Coincidiendo con los ciberataques a seis instituciones públicas vascas, la vicelehendakari y consejera de Trabajo y Empleo, Idoia Mendia, ha dado cuenta en el Parlamento Vasco del episodio ocurrido en el Servicio Vasco de Empleo (Lanbide) en noviembre, que vio cómo una subcontrata (Cuarhtoset Talent & Technology) sufrió una intrusión por la que quedaron expuestos el nombre, apellidos, DNI y teléfono de 140.000 personas que habían participado en encuestas de inserción laboral. El caso fue puesto en conocimiento de la Ertzaintza, de la Cyberzaintza (la nueva agencia vasca especializada en ciberseguridad) y de la Agencia Vasca de Protección de Datos y, a falta de las conclusiones definitivas, el equipo de Mendia se queda con que ahora ya no podría volver a ocurrir algo similar porque, desde 2021, todos los servidores están protegidos dentro de la propia estructura informática del Gobierno vasco, en concreto por la sociedad de telecomunicaciones Ejie.
Por una alerta en redes sociales se conoció que podía haber habido una brecha de seguridad con un material antiguo de Lanbide ya en desuso y almacenado en servidores externos. Eran datos recopilados entre 2017 y 2021. La primera noticia llegó en noviembre y se fueron haciendo peritajes hasta descubrir, ya en enero, que había afectado a 140.000 nombres de la base de datos. Es una obligación legal comunicar estos hechos a posibles afectados pero, ante el gran volumen de personas de la lista, se optó por difundirlo a través de una comunicación pública de Lanbide. El temor es que pudieran ser utilizados para suplantación de identidad o para venta ilegal para fines comerciales.
Mendia recalca ante la Cámara, en respuesta a una petición de información formulada por Lore Martínez Axpe de EH Bildu, que “Lanbide no ha sufrido ningún ciberataque” porque la intrusión no la ha padecido “la institución, sino una empresa proveedora”, aunque “inmediatamente” adoptó las medidas oportunas. El Servicio Vasco de Empleo estima que en ningún caso afectó a su operativa y recuerda que el SEPE y el Ministerio de Trabajo, por el contrario, sí fueron atacados recientemente. De hecho, las fuentes consultadas indican que precisamente el Gobierno vasco ha dado soporte a organismos estatales como la Inspección de Trabajo para paliar las consecuencias de las incidencias informáticas.
Admite Lanbide que lo que inicialmente se consideró un pequeño problema fue creciendo en importancia “en función de las sucesivas revisiones realizadas”. En todo caso, se pone de manifiesto que “no sólo no es habitual” que la información de la Administración esté en servidores privados sino que “únicamente se daba” en ese contrato con Cuarhtoset Talent & Technology. Ahora “todos los datos están en Ejie”, como los de Educación y otras áreas del Gobierno. “En la actualidad ningún dato personal de la ciudadanía está en servidores de empresas informáticas proveedoras”, recalca Mendia.
elDiario.es/Euskadi
elDiario.es/Euskadi está en redes sociales. Síguenos en X, en Facebook, en Instagram, en Telegram y ahora también en Threads. Cada semana, te enviamos un boletín a tu correo electrónico. ¡Apúntate! Recuerda que puedes ser socio o socia de elDiario.es y dedicar parte de la cuota específicamente a tu edición más cercana, a la de Euskadi. Para más información, estamos en el 625 88 87 80, donde te atendemos también por WhatsApp o Telegram.