Durante varios días esta corporación municipal ha estado paralizada por un ciberataque
Los ayuntamientos españoles se han convertido en otro blanco de actuación de los ciberatacantes. (Imagen: E&J)
El Ayuntamiento de Elche ha aprobado una partida extraordinaria de 4,5 millones de euros para hacer frente a los efectos del ciberataque sufrido hace unos días que dejó inoperativos todos los servicios informáticos municipales y obligó a suspender la mayoría de trámites burocráticos.
El alcalde de Elche, Pablo Ruz (del Partido Popular), explicaba este lunes en rueda de prensa que la ciudad “empieza a recuperar la tranquilidad y el orden administrativo”, gracias a la recuperación de servicios esenciales como la Policía Local y la puesta en marcha, durante esta semana, de la Oficina Municipal de Atención al Ciudadano (OMAC) como único servicio administrativo plenamente operativo.
Ruz subrayó que el nuevo gasto aprobado refleja “la magnitud de la respuesta técnica y administrativa necesaria”. “Hemos sufrido el ciberataque más grave de nuestra historia”, señaló el primer edil, destacando que los trabajos de recuperación implican un esfuerzo económico sin precedentes para garantizar la seguridad de los sistemas.
El alcalde quiso recalcar que, pese al golpe, el consistorio “no está paralizado” y mantiene en marcha la elaboración de los presupuestos de 2026, con el objetivo de presentarlos antes de lo habitual para poder trabajar con ellos desde enero.
Con este plan de contingencia, el consistorio ilicitano busca no solo restablecer la normalidad en sus servicios, sino también reforzar sus infraestructuras digitales para prevenir nuevos ataques en el futuro. Expertos consultados por Economist & Jurist analizan esta problemática que salpica a cualquier entidad, publica o privada.
El edil de Innovación, Servicios Públicos y Contratación, Claudio Guilabert, acompañado por el comisario de la Policía Local de Elche y responsable de la seguridad del Ayuntamiento, José Fernández Villafranca, y la subdirectora de la Oficina de Protección de Datos municipal, Asunción Brotons, han ido dando información de este ciberataque. (Imagen: Ayuntamiento de Elche)
La vulnerabilidad de los ayuntamientos
Cristina Muñoz-Aycuens, socia responsable del área de ciberseguridad y forensic de Grant Thornton, explica a este medio que “este ciberataque ha puesto de manifiesto una vez más la vulnerabilidad de las administraciones públicas frente a las amenazas digitales, por desgracia no es el primer ayuntamiento que sufre un ciberincidente como este ni probablemente será el último”.
“El incidente, que dejó inoperativo el sistema informático municipal, obligó a activar el Comité de Crisis y movilizar recursos técnicos y humanos para recuperar la normalidad. La factura de este ataque no solo se mide en términos económicos —con un coste estimado de 4,5 millones de euros—, sino también en la pérdida de confianza ciudadana, la interrupción de servicios esenciales y el desgaste institucional”, comenta.
Para esta experta “este ataque no es un caso aislado. En los últimos años los ayuntamientos españoles han sido blanco recurrente de cibercriminales que buscan explotar debilidades en infraestructuras tecnológicas muchas veces obsoletas o mal protegidas. Desde el Ayuntamiento de Sevilla hasta el de Castellón, pasando por municipios más pequeños, los ataques han ido en aumento tanto en frecuencia como en sofisticación. El caso de Elche es especialmente ilustrativo por la magnitud del impacto y la rapidez con la que se ha tenido que responder”.
En su opinión, “la nota recibida por el Ayuntamiento, presuntamente enviada por los autores del ataque, está siendo analizada por la Policía Nacional. Este tipo de comunicaciones suele formar parte de estrategias de extorsión, en las que los atacantes exigen pagos a cambio de liberar sistemas o no divulgar información sensible. Aunque no se ha confirmado si se trata de un ransomware, el patrón es similar al de otros ataques sufridos por otras entidades públicas en Europa”.
Para la socia de Grant Thornton, “la digitalización de los servicios públicos, aunque necesaria y positiva, ha avanzado más rápido que la implementación de medidas de protección adecuadas. El Esquema Nacional de Seguridad ofrece un marco normativo sólido, pero su aplicación efectiva requiere voluntad política, inversión sostenida y una cultura organizativa que priorice la seguridad”.
