El exalcalde de Granada Torres Hurtado llega a los juzgados por el caso Serrallo
EUROPA PRESS/ÁLEX CÁMARA
Actualizado: lunes, 8 mayo 2017 7:57

GRANADA 7 May. (EUROPA PRESS) -

La Sección Segunda de la Audiencia Provincial de Granada prevé acoger este lunes el juicio contra los dos funcionarios acusados de espiar nóminas de altos cargos del Ayuntamiento de Granada, entre ellos el exalcalde José Torres Hurtado (PP), con el objetivo de "poner en evidencia la presunta inseguridad" del sistema informático tras su destitución como responsables del Centro de Proceso de Datos municipal (CPD).

La Fiscalía les atribuye un delito contra la seguridad de sistemas de información por el que pide 16 meses de prisión y seis años de inhabilitación absoluta para cada uno de ellos.

Según consta en el escrito de acusación provisional de la Fiscalía, al que ha tenido acceso Europa Press, los hechos se remontan al 14 de julio de 2011, cuando se produjo una remodelación administrativa del Centro de Proceso de Datos del Ayuntamiento de Granada, cesando como director técnico a José A.S.R., quien desde ese momento quedó adscrito al nuevo encargado. El otro acusado, Eduardo P.F., fue también cesado como jefe de servicio de la subdirección de desarrollo y soporte del CPD.

Los procesados mostraron su desacuerdo con estas decisiones tanto de manera oficial como en comentarios y manifestaciones propias relativas a sus nuevos puestos, según especifica el fiscal.

El Sistema de Información Municipal (SIM) fue desarrollado por José A.S.R., que se negó, pese a las reclamaciones del equipo de gobierno, a entregar el código fuente de la aplicación, alegando que el departamento informático tenía conocimiento suficiente del mismo.

Con el propósito de "reivindicar su capacidad profesional, en demérito de los miembros del equipo directivo sucesor, ambos acusados aprovecharon la puesta en explotación de una aplicación auxiliar que permitía a los funcionarios de la corporación municipal la consulta vía Internet de sus nóminas y recibos del IRPF --marzo de 2012-- para demostrar las presuntas carencias de diseño de seguridad informática de la misma".

Así, aprovechando una actualización de la versión de la aplicación realizada en mayo de 2012, los acusados realizaron una serie de accesos al sistema informático y a la aplicación "que comprometieron la seguridad del mismo".

Hasta ese momento, desde su implantación en noviembre de 2011, la aplicación no había generado ningún problema de seguridad, ni se habían detectado accesos no autorizados. Sin embargo, tras cargarse y ponerse en aplicación la actualización mencionada comenzaron a producirse accesos no autorizados.

Los denunciados se hallaban a esa hora en las dependencias del Centro de Proceso de Datos, y el acceso, según el Ministerio Público, se produjo mediante el empleo de una subrutina no documentada del Sistema de Información Municipal que soslayaba los mecanismos de seguridad lógica instalados, esto es, la necesidad de autenticación con certificado digital.

Inicialmente se realizó accediendo a nóminas correspondientes a miembros del Centro de Proceso de Datos municipal , pero, aun constatados con dichos accesos la vulnerabilidad de la aplicación, éstos continuaron desde equipos internos del citado centro y externos a información de naturaleza económica de personas ajenas, incluidas la entonces secretaria de la corporación municipal y el exalcalde José Torres Hurtado.

De hecho, se produjeron numerosos accesos a las nóminas de la fedataria local durante la tarde del día 31, siendo precisamente su información la que empleó José A.S.R. para comunicarle al entonces teniente de alcalde de Personal, Juan Antonio Fuentes, la existencia de esta vulnerabilidad. El acceso fue a su vez comunicado por el edil a su equipo técnico, procediéndose entre las 20,00 y las 22,00 horas a su subsanación.

Sin embargo, los accesos se realizaron además por otro tipo de ataque no comunicado en la forma anterior. Haciendo uso de otra subrutina (/doc2) se tenía acceso directo a documentos del Sistema de Información Municipal, invocando directamente su número de identificación. Este tipo de accesos se realizó desde una dirección IP no correspondiente al rango de direcciones IP del proveedor de comunicaciones electrónicas del Ayuntamiento.

TENÍAN CONOCIMIENTO DEL FUNCIONAMIENTO DEL SISTEMA

Según el fiscal, ambos tipos de accesos fueron directos, es decir, no precedidos de intentos y tanteos de hallazgos de vulnerabilidades. Por este motivo y por el uso de subrutinas no documentadas de la aplicación SIM, el personal técnico consideró que únicamente una persona de la organización, con conocimientos de la aplicación SIM, pudo cometer los hechos.

Parte de los accesos fueron realizados mediante el empleo de los certificados digitales de los acusados, José A.S.R. y Eduardo P.F. Así, el fiscal considera que ambos realizaron dichos actos para "poner en evidencia" la presunta inseguridad del Sistema de Información Municipal, "debida a la mala gestión y organización del CPD ocasionada por su destitución tras la última remodelación".

De esta forma, sin hallarse adscritos al proyecto ni autorizados para el empleo de los recursos físicos, lógicos o informacionales del SIM, "generaron un ataque al SIM y se mantuvieron en el mismo mucho más tiempo del preciso para la mera detección y neutralización de los posibles problemas de diseño de la aplicación Visor Nóminas y Visor Retenciones".

Además, lo hicieron "con el propósito de documentar en los registros de la aplicación un incidente que comprometiera la imagen de la corporación local en materia de seguridad informática de sus recursos, obligándole a afrontar las posibles consecuencias en el plano legal y de deterioro de su imagen pública frente a los organismos públicos encargados de la protección de la información personal almacenada en el SIM".

Prueba de ello es, según Fiscalía, que el 26 de junio el acusado Eduardo P.F. --como miembro del sindicato CCOO-- y otros representantes sindicales dieron una rueda de prensa en la que dieron cuenta tanto del hecho acaecido como de la naturaleza y descripción de los ataques realizados, explicando detalladamente a los medios informativos convocados "cómo convertirse en un hacker" del Sistema Informático Municipal. Información que, por otra parte, ambos acusados ya habían ofrecido en explicaciones dadas a medios de comunicación desde el 19 de junio.

La Fiscalía especifica que estos hechos generaron "costes de explotación directos y derivados a la corporación municipal" que concreta en los relacionados con las labores extraordinarias realizadas por los responsables del CPD para "neutralizar los incidentes relatados", por un valor de 4.580 euros; y en el abandono temporal de la aplicación de nóminas y recibos de IRPF lo cual "obligó a la emisión de la nómina del mes de junio de 2012 en papel impreso, generando un coste adicional no previsto de 3.199 euros".

Más noticias