La EMT sigue con fallos en ciberseguridad más de un año después del robo

valencia. La Sindicatura de Comptes ha constatado «graves deficiencias» en ciberseguridad en EMT València, sobre todo en el control de acceso a los sistemas de tesorería. El informe de la auditoría de ciberseguridad realizada a la EMT evidencia «bajo índice de madurez» de los controles de ciberseguridad. El documento se realizó después del fraude que sufrió la entidad y, por eso, analiza el área de tesorería.

Es una de las que sale peor paradas. «En la auditoría hemos observado que la situación de los controles de acceso privilegiado a los sistemas se ha de mejorar, ya que hay graves deficiencias en los controles relacionados con los usuarios administradores de algunos sistemas que proporcionan apoyo a procesos críticos de negocio», indica el documento.

Además, la auditoría asegura que la empresa necesita «más concienciación en relación con la ciberseguridad por parte de los órganos superiores de la EMT» ante «la multiplicidad de amenazas existentes». «Las deficiencias señaladas a lo largo del informe requieren actuaciones e inversiones, tanto en medios materiales como en personales», señala la sindicatura. La auditoría también propone «actualizar y reforzar la gobernanza de la seguridad de la información y alinearla con lo que establece el Esquema Nacional de Seguridad».

Aunque el documento no se elabora para analizar el fraude que sufrió la empresa («no hemos de interferir en las actuaciones judiciales en curso»), sí se han tenido en cuenta «las circunstancias generales del fraude y hemos incluido en el ámbito de la revisión las áreas de interés relacionadas con los hechos, en particular el área de tesorería, atendiendo a los riesgos de posible falta de eficacia en los controles de seguridad de la información de esta área».

La auditoría considera que se requiere más concienciación y más recursos dedicados a la seguridad de la información. «Aunque existe un cierto nivel de control, hay posibilidades de mejora», dice el documento, que exhorta tanto al Consejo de Administración como al pleno a «tomar conciencia de la necesidad de conseguir los niveles requeridos por la normativa para la protección de los sistemas de información ante la multitud de amenazas existentes» en el campo de la ciberseguridad.

Pero si hay algo sobre lo que insiste la sindicatura es en las deficiencias en los controles relacionados con los usuarios administradores de los sistemas, «particularmente en aquellos gestionados de manera autónoma por los departamentos correspondientes». «Las faltas detectadas, entre las que destacan una aplicación insuficiente del principio de mínimo privilegio y una gestión deficiente de los registros de actividad, tienen un coste de corrección reducido y un alto impacto en el nivel general de ciberseguridad», señala el órgano. La EMT presentó alegaciones al informe previo. En ellas, explica que ya tienen una «propuesta de trabajo» para resolver las deficiencias. «Existe esta propuesta y un plan de trabajo que incluye las modificaciones necesarias cuanto a gestión adecuada de derechos de acceso y privilegios administrativos de los usuarios, registros de actividad y aplicación adecuada del principio de mínimo privilegio», reconoce la Sindicatura de Comptes.

Esta cuestión no es baladí. Se recordará que durante buena parte de la investigación del fraude se puso en duda quién accedió con las credenciales del exgerente, Josep Enric Garcia Alemany, y la exdirectora de Gestión, María Rayón, a la cuenta de la EMT de CaixaBank durante casi todo el mes de septiembre de 2019, mientras Celia Zafra, engañada por una trama internacional, transfería 4 millones de euros a dos cuentas del Bank of China en Hong Kong. Pensaba que estaba siguiendo la orden directa de Giuseppe Grezzi.

A este respecto, el informe de la sindicatura propone la eliminación «de todos los usuarios no nominativos con privilegios administrativos de todos los sistemas». «Todas las actividades de gestión se deberán realizar con usuarios nominativos. Cuando haya razones de índole técnica que impidan la eliminación de usuarios genéricos, su uso deberá estar controlado de manera que se mantenga el principio de trazabilidad de las acciones de los sistemas», propone el informe. Pretende así la sindicatura que se sepa en cada momento quién entra a qué sistema y qué hace en él.

El informe también habla de otro aspecto que apareció de pasada en el juicio laboral a Celia Zafra que terminó con la declaración como improcedente de su despido. A la sesión celebrada en la Ciudad de la Justicia acudió el responsable de informática de la EMT a quien el abogado de Zafra, José Martínez Esparza, le preguntó qué medidas tomaban en la empresa para formar a sus trabajadores sobre ciberseguridad. «Reenviamos los correos que nos llegan del Gobierno», desveló. El informe de la sindicatura lo corrobora: «Las acciones de la EMT relativas a la concienciación en seguridad de la información consisten principalmente en el envío de píldoras informativas (comunicaciones informativas breves) a partir de publicaciones y alertas emitidas por grupos de interés como Incibe, CCN-CERT y organizaciones de seguridad reconocidas. Estos envíos se realizan de manera periódica en un proceso organizado y de manera reactiva ante determinados anuncios y alertas de interés para la organización», dice el texto.

Finalmente, la auditoría constata «un bajo índice de madurez» de los controles de ciberseguridad. En este sentido, la sindicatura los cuantifica en un 51,5% cuando el objetivo es del 80%. «Los controles en general se realizan pero hay controles parcialmente establecidos o los procedimientos no se han formalizado documentalmente», apunta. De nuevo, cierta similitud con lo que se halló en la comisión de investigación del fraude. En las distintas comparecencias de trabajadoras del área de administración se constató que los procedimientos de tesorería y de control de cuentas no estaban puestos en negro sobre blanco, aunque en octubre de 2019 la empresa publicó un manual fechado a 1 de octubre, cuatro días después del fraude. «Era una carpeta que habíamos hecho nosotras por si alguna tenía alguna duda», contó una trabajadora. Esta falta de procedimientos también quedó acreditada en las conclusiones de la comisión de investigación, que exigieron distintos cambios organizativos a nivel interno en el seno de la EMT, así como el cese de María Rayón.