“Además, es imprescindible fomentar la colaboración entre administraciones, cuerpos de seguridad, empresas tecnológicas y organismos especializados como el Centro Criptológico Nacional. La ciberseguridad no puede abordarse de forma aislada por cada ayuntamiento; se necesita una estrategia nacional que contemple la realidad de los municipios, especialmente los de menor tamaño, que son más vulnerables por falta de medios”.
Al mismo tiempo “también es fundamental sensibilizar a los empleados públicos y a la ciudadanía sobre buenas prácticas digitales. El factor humano sigue siendo uno de los principales vectores de ataque, ya sea por el uso de contraseñas débiles, la apertura de correos maliciosos o la falta de formación en ciberhigiene”.
Cristina Muñoz-Aycuens subraya que este ciberataque es un aviso muy serio: «Es una cuestión estratégica que afecta a la gobernanza, la transparencia y la calidad democrática”. (Imagen: Grant Thornton)
En definitiva, para Cristina Muñoz-Aycuens, “el ciberataque al Ayuntamiento de Elche debe entenderse como una advertencia seria. No se trata solo de un problema técnico, sino de una cuestión estratégica que afecta a la gobernanza, la transparencia y la calidad democrática”.
Esta experta resalta que “la ciberseguridad debe dejar de ser un asunto secundario para convertirse en una prioridad política y presupuestaria. Solo así se podrá garantizar que la digitalización de los servicios públicos se traduzca en una mejora real para la ciudadanía, sin poner en riesgo su privacidad ni la operatividad de las instituciones”.
Ciberseguridad municipal: un objetivo lucrativo
Manuel Asenjo, CIO del despacho Broseta y miembro de la comunidad ISMS Forum, indica que “como CIO y responsable de ciberseguridad en un despacho de abogados, entiendo perfectamente la complejidad y los desafíos que plantea la situación, especialmente en un entorno como el de las administraciones públicas. El reciente ciberataque al Ayuntamiento de Elche, con un coste estimado de 4,5 millones de euros, no es un incidente aislado, sino un claro ejemplo de por qué las instituciones municipales en España se han convertido en un objetivo tan atractivo para los ciberdelincuentes”.
Desde su punto de vista “la vulnerabilidad de los ayuntamientos radica en una combinación de factores que los hace particularmente susceptibles. En primer lugar, la cantidad y la naturaleza de la información que gestionan son un botín muy atractivo. Un ayuntamiento maneja datos personales sensibles de miles de ciudadanos (padrones, expedientes, información fiscal, etc.), lo que los convierte en un blanco perfecto para el robo de datos con fines de extorsión o venta en el mercado negro. Esta información es la materia prima del cibercrimen, y su compromiso no solo afecta a la institución, sino directamente a los ciudadanos”.
Asenjo señala que, además, muchos ayuntamientos presentan un nivel de madurez en ciberseguridad inferior al de las grandes empresas o entidades financieras. “Esto se debe a menudo a la falta de presupuesto, la escasez de personal especializado y la obsolescencia de los sistemas informáticos. La inversión en infraestructuras de seguridad no siempre se percibe como una prioridad, lo que crea una brecha que los atacantes aprovechan con facilidad. El ayuntamiento de Elche, a pesar de sus esfuerzos por recuperarse, es un recordatorio de que la inversión en prevención es significativamente menor que el coste de la remediación”, comenta.
Manuel Asenjo cree que “es el momento de fortalecer nuestras defensas digitales y asegurar que, como sociedad, estamos preparados para afrontar los desafíos de un mundo cada vez más conectado y, por ende, más expuesto”. (Imagen: Broseta)
Para Manuel Asenjo “otro factor clave es la complejidad de sus redes. Los ayuntamientos suelen tener múltiples departamentos, cada uno con sus propios sistemas y aplicaciones, lo que genera una superficie de ataque muy amplia. Los empleados, sin la formación adecuada, pueden ser el eslabón más débil, cayendo en trampas de phishing o descargando malware que compromete toda la red. La falta de una cultura de ciberseguridad transversal hace que la protección sea un desafío constante”.
