“La otra cara de la moneda”. La guerra de la ciberdelincuencia -también- en el ámbito de la gestión del trabajo y de la seguridad social

TransformaW

Isabel María Villar Cañada.
Profesora Titular Área de Derecho del Trabajo y de la Seguridad Social.
Universidad de Jaén.

1. PLANTEAMIENTO GENERAL

Han sido varias las entradas en las que hemos tenido la oportunidad de reflexionar sobre los avances en materia de digitalización en el ámbito público a los que estamos asistiendo en los últimos tiempos. Avances derivados de la indudable potencialidad que las nuevas tecnologías tienen en el ámbito de la gestión del trabajo y de la Seguridad Social, como instrumentos tanto para la mejora de la calidad y eficacia de la actuación administrativa (agilización de procedimientos, acceso e intercambio de información) como para el aumento del control y la lucha contra el fraude.

Como una de las más recientes y claras manifestaciones del avance del proceso de automatización del procedimiento administrativo sancionador y del empleo de las posibilidades que ofrecen las TICs en la lucha contra el fraude en el ámbito socio-laboral, la Disposición final cuarta del Real Decreto ley 2/2021, de 26 de enero, de refuerzo y consolidación de medidas sociales en defensa del empleo, modificó el art. 53.1 de la Ley de Infracciones y Sanciones en el Orden Social (LISOS), permitiendo a la Inspección de Trabajo emitir actas de infracción basadas en actuaciones automatizadas, en algoritmos, es decir, sin intervención directa de personal funcionario actuante en su emisión y sin que ello suponga una reducción de las garantías jurídicas de la ciudadanía.

Dando un paso más allá respecto al cruce masivo de datos que ya venía empleando desde hace tiempo la Inspección de Trabajo, lo que viene a suponer esta modificación es la posibilidad de que un procedimiento sancionador se inicie mediante un acta en la que los hechos que la motivan hayan sido obtenidos exclusivamente de forma automatizada. Es decir, el reforzamiento del sistema de control y sancionador se “confía” al empleo de herramientas Big Data con la finalidad de simplificar y agilizar el procedimiento. Como era de esperar, esta medida fue objeto de airadas críticas desde la propia Inspección de Trabajo al considerar que la misma supone una ruptura con los principios de legalidad, seguridad jurídica, eficiencia, neutralidad e imparcialidad de la ITSS.

2. LA DIGITALIZACIÓN EN LA ADMINISTRACIÓN PÚBLICA. ¿ES ORO TODO LO QUE RELUCE?

Evidentemente, no puede negarse el importante papel que las herramientas de gestión masiva de datos juegan -y pueden seguir jugando- en el ámbito del progreso social y, particularmente en la lucha contra el fraude. No está en cuestionamiento, pues, el empleo de las mismas por parte de la Administración en la búsqueda de mayores niveles de eficacia y calidad en el cumplimiento de sus objetivos.

Pero este proceso creciente de automatización tiene también otra vertiente que también ha de ser tenida en cuenta. Y es que resulta necesario ser consciente de los riesgos inherentes a estas innovaciones tecnológicas.

En este sentido, por una parte, no pueden obviarse los riesgos de desigualdad o discriminación, los sesgos presentes en la utilización de los algoritmos, frente a los que la supervisión humana, la capacidad analítica, se presenta como instrumento corrector imprescindible para el adecuado diseño e implementación de sistemas de inteligencia artificial realmente útiles y para contribuir también a la confianza de la ciudadanía en los mismos, algo imprescindible –más aún si cabe- en el ámbito socio-laboral, tal y como teníamos oportunidad de analizar en una anterior entrada. Y es que la implantación de las nuevas tecnologías no puede suponer una merma en los derechos y garantías de la ciudadanía, aspecto este que parece haber sido “obviado” con el nuevo sistema de actas de infracción automatizadas.

