La filtración de Miljödata revela deficiencias en la gestión de la seguridad y los requisitos de adquisición.

Amplia filtración de datos contra el sector público

El responsable de la filtración, el grupo de hackers Datacarry, exigió un rescate y, al no recibir el pago, publicó el material robado en la Darknet. El incidente provocó que cientos de organizaciones denunciaran filtraciones de datos personales a la Autoridad Sueca de Protección de Datos (IMY) y suscitó serias preocupaciones sobre la protección de la información confidencial en el sector público.

¿La gestión de riesgos no es opcional?

Este incidente pone de manifiesto las deficiencias en la gestión de riesgos y la seguridad de la información de Miljödata. El hecho de que un proveedor relativamente pequeño maneje datos personales tan extensos y sensibles (incluso se incluyeron en la filtración datos sobre identidades protegidas) sin poder evitar una violación masiva de datos indica que el trabajo sistemático en materia de seguridad ha sido inexistente o insuficiente. Un sistema de gestión de la seguridad de la información (SGSI) conforme a la norma ISO 27001 podría haber proporcionado una estructura para identificar y gestionar los riesgos de forma continua. La Agencia Sueca de Contingencias Civiles (MSB) describe el SGSI como «los procesos de la organización para gobernar y gestionar el trabajo de seguridad de la información» que deben evaluarse de forma continua y adaptarse a los riesgos actuales, con un claro apoyo por parte de la dirección. La serie internacional de normas ISO 27000 (incluida la ISO/IEC 27001) ofrece precisamente ese marco, en el que el nivel de seguridad se basa en análisis de riesgos y el trabajo sigue un proceso claro. Si Miljödata hubiera contado con un sistema de gestión de la seguridad maduro, con auditorías de seguridad periódicas, procedimientos actualizados y personal formado, quizá se podrían haber detectado y subsanado a tiempo las vulnerabilidades. Aunque la certificación ISO 27001 no garantiza que no se produzcan incidentes, indica que la organización trabaja sistemáticamente con la seguridad de la información y se compromete a mejorar continuamente.

El hecho de que los atacantes lograran extraer una cantidad tan grande de datos indica deficiencias en las medidas de protección básicas, como las actualizaciones de seguridad, la segmentación de la red o la supervisión. La gestión de riesgos parece haber sido inadecuada: o bien no se identificaron los riesgos (como una vulnerabilidad explotable), o bien las medidas adoptadas fueron insuficientes para detener la intrusión. Esto plantea la cuestión de si la dirección de Miljödata realmente dio prioridad al trabajo de seguridad. Un SGSI conforme a la norma ISO 27001 requiere la participación activa de la dirección y la integración de la seguridad en la gobernanza de la empresa. Cuando falta dicha participación, las iniciativas de seguridad suelen descuidarse, lo que da lugar a sistemas obsoletos y una preparación inadecuada. Las actualizaciones públicas de Miljödata tras la violación describen las medidas técnicas que se tomaron a posteriori (corregir vulnerabilidades, restablecer cuentas, reforzar las restricciones de red, etc.), pero estas medidas reactivas no pudieron impedir que los datos fueran realmente robados y difundidos. Lo que se necesitaba, incluso antes del ataque, era un trabajo preventivo mediante un sistema de gestión de la seguridad sistemático.

Una pregunta lógica es: ¿Cómo pudieron tantas organizaciones del sector público contratar a un proveedor sin asegurarse de que cumplía con los requisitos de alta seguridad? Las autoridades públicas y los municipios son legalmente responsables de los datos personales que manejan, incluso cuando subcontratan operaciones a un proveedor externo. Según el RGPD, un responsable del tratamiento «solo podrá contratar a encargados del tratamiento que ofrezcan garantías suficientes» de que se cumplen los requisitos de la normativa de protección de datos, incluidas las medidas de seguridad. En el caso de Miljödata, esto significa que todos los municipios, regiones o autoridades que utilizan Adato deberían haberse asegurado de que el proveedor contaba con medidas y procesos de seguridad sólidos. Esto plantea una posible cuestión de responsabilidad: ¿han evaluado y exigido realmente los clientes del sector público requisitos de seguridad suficientes a Miljödata durante la contratación y a lo largo del periodo contractual? Si no es así, están incumpliendo su obligación legal de diligencia con respecto a los datos personales de los ciudadanos.