Desde su punto de vista “la naturaleza crítica de los servicios que prestan también juega un papel crucial. Un ciberataque exitoso puede paralizar la atención al público, el pago de nóminas, la gestión de trámites y otros servicios esenciales. Este caos operativo genera una presión enorme para que las instituciones paguen rescates o se vean obligadas a invertir ingentes cantidades de dinero y recursos en la recuperación. Los ciberdelincuentes saben que la interrupción del servicio público es una palanca poderosa para obtener pingües beneficios económicos”.
Como conclusión final aclara que “los ayuntamientos son objetivos atractivos para los ciberdelincuentes no por casualidad, sino por su combinación de datos valiosos, vulnerabilidades sistémicas y servicios críticos. El caso de Elche debe servir como una llamada de atención para todas las instituciones públicas en España, ya que no son los primeros, ni por desgracia serán los últimos. Es el momento de fortalecer nuestras defensas digitales y asegurar que, como sociedad, estamos preparados para afrontar los desafíos de un mundo cada vez más conectado y, por ende, más expuesto”.
Cualquiera puede ser ciberatacado
Por su parte, Esther Botella, delegada de Protección de Datos de la Universidad Miguel Hernández de Elche, funcionaria de carrera y jurista especializada en tecnologías de la información y comunicaciones desde hace 25 años, además de ser conferenciante y docente en la materia en diversas organizaciones públicas y privadas, subraya sobre este incidente que “los ciberataques afectan a cualquier entidad. Las organizaciones establecen sus planes específicos para controlar los riesgos y evitar las brechas de seguridad. Cada vez los ciberdelincuentes atacan de forma más sofisticada y están mejor organizados. Con el uso de la IA aumenta su peligrosidad”.
Esther Botella recuerda que “la seguridad cien por cien no existe y el riesgo de ser atacado está ahí tanto para empresas públicas como privadas». (Imagen: cesión propia)
En su opinión, “este tipo de incidentes devuelven al primer plano la necesidad de concienciación e inversión de medios, tanto en entidades públicas como privadas. Cada vez nos enfrentamos a herramientas muy potentes, lo que hace que haya que invertir más en seguridad y en formar a los profesionales. Lo que sabemos del Ayuntamiento de Elche es que con la ayuda de una empresa de ciberseguridad va recobrando la normalidad. Creo que hacen bien en no publicar las medidas que están implementando para no dar pistas a otros ciberatacantes. El Comité de Crisis está trabajando y con ello buscan una solución para restablecer el servicio”.
Para esta experta “se trata de actuar rápido con el protocolo de resiliencia que cada organización debe tener asimilado y entrenado periódicamente para que en este tipo de situaciones prácticas se pueda aplicar de forma casi automática, donde cada parte de la empresa tiene su cometido claro y concreto en estos momentos tan complicados. Los organismos públicos debemos cumplir el Esquema Nacional de Seguridad que nos obliga a cumplir con la normativa, tanto a nosotros como a los proveedores. Un ciberataque puede tocar a cualquier entidad y hay que estar preparado. Es fundamental formar a nuestros profesionales para evitar que cualquier error suyo abra la puerta a esos ciberataques en cualquier momento”.
Esta jurista reconoce que “lo importante es que las medidas que se implementen ayuden a frenar esos ciberataques. Se trata de trabajar duro desde la implementación de esos planes de gestión de riesgos que reduzca esa exposición y, al mismo tiempo, la monitorización de lo que se esta haciendo para que sepamos si realmente nuestras medidas están funcionando. Al final se trata de implementar planes de resiliencia o de recuperación para que el negocio esté operativo lo antes posible tras el ciberincidente y su comunicación, si procede al organismo regulador correspondiente. Es importante saber qué hacer en cada momento en esta situación de crisis”.
A su juicio, “es fundamental que junto con las medidas técnicas que se implementan se aprueben otras organizativa, tanto a nivel preventivo como cuando hemos sufrido el ciberataque. La seguridad cien por cien no existe y el riesgo de ser atacado está ahí. Estamos seguros que la trasposición de la Directiva NIS2 a nuestro ordenamiento va a generar mayor concienciación en las organizaciones. Se implica a la dirección de las empresas; se impulsa la figura del CISO y se pide que las organizaciones monitoricen su cadena de suministros. Tan importante es poner los medios necesarios como saber que hacer en cada momento concreto”.