Y, por otra parte, tampoco tienen una importancia menor los riesgos de seguridad informática inherentes a la automatización del proceso administrativo. Muestras evidentes y cercanas de esta vulnerabilidad ligada al empleo de las nuevas tecnologías son los ciberataques sufridos en marzo por el Servicio Público de Empleo Estatal y, más recientemente –el 9 de junio-, por la práctica totalidad de los servicios centrales del Ministerio de Trabajo y Economía Social (a excepción del SEPE), con una particular incidencia en la Inspección de Trabajo. Un ataque en el que también se vieron afectados los servicios centrales del Ministerio de Seguridad Social con el que el Ministerio de Trabajo comparte servidores.

Causados por el mismo virus de secuestro informático (el ransomware ‘Ryuk’), algunos expertos no descartan que el del Ministerio se trate de un segundo golpe, tras el sufrido por el SEPE, justo 90 días antes.

En ambos casos, los ataques han producido la paralización, prácticamente absoluta, de los servicios, con procedimientos 100% digitalizados, que en el supuesto del SEPE dio lugar a importantes retrasos en el reconocimiento y abono de prestaciones y que, un mes después, aún mantiene a la Inspección de Trabajo en una situación “caótica”. La imposibilidad de utilizar los ordenadores, de acceder a la intranet, a las bases de datos, a los correos electrónicos… ha generado un bloqueo en las nuevas peticiones de actuación, con la consiguiente paralización de las actuaciones -que, un mes después del ataque ronda las 800-. Y está haciendo que el personal se esté viendo abocado a volver a la forma de trabajar de la era preinternet para mantener una mínima actividad, atendiendo las demandas y peticiones “a papel y boli” con los consiguientes retrasos en la tramitación de los casos, y realizado las inspecciones prácticamente “a ciegas”, dada la imposibilidad de acceder a informaciones como los datos de las empresas, la vida laboral de las personas trabajadoras, el registro de prestaciones por desempleo… Incluso desde la propia Inspección se apunta que se han visto obligados a comprar licencias estándar de Microsoft Office de urgencia para equipar los ordenadores personales del personal, lo que da una idea de la excepcionalidad de la situación.

Y todo ello, con la incertidumbre, la falta de información y certeza sobre cuánto durará esta situación. Internamente se ha venido apuntando a “principios de julio” como la fecha de la progresiva vuelta a la normalidad, pero a día de hoy la situación sigue siendo complicada.

El caso es que ambos episodios han puesto en evidencia la debilidad del Ministerio en materia de ciberseguridad, la insuficiente actualización de sus sistemas informáticos y su escasa capacidad para ofrecer una solución rápida y con medios propios, pese a la colaboración del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia.

Más allá de las dudas existentes sobre el secuestro de datos y la exigencia o no de rescate por parte de las personas responsables del ciberataque y del pago del mismo, aspectos ambos negados -evidentemente- desde el Ministerio de Trabajo, sí ha trascendido la adjudicación de un contrato a la compañía Fujitsu Technology Solutions, negociado sin publicidad y por la vía de urgencia, por un valor estimado de 145.894 euros para dar respuesta lo más rápida posible al incidente de seguridad generado por el ataque.

3. Y ¿CON QUÉ “ARMAS” CONTAMOS EN ESTA “GUERRA” CONTRA LA CIBERDELINCUENCIA?

La realidad muestra que, en los últimos meses, los ciberdelincuentes parecen haber puesto el foco en el sector público. Además del SEPE, en los últimos meses ha sufrido ataques ayuntamientos como el de Castellón, y se han detectado intentos a diferentes ministerios (Asuntos Económicos y Transformación Digital, Industria, Educación, Justicia, Ciencia…), a la web del Consejo de Seguridad Nuclear o al Tribunal de Cuentas.

Y hace apenas unos días, hemos tenido noticias de una nueva estafa en la que dos personas se hacían pasar por funcionarios de la Tesorería General de la Seguridad Social para estafar dinero a través de la App Bizum. Más allá de que, evidentemente, ni la Seguridad Social ni cualquier otra Administración utiliza Bizum para tramitar pagos, refleja claramente la realidad de la ciberdelicuencia, más aún en ámbitos particularmente sensibles para la ciudadanía, y particularmente atractivos para los ciberdelincuentes, como, en ese caso, la Seguridad Social.

