La concejal de Nuevas Tecnologías del Ayuntamiento de Alicante, María Dolores Padilla, ha dado a conocer hoy el informe sobre los accesos indebidos a mails municipales confeccionado tras analizar 22 millones de líneas de datos.

El informe lo firman el jefe del departamento Técnico de Sistemas, el jefe del departamento Técnico de Microinformática, un técnico de ese mismo departamento y el jefe del departamento Técnico de Seguridad Tecnológica, con el visto bueno del jefe de servicio de Nuevas Tecnologías, Innovación e Informática.

La concejal enviará el informe la próxima semana a la Agencia Estatal de Protección de Datos y a los servicios jurídicos del Ayuntamiento de Alicante, para estudiar, en este último caso, si existe algún tipo de irregularidad que deba abrir una vía judicial. Del contenido del informe se ha dado traslado hoy mismo a los portavoces de todos los grupos políticos municipales y a los dos ediles no adscritos. 

En el informe se constatan los siguientes hechos:

A las 09:51 del 20 de febrero el concejal de Cs Juan Francisco Escudero se pone en contacto con el jefe de servicio de Nuevas Tecnologías, Innovación e Informática para solicitar verlo de manera urgente y sobre las 10:00 horas se presenta en la Concejalía e indica que ha descubierto que es posible acceder a los correos del Ayuntamiento utilizando una contraseña diferente a la establecida por los usuarios, en concreto con la contraseña "Alicante".

Una vez verificada esa posibilidad por los técnicos municipales se procede al bloqueo de los servidores de correo y comienza el análisis de la vulnerabilidad que solo afecta al correo electrónico sin que ningún otro sistema se viera comprometido.

A las 10:59, 54 minutos después de haber puesto en conocimiento de los técnicos la vulnerabilidad, se da por solucionada la misma y se comienzan a levantar los servidores de correo. Se determina que la causa de la vulnerabilidad es la conjunción de dos condiciones, que por si solas no representan riesgo alguno.

La primera es que los programas de migración de cuentas de correo al nuevo sistema y de creación automática de nuevos usuarios, implantado en el año 2012, configuraba una contraseña por defecto a los propietarios del buzón en el "directorio de usuarios interno del correo municipal" que no se facilitaba a los usuarios ya que el único método de validación debía ser la contraseña de inicio al ordenador basado en el "directorio de usuarios" municipal tal como se definió en las especificaciones de la migración al nuevo sistema.

La segunda es que el "directorio de usuarios interno del correo municipal" se activó indebidamente. El informe señala que ha sido imposible, en base a los ficheros históricos de actividad "log", que cumplen el marco legal establecido para este tipo de ficheros, establecer el momento exacto en el que se activó.

El informe aclara que la conjunción de ambas condiciones es lo que provocó la vulnerabilidad y en ningún caso existe o ha existido una contraseña "maestra" que permitiera el acceso a todos los buzones del correo municipal.

Dentro del marco legal establecido los ficheros "log" disponibles nos permiten realizar una trazabilidad desde el día 10 de febrero a las 00:00 para la actividad detallada de los usuarios y desde el 8 de febrero a las 00:00 para los cambios de configuración del sistema de correo electrónico. En base a esos datos se certifica que no ha existido ningún acceso externo indebido a las cuentas de correo municipal y que existen 18 accesos irregulares, es decir, con una contraseña distinta a la establecida por el propietario del buzón. Omitiendo los accesos del propietario del buzón a su propio correo, los accesos irregulares se limitan al día 20 de febrero y han sido los siguientes:

Desde el puesto de ordenador de un asesor de Ciudadanos, y con su usuario de Windows, se realizaron 6 accesos irregulares, accediendo a las siguientes cuentas de correo en orden cronológico:

1. El del asesor de prensa de Cs a las 09:45:34 y permaneció 16 segundos en el buzón.
2. El de Yaneth Lucía Giraldo Jiménez (Concejala de Cs) a las 09:48:00 y permaneció 9 segundos en el buzón.
3. El de Vicente López (Jefe de Gabinete de Alcaldía PP) a las 09:49:41 y permaneció 7 segundos en el buzón.
4. El del asesor de prensa de Cs a las 10:16:44 y permaneció 14 segundos en el buzón.
5. El de Vicente Buades Carreño (Concejal de Cs) a las 10:17:13 y permaneció 7 segundos en el buzón.
6. El de Yaneth Lucía Giraldo Jiménez (Concejal de Cs) a las 10:25:04 y permaneció 12 segundos en el buzón.

