extraordinarias realizadas por los responsables del CPD para "neutralizar los incidentes relatados", por un valor de 4.580 euros; y en el abandono temporal de la aplicación de nóminas y recibos de IRPF lo cual "obligó a la emisión de la nómina del mes de junio de 2012 en papel impreso, generando un coste adicional no previsto de 3.199 euros".
Está previsto que los hechos sean juzgados en la Sección Segunda de la Audiencia Provincial de Granada a partir del próximo 8 de mayo.
Popular ahora
