Un sindicato de los Mossos acusa al Cesicat de estar detrás del ataque informático a su web

El Sindicat de Policies de Catalunya (SPC) acusa directamente al Cesicat (Centre de Seguretat de la Infomació a Catalunya), un organismo dependiente de la Generalitat, de estar detrás del ciberataque contra los servidores de su web que el 23 de octubre del 2013 dejó al descubierto datos personales de 421 mossos afiliados al sindicato, que fueron publicados en internet meses más tarde. Así consta en un escrito enviado al juzgado que instruye el caso por la empresa que gestiona la web del SPC, que ejerce la acusación particular, y que reclama la declaración como investigados del director del organismo, Xavier Gatius, y dos trabajadores, un jefe de seguridad, L.C.,  y un empleado, P. R.

Tanto la empresa como el SPC sostienen que hay "indicios de actuación ilícita de los responsables del Cesicat” en el ciberataque, del que está acusado un informático de Premià de Mar. A su juicio, “de igual manera respecto a otros accesos que se producen en idénticas fechas desde otras IP (direcciones web) en el extranjero, presumiblemente han tenido participación personas o responsables de la fundación Cesicat”.  La empresa informática del sindicato argumenta que no habían podido reclamar antes la declaración de los miembros del Cesicat porque el juzgado no les informó de que podían personarse como acusación particular en el caso.

El SPC sufrió un ataque informático el 23 de octubre del 2013, del que asegura que tuvo noticia por una llamada de un técnico del Cesicat, P.R., que les dijo que ese mismo día "por la mañana" se enteró a través de “un amigo” de que unos 'hackers' estaban listos para atacar los servidores informáticos del sindicato. Sin embargo, el técnico no llamó al secretario general de esta entidad, David José, hasta las siete de la tarde, cuando el ataque se había producido. “Si nos lo hubiera dicho antes, habríamos podido evitar el ataque”, ha lamentado David José.

El sindicato no entiende que el trabajador del Cesicat no haya resultado imputado en la causa, no solo porque, aparentemente, ocultase la inminencia del ataque, sino porque el sindicato averiguó que durante la mañana del ciberataque -que en realidad fueron tres asaltos en días distintos- “alguien desde el Cesicat”, explica David José, "se conectó varias veces a la misma página interna de la web corporativa del sindicato, justo antes y justo después de cada ataque".

INFORME DE LA POLICÍA

En su declaración ante el juez, el técnico, sin embargo, aseguró que “no recordaba” haber entrado a la web del sindicato. Esta expresión inquietó al SPC, que desconfía de la indefinición de la respuesta. "¿Qué significa que no lo recuerda? ¿Entró o no entró?", insiste David José. Las sospechas del SPC aumentaron cuando, durante la investigación, el juez encargó un informe al Cuerpo Nacional de Policía y este, según David José, aseguró que la web del sindicato estaba “prácticamente monitorizada [controlada]" desde el Cesicat.

El mismo técnico del Cesicat fue quien dio la voz de alerta tardía del ciberataque llamando al móvil de David José. Para conseguir su número, el trabajador explicó que había entrado en el registro público del dominio de la web del sindicato y que allí lo había localizado. Sin embargo, el secretario general insiste en que el número de su móvil "no aparece en ningún registro público”.

En esa llamada, el técnico del Cesicat pidió que se le facilitara "toda la información" (los llamados ‘logs’, registros de entradas IP en un servidor) que pedía al sindicato para poder "investigar personalmente el ciberataque". Este extremo, asegura el dirigente sindical, sorprendió a la unidad de delitos informáticos de los Mossos d’Esquadra cuando recogió la denuncia presentada por el SPC al día siguiente. "Nos recordaron que la encargada de llevar las pesquisas era esta unidad" y siempre “bajo la tutela de un juez”, dice David José.

SERVICIOS NO SOLICITADOS

La empresa informática del SPC asegura en su escrito remitido al juzgado que ellos nunca habían “requerido los servicios de Cesicat ni para un control de un posible ataque ni mucho menos para un sistema de control, continuado y habitual como el que al parecer, (...) se realizaba por parte del Cesicat”. A su juicio, “el realizar ese control sin motivación ni petición alguna tiene evidente conexión con el posterior ataque, así como el hecho de que curiosamente Cesicat sea el primer conocedor de la realización de los mismos”.

El Cesicat, contactado por este diario, no quiso hacer declaraciones sobre el caso y solo recordó que su tarea de vigilancia se limita a la seguridad de las Administraciones públicas.

{"zeta-legacy-despiece-horizontal":{"title":"Tres ataques contra el SPC\u00a0","text":null}}