El caso de los funcionarios acusados de espiar nóminas de políticos, a un paso del juicio

El Juzgado de Instrucción 1 de Granada ha cerrado la instrucción del caso de los dos funcionarios del Ayuntamiento de Granada que fueron denunciados por espiar las nóminas de políticos, entre ellos el alcalde, José Torres Hurtado, con el objetivo de "poner en evidencia" la supuesta inseguridad del sistema informático tras su destitución en sus puestos del Centro de Proceso de Datos municipal (CPD), con lo que el asunto se sitúa a un paso de juicio.

Según han informado a Europa Press fuentes judiciales, tras este trámite, la Fiscalía ha formulado ya su acusación, y está pendiente que las defensas presenten también sus conclusiones provisionales para que se pueda fijar la próxima fecha de enjuiciamiento en la Audiencia Provincial.

El fiscal, que presentó querella por este asunto en febrero de 2013, les atribuye un delito contra la seguridad de sistemas de información cometido por funcionario público y reclama para los dos inculpados, José A.S.R. y Eduardo P.F., 16 meses de cárcel, seis años de inhabilitación absoluta, y el abono de forma conjunta y solidaria al Ayuntamiento de una indemnización de 7.780,25 euros.

Según consta en el escrito de acusación provisional del fiscal, al que ha tenido acceso Europa Press, el 14 de julio de 2011 se produjo una remodelación administrativa del Centro de Proceso de Datos del Ayuntamiento, cesando como director técnico a José A.S.R., que a partir de ese momento quedaba adscrito al director técnico recién nombrado. El otro acusado fue igualmente cesado como subdirector de soporte, pasando al puesto de jefe de servicio de la subdirección de desarrollo y soporte del CPD.

Los querellados mostraron su desacuerdo con estas decisiones tanto de manera oficial como en comentarios y manifestaciones propias relativas a sus nuevos puestos. Así, en octubre de 2011 José A.S.R. fue requerido a la recepción de las directrices dictadas por el nuevo director técnico hasta en cuatro ocasiones, pasando él mismo a determinarlas mediante correo electrónico interno remitido a los miembros del CPD el 7 de noviembre de 2011.

Según señala el fiscal, el Sistema de Información Municipal (SIM) fue desarrollado por José A.S.R., que se negó, pese a las reclamaciones del equipo de gobierno, a entregar el código fuente de la aplicación, alegando que el departamento informático tenía conocimiento suficiente del mismo. Consecuencia del cambio de funciones y de dicho comportamiento fue la retirada de permisos de acceso a recursos del sistema informático del CPD por el responsable de seguridad.

UNA APLICACIÓN PARA CONSULTAR LAS NÓMINAS

Por otra parte, con el propósito de reinvidicar su capacidad profesional, en "demérito de los miembros del equipo directivo sucesor", ambos acusados aprovecharon la puesta en explotación de una aplicación auxiliar que permitía a los funcionarios de la corporación municipal la consulta vía Internet de sus nóminas y recibos de IRPF --marzo de 2012-- para demostrar las presuntas carencias de diseño de seguridad informática de la misma.

Para ello, aprovechando una actualización de la versión de la aplicación realizada en mayo de 2012, los procesados realizaron una serie de accesos al sistema informático y a la aplicación que "comprometieron" la seguridad del mismo.

Hasta ese momento, desde su implantación en noviembre de 2011, la aplicación no había generado ningún problema de seguridad, ni se habían detectado accesos no autorizados. Sin embargo, tras cargarse y ponerse en aplicación la actualización mencionada a las 11,59 horas, comenzaron a producirse accesos no autorizados a partir de las 12,03; accesos que continuaron hasta las 22,26 horas.

Los denunciados se hallaban a esa hora en las dependencias del Centro de Proceso de Datos, y el acceso, según el Ministerio Público, se produjo mediante el empleo de una subrutina no documentada del SIM (/sacanomina) que soslayaba los mecanismos de seguridad lógica instalados (la necesidad de autenticación con certificado digital). Inicialmente se realizó accediendo a nóminas correspondientes a miembros del CPD, pero, aun constatados con dichos accesos la vulnerabilidad de la aplicación, éstos siguieron realizándose desde equipos internos del CPD y externos a información de naturaleza económica de personas ajenas al CPD, incluidas la secretaria de la corporación municipal y el propio alcalde.

De hecho, se produjeron numerosos accesos a las nóminas de la fedataria local durante la tarde del día 31, siendo precisamente su información la que empleó José A.S.R. para comunicarle al teniente de alcalde de Personal, Juan Antonio Fuentes, la existencia de esta vulnerabilidad. El acceso fue a su vez comunicado por el edil a su equipo técnico, procediéndose entre las 20,00 y las 22,00 horas a su subsanación.

Sin embargo, los accesos se realizaron además por otro tipo de ataque no comunicado en la forma anterior. Haciendo uso de otra subrutina (/doc2) se tenía acceso directo a documentos del SIM, invocando directamente su número de identificación. Este tipo de accesos se realizó el 31 de mayo y el 4 de junio de 05,58 a 06,51 horas, desde una dirección IP no correspondiente al rango de direcciones IP del proveedor de comunicaciones electrónicas del Ayuntamiento.

Según el fiscal, ambos tipos de accesos fueron directos, es decir, no precedidos de intentos y tanteos de hallazgos de vulnerabilidades. Por este motivo y por el uso de subrutinas no documentadas de la aplicación SIM, el personal técnico consideró que únicamente una persona de la organización, con conocimientos de la aplicación SIM, pudo cometer los hechos.

Parte de los accesos fueron realizados mediante el empleo de los certificados digitales de los denunciados, José A.S.R. y Eduardo P.F. Así, el fiscal considera que los acusados realizaron dichos actos para "poner en evidencia" la supuesta inseguridad del Sistema de Información Municipal, "debida a la mala gestión y organización del CPD ocasionada por su destitución tras la última remodelación operada en el CPD el 14 de julio de 2011".

De esta forma, sin hallarse adscritos al proyecto ni autorizados para el empleo de los recursos físicos, lógicos o informacionales del SIM, "generaron un ataque al SIM y se mantuvieron en el mismo mucho más tiempo del preciso para la mera detección y neutralización de los posibles problemas de diseño de la aplicación Visor Nóminas y Visor Retenciones".

Además, lo hicieron "con el propósito de documentar en los registros de la aplicación un incidente que comprometiera la imagen de la corporación local en materia de seguridad informática de sus recursos, obligándole a afrontar las posibles consecuencias en el plano legal y de deterioro de su imagen pública frente a los organismos públicos encargados de la protección de la información personal almacenada en el SIM.

Prueba de ello es que el 26 de junio, recuerda el fiscal, el denunciando Eduardo P.F. --como miembro del sindicato CCOO-- y otros representantes sindicales dieron una rueda de prensa en la que dieron cuenta tanto del hecho acaecido como de la naturaleza y descripción de los ataques realizados, explicando detalladamente a los medios informativos convocados "cómo convertirse en un hacker" del sistema informático municipal. Información que, por otra parte, ambos denunciados ya habían ofrecido en explicaciones dadas a medios de comunicación desde el 19 de junio.

Los hechos descritos generaron costes de explotación directos y derivados a la corporación municipal: por un lado, 4.580 euros,45 euros por las labores extraordinarias realizadas por el CPD para "neutralizar" los incidentes; y, por otro, 3.199,80 euros derivados de la necesidad de imprimir en papel las nóminas de junio de 2012 por el abandono temporal de la aplicación de nóminas y recibos de IRPF.