Una de las razones puede ser que las autoridades contratantes se han centrado tradicionalmente más en la funcionalidad y el precio que en la seguridad. Sin embargo, la Ley de Contratación Pública (LOU) ofrece la oportunidad de establecer requisitos de seguridad pertinentes. La autoridad contratante aclara que es permisible exigir, por ejemplo, un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001 (o equivalente), siempre que el requisito sea proporcionado y esté relacionado con lo que se está contratando. En un negocio en el que el proveedor maneja datos confidenciales de los clientes, como los servicios en la nube o los sistemas de recursos humanos, tal requisito parece ser tanto apropiado como proporcionado. Las organizaciones contratantes pueden especificar en sus especificaciones técnicas que el servicio debe desarrollarse y operarse de conformidad con la norma ISO 27001 o una norma equivalente, y solicitar pruebas (certificación o auditoría) de que así es. A pesar de ello, pocas contrataciones públicas de TI parecen establecer requisitos explícitos para los sistemas de gestión de la seguridad certificados. Quizás se han conformado con formulaciones generales en las que se establece que el proveedor debe tener una «seguridad informática adecuada» o cumplir con leyes como el RGPD, requisitos que son difíciles de verificar y medir si no están vinculados a normas establecidas.

A la luz de la filtración de Miljödata, está claro que las organizaciones del sector público deben elevar el listón. La madurez de la seguridad del proveedor debe examinarse ya en la fase de adquisición. Existen herramientas y marcos disponibles: por ejemplo, la Asociación Sueca de Autoridades Locales y Regiones (SKR) ha desarrollado el modelo KLASSA, en el que los requisitos de seguridad de la información se basan en las normas SS-ISO/IEC 27001/27002. Varios municipios utilizan KLASSA para clasificar los datos y derivar las medidas de protección adecuadas, lo que proporciona una lista de requisitos para los proveedores de TI. Los requisitos de seguridad deben incluirse desde el principio en la especificación de requisitos cuando se adquieren nuevos sistemas, y no como una idea de último momento.

El análisis del ataque muestra que los requisitos para los proveedores deben ser mucho más estrictos. Las declaraciones generales sobre seguridad no son suficientes: deben establecerse requisitos claros para el cumplimiento de normas como la ISO 27001 y el RGPD, complementados con protecciones técnicas concretas como el cifrado, un control de acceso sólido y un registro trazable.

Pero eso no es todo. Un proceso de adquisición serio también debe tener en cuenta el historial del proveedor, los procedimientos en caso de incidentes y su capacidad de recuperación rápida. Además, los contratos deben regular explícitamente la responsabilidad, los tiempos de respuesta y la indemnización en caso de fugas de datos o interrupciones operativas. Esto proporciona tanto al comprador como al proveedor un marco claro para la protección y la responsabilidad que se aplica realmente cuando ocurre lo peor.

Ejemplos de requisitos de seguridad importantes que los clientes del sector público deben imponer a los proveedores de servicios informáticos críticos:

• Sistema de gestión de la seguridad de la información: según la norma ISO/IEC 27001 (o una norma equivalente), el proveedor debe demostrar que trabaja de forma sistemática con la gestión de riesgos, las políticas, las auditorías y las mejoras continuas.
  
  
• Cifrado y gestión del acceso: todos los datos sensibles deben cifrarse tanto en reposo como en tránsito. Se debe implementar una autenticación sólida (por ejemplo, autenticación multifactorial) y un control de acceso estricto para los usuarios del sistema.
  
  
• Supervisión y pruebas: El sistema debe contar con un registro completo para la trazabilidad y la detección de actividades no autorizadas. El proveedor debe realizar pruebas de penetración y análisis de vulnerabilidades periódicos para identificar de forma proactiva las brechas de seguridad.
  
  
• Gestión de incidentes y continuidad: El proveedor debe disponer de procedimientos documentados para la respuesta a incidentes, copias de seguridad periódicas y un plan de recuperación ante desastres. Deben existir acuerdos SLA sobre el tiempo de actividad y los tiempos de respuesta en caso de incidentes, así como requisitos para la notificación inmediata de incidentes de seguridad al cliente.
  
  
• Cumplimiento de la legislación: El servicio y el proveedor deben cumplir los requisitos legales aplicables (por ejemplo, el RGPD o la NIS2, cuando proceda). Los datos personales deben almacenarse en zonas geográficas autorizadas (por ejemplo, dentro de la UE) y el proveedor debe poder proporcionar documentación para su supervisión y auditoría.

Al especificar y evaluar dichos requisitos en la fase de contratación, los compradores públicos pueden descartar a los operadores que no se toman en serio la seguridad. Si se hubiera hecho así con Miljödata, se podría haber emitido un ultimátum para mejorar/certificar el trabajo de seguridad, o se podría haber elegido otra solución. Lamentablemente, es habitual que los requisitos de seguridad pierdan prioridad en la contratación pública, a veces por ignorancia, a veces por miedo a limitar la competencia en las licitaciones. Pero ignorar el aspecto de la seguridad puede, como vemos, resultar devastadoramente caro a largo plazo, tanto desde el punto de vista financiero como en términos de confianza pública.

