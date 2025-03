En su informe de fiscalización de los controles básicos de ciberseguridad, el Consello de Contas ha dado un tirón de orejas a los tres mayores concellos de Galicia: Vigo, A Coruña y Ourense. Aunque el olívico ha salido mejor parado que los otros dos, lo cierto es que el órgano fiscalizador de las cuentas y de la gestión económico-financiera del sector público gallego ha detectado ciertos fallos en el sistema del Concello de Vigo. El principal es el relacionado con la identificación y solución de vulnerabilidades.

«Actualmente no existe un proceso estructurado para priorizar y resolverlas. Este procedimiento de análisis y pruebas de intrusión recae en un servicio externo que se lleva a cabo periódicamente», dice el ente. El Consello de Contas va más allá y advierte de la presencia de sistemas «obsoletos», que no cuentan ya con el soporte necesario y que representan vulnerabilidades críticas conocidas «que no fueron remediadas». «El proceso de gestión de actualizaciones es mejorable», apuntan desde el órgano, que insta al gobierno local a identificar y actualizar los sistemas que se encuentran fuera del periodo de soporte ante un actual riesgo «significativo».

Contas también advierte que no se están realizando pruebas de recuperación de datos, sino que solo se recuperan en caso de necesidad. El órgano fiscalizador apunta que para evitar la pérdida de información generada por los usuarios, existe una política por la que no se debe almacenar información en local en los equipos, sino que deberá guardarse en los directorios en red, donde se realizan copias de seguridad. «No se pudo evidenciar que exista una política de backups formal», advierte el informe.

El Consello de Contas también recomienda al Concello de Vigo realizar un nuevo plan de adecuación al Esquema Nacional de Seguridad (ENS). Es decir, debe actualizar los protocolos en materia de ciberseguridad conforme al nuevo Real Decreto que regula la materia.

En las recomendaciones y conclusiones finales, tras citar previamente más deficiencias en los sistemas de control de ciberseguridad del Ayuntamiento de Vigo, plantea la necesidad de actualizar y aprobar normas de uso y procedimientos de seguridad; elaborar protocolos de actuación de soporte y actualización de forma correcta; realizar de forma anual un análisis de riesgos y documentar la metodología utilizada; elaborar un procedimiento unificado de gestión de usuarios con privilegios de administración que establezca las directrices para todos los sistemas de la entidad y que detalle las medidas actualmente implantadas; y utilizar técnicas criptográficas para proteger las copias de seguridad, entre otras.

La alegación del Concello

El gobierno local de Vigo presentó una alegación a este informe, advirtiendo que su posible difusión sería «muy peligrosa» ya que «puede ayudar a la realización de ciberataques complejos contra la institución usando esa información». El gobierno local deja constancia de su «oposición a la publicación de cualquier dato técnico del que se puedan deducir fortalezas o debilidades de su sistema de información que puedan ayudar a una caracterización del mismo por posibles atacantes».

Esta alegación fue rechazada por el Consello de Contas al considerar que la publicación del informe de fiscalización de los controles básicos de ciberseguridad cumple con los principios de transparencia, preservando la seguridad sin exponer ningún tipo de información crítica «que pudiera ser maliciosamente aprovechada».

El Ayuntamiento hace auditorías internas para evaluar sus procedimientos

No todo el informe de fiscalización de los controles básicos de ciberseguridad elaborado por el Consello de Contas respecto al Concello de Vigo es negativo. El órgano reconoce una serie de buenas prácticas que la administración local impulsa en esta materia. Así, en el marco del compromiso del Ayuntamiento olívico con la seguridad de la información y el cumplimiento normativo, se realizan auditorías internas específicas destinadas a evaluar y verificar la adecuación de sus procedimientos y sistemas a las exigencias definidas por el Esquema Nacional de Seguridad.

El Consello de Contas también reconoce que Vigo dispone de distintas herramientas de monitorización que permiten recopilar, analizar y gestionar eventos de seguridad con el objetivo de detectar posibles amenazas procedentes de distintos sistemas y centralizarlas en unúnico punto. Vigo también tiene implantado un proceso robusto para la gestión de activos tanto físicos como de software, ya que se comprobó que todos están inventariados en una aplicación propia.