Diario de Navarra

El Servicio Navarro de Empleo-Nafar Lansare sufrió el pasado mes de junio un ataque informático masivo que dejó al descubierto los datos personales (nombres, apellidos y NIF) de más de 90.000 personas. La brecha de seguridad se originó en el servicio web EmpleoMovilService, protegido mediante un usuario y contraseña, pero sin encriptar. Desde allí, según las actuaciones practicadas por la Agencia Española de Protección de Datos (AEPD), se realizaron “un volumen excesivo” de llamadas al servicio web de consulta de datos de persona física del Servicio Público de Empleo Estatal. Este hecho fue investigado durante más de tres meses por la Agencia Española de Protección de Datos y terminó el 30 de octubre con el archivo de las actuaciones abiertas al entender que el SNE, a través de su servicio de informática, afrontó el problema con diligencia y actuó de acuerdo a la normativa de protección de datos para minimizar el impacto del incidente y evitar que se repita en el futuro. Según la resolución de la AEPD, firmada por la directora de la agencia, Mar España Martí, lo que hizo el SNE fue cortar “indefinidamente” el servicio EmpleoMovil Service desde el cual se estuvieron realizando las llamadas al SEPE. Una decisión que provocó que la aplicación móvil del SNE quedara sin servicio. En la resolución se explica que, “tras la reclamación de un ciudadano”, se consiguió la “identificación, análisis y clasificación de la brecha de seguridad de datos personales, así como la diligente reacción ante la misma al objeto de notificar, comunicar y minimizar el impacto e implementar las medidas oportunas para evitar que se repita en el futuro a través de la puesta en marcha de un plan de actuación previamente definido”. Los hechos, conocidos tras el archivo de las actuaciones, se remontan a la tarde del seis de junio de 2019. Entonces, el SEPE detectó un “volumen excesivo” de llamadas recibidas a su servicio web de consulta de datos de persona física. En un primer momento, el incidente obligó a cortar, primero de forma intermitente y luego durante todo un fin de semana (el del 8 y 9 de junio) el acceso al servicio de consulta de datos de persona física del SEPE que afectó a todas las comunidades autónomas. Tras haberse identificado desde el SEPE que las llamadas procedían de Navarra el servicio fue restablecido. Sin embargo, las llamadas masivas desde los servicios del Gobierno de Navarra continuaron lo que llevó a los responsables a dejar la app móvil del SNE sin servicio. Según la investigación, se identificó que las llamadas procedían de tres direcciones IP ubicadas en USA, Barcelona y Madrid. Así, tras interrumpirse el servicio de la app, el SEPE consiguió recuperar la normalidad en sus servicios evitando impactos en el resto de comunidades. En Navarra, salvo la app móvil (sin servicio tras desactivarse el servicio web EmpleoMovilService), el resto de las aplicaciones del SNE funcionaron con normalidad. EL SNE Y EL SEPE AFECTADOS Los datos que se obtuvieron por el ataque masivo fueron, según se detalla en la resolución, “el nombre y apellidos de los NIF localizados y en un número inferior a los 99.215 de los que han obtenido respuesta”. Fue el 12 de junio cuando el SNE notificó a la Agencia Española de Protección de Datos la brecha de seguridad. Así, aunque en la guía para la gestión y notificación de brechas de seguridad de la AEPD se recomienda la notificación de una ataque a partir de los 20 puntos (dos más que los registrados en el ataque actual), se optó por la notificación al afectar el ataque tanto al SEPE como al SNE. En todo caso, decidieron no avisar a los interesados ya que, según se expone en la resolución, dada la naturaleza de los datos no se considera que haya un alto riesgo para sus derechos y libertades”. Hacienda sufrió en verano un ataque para obtener información El ataque informático que sufrió el pasado verano la credencial DNI+PIN para los trámites con la Hacienda foral y los restantes del Gobierno de Navarra terminó por impulsar en octubre los trabajos para reducir el uso de esta credencial por otros sistemas más seguros. El ataque ocasionó el bloqueo