Los responsables públicos deben empezar a asumir la responsabilidad de la seguridad

Es fácil señalar con el dedo a un proveedor concreto que ha sido hackeado, pero la responsabilidad es compartida. Los responsables públicos, desde los gestores de compras hasta los estrategas municipales de TI y la alta dirección, deben considerar la seguridad de la información como una cuestión estratégica y una responsabilidad compartida. En muchos municipios, la seguridad de las TI es algo de lo que «se encarga el departamento de TI». Pero cuando los datos personales de todo un municipio están en manos de un socio externo, se requiere una participación activa por parte del cliente.

Esto implica, entre otras cosas:

• Dar prioridad a la seguridad a nivel directivo: La dirección del sector público debe solicitar informes de riesgos e informes de estado de la seguridad de los sistemas críticos, y no solo informes de costes y eficiencia. Los incidentes de seguridad deben tratarse como riesgos operativos graves, no solo como problemas técnicos.
  
  
• Mejorar la competencia de la organización: Los responsables de la toma de decisiones deben asegurarse de que se dispone de la competencia suficiente para establecer los requisitos adecuados e interpretar los informes de seguridad. Si se carece de conocimientos internos, se debe consultar a expertos (por ejemplo, durante la contratación o las auditorías) para garantizar que no se pasen por alto detalles importantes.
  
  
• Seguimiento y revisión: Establecer requisitos en el contrato es solo el principio. Los clientes del sector público también deben realizar un seguimiento continuo para garantizar que el proveedor cumple los requisitos, mediante auditorías, revisiones y diálogo. En el caso de Miljödata, unas revisiones de seguridad independientes periódicas podrían haber identificado las deficiencias antes de que las cosas llegaran tan lejos.

Los responsables de la toma de decisiones en el sector público también tienen un papel que desempeñar en la creación de incentivos y el cambio cultural. Si los proveedores saben que la seguridad es un requisito previo para obtener contratos públicos, invertirán más en medidas preventivas, como certificaciones, mejores controles internos y formación del personal. El sector público tiene un poder adquisitivo considerable, por lo que indicar claramente que en la contratación pública se aplica el principio de «la seguridad es lo primero» puede impulsar un desarrollo positivo en todo el sector. Como efecto secundario, esto también protege los datos de los contribuyentes y mantiene la confianza en los servicios digitales.

Conclusión: es hora de establecer requisitos más estrictos y aprender de lo ocurrido

La filtración de datos de Miljödata debería servir como llamada de atención. Los proveedores que manejan información confidencial no pueden descuidar la gestión de riesgos, y los clientes del sector público deben mejorar a la hora de exigir y verificar esta gestión de riesgos. La norma ISO 27001 no es una varita mágica, pero proporciona una base establecida para la seguridad de la información que los actores serios deben cumplir. Cuando se filtran más de un millón de datos personales como resultado de la falta de seguridad de un solo proveedor, queda claro que el statu quo no funciona.

En el debate que sigue a continuación, hay varios puntos fundamentales: en primer lugar, los sistemas de gestión de la seguridad certificados deben convertirse en la norma para los proveedores de TI del sector público, posiblemente mediante acuerdos industriales o criterios de contratación más estrictos. En segundo lugar, las organizaciones del sector público deben darse cuenta de que la responsabilidad de la seguridad de la información no puede delegarse; adquirir un servicio en la nube no significa adquirir inmunidad frente a los riesgos cibernéticos. En tercer lugar, necesitamos una cultura en la que se compartan la transparencia y las lecciones aprendidas de los incidentes, de modo que todos los municipios y autoridades puedan beneficiarse de las duras lecciones aprendidas de incidentes como el ataque a Miljödata.

Por último, es una cuestión de confianza pública. El sector público gestiona los datos de los residentes, lo que conlleva la obligación de proteger esa información con el máximo cuidado. Las medidas de seguridad inadecuadas no solo ponen en peligro la privacidad de las personas, sino también la confianza en los servicios de bienestar digital. Que el caso Miljödata sea un catalizador para el cambio: reforzar la gestión de riesgos, establecer requisitos de seguridad estrictos y asumir la responsabilidad a todos los niveles, antes de que la próxima fuga de datos importante salga en los titulares.

Fuentes:

Este análisis se basa en informes sobre el ciberataque contra Miljödata en agosto-septiembre de 2025 y en las directrices de las autoridades. La Agencia Nacional de Contratación Pública de Suecia, MSB e IMY. Estas fuentes subrayan el alcance del incidente y la importancia del trabajo sistemático en materia de seguridad de la información, y destacan las oportunidades y obligaciones que existen para establecer requisitos de seguridad en la contratación pública.