Desde el puesto de ordenador del asesor de prensa de Ciudadanos, y con su usuario de Windows, se realizaron 3 accesos irregulares, accediendo a las siguientes cuentas de correo en orden cronológico:

1. Vicente López (Jefe de Gabinete de Alcaldía PP) a las 10:20:31 y permaneció 9 segundos en el buzón.
2. Vicente López (Jefe de Gabinete de Alcaldía PP) a las 10:21:35 y permaneció 27 segundos en el buzón.
3. Marisa Gayo Madera (Concejal del PP) a las 10:22:39 y permaneció 35 segundos en el buzón.

Se ha certificado que no existieron más accesos irregulares y no se abrió ningún correo en los mencionados accesos.

El sistema de asignación de nombres de usuario del Ayuntamiento se basa en las iniciales del nombre y apellidos del propietario y su asignación depende de posibles coincidencias con otros usuarios, es decir, si existen dos usuarios cuyos nombres completos dieran el mismo nombre de usuario, se le suele asignar alguna letra más de su nombre a uno de ellos para diferenciarlos. Esto es relevante ya que el informe certifica que se produjeron intentos de acceso a nombres de usuarios inexistentes el día 20 de febrero y fueron los siguientes:

Desde el puesto del asesor de Ciudadanos, y con su usuario de Windows, se realizaron otros tres intentos de acceso a usuarios inexistentes:

1. 09:47:32 intentó acceder a la cuenta luibasi,
2. 09:48:51 intentó acceder a la cuenta JOCIHON
3. 10:25:31 intentó acceder a la cuenta daviro

Desde el puesto del asesor de prensa de Cs y con su usuario de Windows se realizaron otros cinco intentos de acceso a usuarios inexistentes:

1. 10:24:13 intentó acceder a la cuenta evmoma
2. 10:24:30 intentó acceder a la cuenta emoma,
3. 10:24:39 intentó acceder a la cuenta emoma
4. 10:25:08 intentó acceder a la cuenta lubarsi
5. 10:25:38 intentó acceder a la cuenta daviro

Además el informe certifica que el día 20 de febrero, entre las 9:42 y 11:02, se han detectado 47 intentos de acceso sin éxito debido al uso de contraseñas incorrectas, lo que resulta habitual por la introducción errónea de la contraseña por parte de los usuarios. No obstante, de entre todos ellos el informe resalta, por tratarse de buzones sensibles u origen coincidente con los accesos irregulares, los siguientes:

Desde el puesto de ordenador de asesor de Cs y con su usuario de Windows se realizaron 2 intentos de acceso sin éxito por contraseña incorrecta a los siguientes buzones:

1. Luis Barcala Sierra (Alcalde PP) a las 09:47:10.
2. Funcionario del Ayuntamiento (área de Urbanismo) a las 10:26:43

Desde el puesto del asesor de prensa de Ciudadanos y con su usuario de Windows se realizó un intento de acceso sin éxito por contraseña incorrecta al siguiente buzón:

1. Funcionaria del Ayuntamiento (área de Tráfico y Seguridad) a las 10:27:29

La Concejalía de Nuevas Tecnologías, Innovación e Informática comunicará oficialmente y de manera nominativa a los afectados los accesos irregulares certificados sobre sus buzones.

La concejal ha afirmado que se trata de un "informe técnico". "A partir de aquí no vamos a entrar en el terreno de las especulaciones, porque corresponde al partido Ciudadanos explicar porqué los intentos de acceder a los correos de todas estas personas. Políticos, asesores y funcionarios municipales. Y deben aclarar también si los intentos de acceso erróneos a las cuentas evmoma y emoma se referían a la portavoz socialista, Eva Montesinos", ha señalado. 

"Ahora corresponde a Asesoría Jurídica elaborar el informe pertinente para valorar las acciones a tomar desde el Ayuntamiento de Alicante, una vez conocido y firmado este informe por cinco técnicos de la Concejalía de Nuevas Tecnologías, Innovación e Informática. Los grupos municipales tendrán conocimiento completo de todas las actuaciones que se lleven a cabo respecto a este asunto", ha señalado.