El director del Cesicat reitera al Parlament que no van atacar la web d'un sindicat de Mossos

El director del Cesicat reitera al Parlament que no van atacar la web d'un sindicat de Mossos

El director del Cesicat reitera al Parlament que no van atacar la web d'un sindicat de Mossos

ACN Barcelona.-El director del Centre de Seguretat de la Informació a Catalunya (Cesicat), Xavier Gatius, ha reiterat aquest dimecres que l'organisme no va atacar la web del Sindicat de Policies de Catalunya (SPC) ni va difondre les dades dels mossos d'Esquadra afiliats. Com ja va fer fa uns mesos, poc després dels fets, Gatius ha dit al Parlament que el Cesicat va saber que la web seria atacada i va avisar els seus responsables i els van fer recomanacions per resoldre-ho. Tot i això, ha admès que l'organisme no supervisa la seguretat informàtica dels Mossos d'Esquadra.

En una breu compareixença a la Comissió d'Afers Institucionals de la cambra catalana, Gatius no ha entrat en gaires detalls sobre les últimes dues polèmiques del centre, i ha dedicat la major part de la seva intervenció a explicar què fa i com funciona el Cesicat. Això li ha valgut els retrets de bona part de l'oposició, que li ha recriminat l'opacitat, falta de concreció i li ha demanat que torni un altre dia.Gatius ha explicat que el Cesicat protegeix la Generalitat i organismes dependents dels milers d'atacs informàtics externs que reben, però també ajuda a més de 560 ajuntaments, empreses i ciutadans. No obstant, no ha volgut concretar si espien directament el correu corporatiu de treballadors de la Generalitat, com se'ls va acusar fa uns mesos. De fet, segons ell, no investiguen qui comet els atacs, sinó com, quan i de quina manera.L'SPC acusa el Cesicat d'estar darrere del ciberatac contra els servidors del seu web que el 23 octubre 2013 va deixar al descobert dades personals de 421 mossos afiliats al sindicat, que van ser publicats a internet mesos més tard. Així consta en un recurs presentat al jutjat que instrueix el cas per l'empresa que gestiona el web de l'SPC, que exerceixen l'acusació particular, i que reclamen la declaració com a investigats del director de l'organisme, Xavier Gatius, i de dos treballadors, un cap de seguretat, L.C., i el citat tècnic, P.R.E..Tant l'empresa informàtica que portava la web del sindicat com l'SPC sostenen que hi ha indicis d'actuació il·lícita dels responsables del Cesicat en el ciberatac, pel qual està investigat un informàtic de Premià de Mar. Segons ells, "de la mateixa manera respecte a altres accessos que es produeixen en idèntiques dates des d'altres IP (adreces web) a l'estranger, presumiblement han tingut participació persones o responsables de la fundació Cesicat".L'SPC va patir un atac informàtic el 23 d'octubre del 2013, del qual assegura que va tenir notícia per una trucada d'un tècnic del Cesicat, P.R.E., que els va dir que aquest mateix dia "al matí" es va assabentar a través d'"un amic" que uns pirates informàtics estaven a punt d'atacar els servidors informàtics del sindicat. No obstant això, el tècnic no va trucar al secretari general d'aquesta entitat, David José, fins a les set de la tarda, quan l'atac s'havia produït.El sindicat no entén que el treballador del Cesicat no estigui imputat en la causa, no només perquè, aparentment, ocultés la imminència de l'atac, sinó perquè el sindicat va esbrinar que durant el matí del ciberatac -que en realitat van ser tres assalts en dies diferents - "algú des del Cesicat", explica David José, "es va connectar diverses vegades a la mateixa pàgina interna del web corporatiu del sindicat, just abans i just després de cada atac".Un informe de la policia espanyola va detectar nombrosos accessos a la web de l'SPC des d'ordinadors del Cesicat i també de l'estranger. L'informàtic que va declarar com a testimoni hauria dit que l'SPC forma part de la Generalitat i per tant el Cesicat és responsable de la seva seguretat informàtica, cosa que és falsa. A més, el tècnic del Cesicat va trucar a David José després dels atacs perquè li facilités "tota la informació" (els anomenats 'logs', registres d'entrades IP en un servidor) que demanava al sindicat per poder "investigar personalment el ciberatac". Els Mossos van recordar al sindicat que el Cesicat no té competències per fer això, i que és la policia l'encarregada.D'altra banda, l'exconseller d'Interior i d'Empresa i Ocupació Felip Puig va defensar fa uns mesos davant del jutge la legalitat de l'espionatge de correus electrònics enviats per un treballador del Cesicat que suposadament podien ser una amenaça per a la seguretat informàtica de la Generalitat.El cas es va destapar el setembre del 2014 quan un jutge va imputar l'exdirector general de Telecomunicacions i del Cesicat Carles Flamerich i un informàtic del centre, Xavier P., per revelació de secrets per haver suposadament espiat el correu electrònic d'un altre treballador, A.G.O., que havia denunciat prèviament falles de seguretat interna a l'organisme i a l'administració de la Generalitat. Aquest treballador va enviar el 2013 un correu electrònic al conseller Puig, de qui depenia políticament el Cesicat, i al d'Interior, Ramon Espadaler, amb aquestes crítiques per la falta de seguretat interna, i hores després li va respondre Flamerich des dels Estats Units. Això el va fer descobrir que els seus correus estaven intervinguts i va presentar una querella.Després d'una ràpida investigació inicial per part dels Mossos, que van assegurar no haver detectat cap irregularitat, el jutge va arxivar la causa. L'Audiència de Barcelona va ordenar reobrir-la i prendre declaració a l'afectat i a testimonis, com el mateix Puig o Espadaler, que ho van fer per escrit perquè eren consellers i van assegurar que no havien ordenat intervenir els seus correus. El magistrat va tornar a arxivar el cas l'agost del 2015, però el desembre passat l'Audiència va tornar a obligar a reobrir-lo i a prendre declaració a Puig per aclarir algun punt. Aquest cop ho ha fet presencialment, perquè ja no té el privilegi que tenia com a conseller. Al jutjat també van declarar el denunciant i Gatius.Segons fonts jurídiques, Gatius i Puig van explicar, com Flamerich i l'informàtic investigat, que la sospita que A.G.O. podia suposar un risc per a la seguretat interna del sistema informàtic de la Generalitat va fer que s'activés un protocol de seguretat que permetia crear una bústia virtual de correu amb tots els e-mails enviats pel sospitós, sense que ni ell ni el receptor en tinguessin constància. Això, segons els investigats i els testimonis es va fer seguint la legalitat i els protocols prèviament establerts en casos similars.