El consejero Aranburu ha comparecido en el Parlamento a petición de UPN, PSN y PPN junto a María José Beaumont y el director general de Informática, Mikel Sagüés.
El consejero de Hacienda y Política Financiera del Gobierno foral, Mikel Aranburu, ha defendido la "celeridad" con la que se actuó para corregir en "tiempo récord" una vulnerabilidad informática en un sistema de información de datos de contribuyentes (credencial DNI+PIN), tras tener conocimiento de la misma por el aviso de un ciudadano.
Así lo ha señalado el consejero en una comisión en el Parlamento foral, solicitada por UPN, PSN y PPN, en la que ha comparecido junto a la consejera de Presidencia, Función Pública, Interior y Justicia, María José Beaumont, y el director general de Informática, Mikel Sagüés.
Aranburu ha remarcado que una vez corregida la vulnerabilidad informática, se realizó un análisis forense para cuantificar el alcance de la misma y saber qué efectos había podido tener, haciendo especial hincapié a los datos personales. Y ha querido dejar claro que se comprobó que "la vulnerabilidad no había sido explotada con anterioridad, por lo que la exposición de datos se circunscribe a la actividad del ciudadano que la encontró y la comunicó al Gobierno".
Además, el consejero Aranburu ha defendido las acciones que se han llevado a cabo durante esta legislatura en materia de protección de datos y seguridad y ha expresado la "clarísima implicación" del Gobierno foral en esta materia.
Por su parte, el director general de Informática, Mikel Sagüés, ha explicado que "vulnerabilidades informáticas existen en todos los sistemas de información, empresas y administraciones públicas" y ha detallado que "la inmensa mayoría de ataques, cientos de miles al año, son contra vulnerabilidades conocidas".
"Nuestra responsabilidad es corregir las vulnerabilidades que son públicas", ha relatado, para señalar que, en este caso, aunque la vulnerabilidad no era conocida y fue una persona la que la detectó y contactó con el Gobierno foral, la "responsabilidad" es de él como responsable de la Dirección General de Informática.
No obstante, ha subrayado que el sistema "lleva así 15 años y ninguno de los informáticos se había dado cuenta de que esto podía hacerse" y ha destacado que "seis horas después de la llamada del contribuyente el problema estaba corregido". Por ello, ha defendido que "la actuación reactiva del Gobierno a la hora de corregir esta vulnerabilidad sólo puede calificarse de muy buena, porque es un tiempo muy rápido para corregir esta vulnerabilidad".
Ha detallado, además, que una vez corregida la vulnerabilidad el siguiente paso fue "analizar si ha habido o no una exposición de datos, un análisis que lleva varias semanas llevarlo a cabo y cuya conclusión es que no ha sido explotada antes". "Nadie se había dado cuenta de esto. Antes de que el ciudadano que detecta esta vulnerabilidad nos lo comunique nunca había habido una exposición de datos de contribuyentes de Hacienda", ha asegurado.
En este sentido, ha precisado que "la exposición que había habido se circunscribe a la actividad del ciudadano, que hizo varias pruebas y consiguió romper el sistema y credenciales de contribuyentes de Hacienda, lo cual es grave, pero que está circunscrito a la persona que detecta la vulnerabilidad".
Según ha indicado, el siguiente paso fue notificar lo sucedido a los ciudadanos afectados y al Centro Criptológico Nacional, "la autoridad a nivel estatal a la cual por normativa y por ley hay que comunicar los incidentes de seguridad". Y ha asegurado que en "ningún caso" se podía poner este hecho en conocimiento de la ciudadanía "sin corregirlo y sin detectar si había habido una explotación de esos datos".
Sagüés ha concluido su intervención destacando que el Gobierno de Navarra "históricamente" es una administración que "se ha preocupado mucho por la seguridad de la información", algo que es "justo reconocer" como, en su opinión, "también es justo reconocer que este Gobierno en particular hereda esa determinación y la estamos potenciando muchísimo en esta legislatura".
UNA BRECHA DE SEGURIDAD "GRAVE"
En el turno de los grupos parlamentarios, el parlamentario de UPN Juan Luis Sánchez de Muniáin ha considerado que se ha tratado de "la brecha de seguridad más grave e importante que conocemos" y ha criticado que el Gobierno foral no lo hiciera público y no informara sobre este tema, que "es tanto como querer ocultar". Ha cuestionado, además, que el Ejecutivo "ha sido incapaz de detectar este fallo por sí mismo".
En este mismo sentido, Javier García, del PPN, ha opinado que "ha habido falta de asunción de responsabilidades" por parte de Aranburu y Beaumont tras lo sucedido y ha preguntado a los consejeros "qué hubiera pasado si esta persona no se hubiera dado cuenta del fallo" y "por qué no se informó a la ciudadanía una vez solucionado el problema" ante "unos sucesos de extrema gravedad".
También el socialista Guzmán Garmendia ha considerado que se ha tratado de un "error grave e importante" y ha advertido de que no está corregido" por la "propia vulnerabilidad" que supone el sistema DNI+PIN, que "no cumple las mínimas exigencias de la normativa europea". En su opinión, es "una pena que en Navarra haya tanto conocimiento teórico de la tecnología, pero no conocimiento práctico".
Por parte de Geroa Bai, Jokin Castiella ha manifestado que no quiere ser "frívolo" y dar la sensación de que no le preocupa un problema que "ha podido ser grave", pero ha defendido que la vulnerabilidad informática detectada "se ha solucionado con la suficiente solvencia y se han dado las explicaciones pertinentes". Ha negado, además, que haya habido "una exposición pública" de los datos.
En representación de EH Bildu, Adolfo Araiz ha señalado que "evidentemente fue un fallo, que se ha calificado de grave, una gravedad que reconoce el propio Gobierno" y ha dirigido una serie de preguntas a los comparecientes, entre otras, si "era posible detectar esta vulnerabilidad" y si "nos hubiéramos enterado" del fallo si el ciudadano no lo hubiese comunicado.
Desde el grupo parlamentario de Podemos, Rubén Velasco ha afirmado que son conscientes de que las vulnerabilidades existen y ha considerado que se trata de un tema en el que también hay que realizar "un esfuerzo presupuestario". "Lo importante es que no se vuelva a repetir", ha planteado.
Finalmente, Marisa de Simón, de Izquierda-Ezkerra, ha felicitado a la Dirección General de Informática por el trabajo que han realizado y lo "rápido" que han actuado contra la vulnerabilidad detectada, "un fallo grave del sistema informático", frente al que "se ha actuado correctamente".