Tras el ciberataque al SEPE, fueron varias las voces que pusieron de relieve que la precariedad y la falta de inversión y recursos en el sector TIC de la Administración Pública es uno de los principales obstáculos para garantizar una ciberseguridad adecuada.

 A finales de mayo, el Consejo de Ministros aprobó un conjunto de medidas para mejorar la ciberseguridad de la Administración pública. Con el objetivo de aumentar las capacidades de defensa virtual del sector público y las entidades que suministran tecnologías y servicios al mismo, se contempla la implementación de un Plan de Coche de Ciberseguridad, que incluye, entre otras, medidas para la protección frente a códigos maliciosos, la extensión de los servicios para detectar ciberamenazas en equipos de usuario, la implantación de la vigilancia de accesos remotos, el refuerzo de las capacidades de búsqueda de amenazas o la ampliación de las capacidades de ciberinteligencia.

Además, se prevé también la implementación del Centro de Operación de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos para reforzar las capacidades de vigilancia, prevención y protección; y la aprobación de un nuevo Real Decreto sobre el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que sustituya al actual, del año 2010, con el objetivo de adaptarlo a las transformaciones sufridas en este sector en los últimos años, lo que, desde el Ministerio se considera «un instrumento esencial» para que la Administración sea «robusta y confiable».

Es evidente que, tras el nuevo ataque al Ministerio, parece que, en esta ocasión, no se ha llegado a tiempo. No obstante, ha de ser esta la línea a seguir, la de reforzar los modelos de seguridad, incidiendo en su faceta preventiva. Es imprescindible dotar a las administraciones competentes de medios adecuados y suficientes, tanto humanos como materiales, para garantizar una adecuada implementación de las nuevas tecnologías y aprovechar la potencialidad que las mismas ponen al alcance de la actuación administrativa. Para ello, sin duda, resulta esencial, por un lado, realizar las inversiones adecuadas y, por otro, ofrecer al personal adscrito a cada entidad una formación suficiente que le permita adaptar los conocimientos jurídicos y del procedimiento administrativo a las TICs y a sus riesgos, así como, en el caso de la Seguridad Social, seguir incorporando en las Entidades Gestoras y Servicios Comunes a profesionales especialistas en análisis y tratamiento de datos y a especialistas informáticos.

Y, además, la realidad actual debería hacernos reflexionar sobre cómo enfocar el futuro. Son muchas las voces especializadas que vienen avisando de que los ataques informáticos no serán episodios aislados, sino que probablemente serán -son ya- una realidad con la que tengamos que aprender a convivir. Se estima que en 2020 los ataques con ransomware afectaron a una víctima en todo el mundo cada 10 segundos. Y en España en el segundo semestre del pasado año, los ataques de este tipo contra empresas aumentaron un 160%, según la compañía Datos101, especializada en servicios de ciberseguridad. Una situación esta en la que, sin duda, ha tenido incidencia la crisis del Covid-19, que parece haber allanado el camino a la ciberdelincuencia, cada vez más profesionalizada y con una mayor inversión de recursos.

Y de esta realidad no se libra el sector público. Por ello, el personal debería “prepararse” para estos escenarios -con los que se está encontrando de bruces- en los que, durante un tiempo, más o menos prolongado, sea necesario volver a formas de trabajar tradicionales, a la antigua usanza, en tanto se resuelven los problemas informáticos. Además, por supuesto, de la imprescindible inversión en ciberseguridad, resulta fundamental también tener la capacidad de disponer de ese “plan B” que permita continuar prestando el servicio en tanto se restablece la normalidad. Y es que, si algo están poniendo de relieve las situaciones derivadas de estos ciberataques es que lo nuevo no tiene por qué suponer eliminar de raíz de lo anterior, no debe levantar acta de defunción de “lo viejo”, a lo que .

Si algo queda claro, en cualquier caso, es que la implantación sin más de nuevas tecnologías en el procedimiento administrativo no basta por sí sola.