de las credenciales DNI+PIN de 50 usuarios y un total de 7.346 autorregistros de usuario fraudulentos en la plataforma CAR, que es la que centraliza las labores de identificación y autentificación previa al acceso a los servicios telemáticos de todo el Gobierno de Navarra. Esos autorregistros no suponen el acceso a ningún servicio o información, según aseguró entonces Hacienda, pero pueden ocasionar que los legítimos usuarios no consigan acceder. La plataforma CAR llegó a sufrir “un error fatal” que redujo su rendimiento y, por tanto, el acceso a los servicios telemáticos del Gobierno de Navarra. Para garantizar la seguridad de la información objeto del ataque, el Ejecutivo foral tuvo que deshabilitar esos días la posibilidad de utilizar las credenciales DNI+PIN en todos sus servicios. Eso afectó, por ejemplo, a Educación, inmerso en una campaña de asignación de plazas para maestros interinos para el curso 2019-2020, cuya convocatoria tuvo que ampliar. Los hechos motivaron la presentación de una denuncia en la Policía Foral. Sin embargo, el ataque no provocó “ninguna vulneración de los derechos y libertades de las personas físicas”, por lo que desde el Ejecutivo se consideró en esa ocasión que no se debía aplicar la obligación de notificar lo sucedido a la Agencia Española de Protección de Datos. Aunque encontraron identificaciones correctas para dos NIF desde las direcciones IP relacionadas con el ataque, comprobaron que no se materializó ni el acceso ni la descarga de información confidencial. Sin embargo, en la medida en que este ataque informático “ha podido suponer un compromiso de servicios, se considera que el nivel de peligrosidad del incidente podría calificarse de alto” y tuvieron que informar sobre el mismo al Centro Criptológico Nacional. CRONOLOGÍA [6/6/2019] En torno a las 16 horas desde el Servicio Público de Empleo Estatal (SEPE) se detecta un volumen excesivo de llamadas recibidas a su servicio web de consulta de datos de persona física. Desde el SEPE se realiza una traza de las llamadas y se detecta que parecen proceder de Navarra. [7/6/2019] A primera hora de la mañana el SEPE corta el acceso al servicio de consulta de datos de persona física ya que continúan recibiendo un número excesivo de llamadas. El corte afecta a todos las comunidades. El SEPE informa del problema a la Dirección General de Informática, Telecomunicaciones e Innovación Pública (DGITIP) del Gobierno que junto al SNE comienza a investigar las causas del problema. El SEPE identifica el origen de las llamadas y confirma que una de las direcciones IP de origen es del Gobierno de Navarra. Tras varias paradas, arranques y cortes de servicio para la IP detectada, se restablece el servicio durante el resto de la mañana. A última hora de la mañana, el SEPE decide parar el servicio durante el fin de semana de cara a evitar posibles ataques de denegación de servicio. [10/6/2019] En torno a las 8:30 de la mañana el SEPE restablece el servicio y trabaja con normalidad. Desde la DGITIP y el SNE se continúa trabajando en averiguar el origen del problema. [11/6/2019] La DGITIP identifica que las llamadas enviadas al servicio del SEPE se realizan a través del servicio web EmpleoMovilService. A las 11:21 el SEPE informa por correo que vuelven a recibirse llamadas masivas desde los servicios del Gobierno de Navarra y a las 11:27 se corta el servicio EmpleoMovil Service dejando la aplicación móvil del SNE sin servicio.

Diario de Navarra

Un ciberataque al SNE dejó al descubierto en junio datos personales de 90.000 personas

La brecha de seguridad se originó en el servicio web, protegido mediante un usuario y contraseña, pero sin encriptar. La Agencia de Protección de Datos archivó las diligencias al entender que el SNE actuó de acuerdo a la normativa

Comentarios

La fallecida en Navarrería trabajaba en el colegio Liceo Monjardín y era artista

Trapatan de despedida en Santesteban

Pedraz imputa a la presidenta de la SEPI y otros 24 cargos, entre ellos varios navarros

Fotos del día del patrón en las fiestas de Santesteban 2026

Herido un trabajador de 49 años al ser golpeado por un andamio en Pamplona