Los agentes de la Guardia Civil están empezando a recibir correos electrónicos maliciosos. Esto ocurre tras el hackeo que recientemente sufrió la empresa Medios de Prevención Externos Sur SL, que gestiona los controles médicos en la Benemérita, la Policía Nacional y las Fuerzas Armadas.
Según ha podido saber El Independiente, los emails están llegando a las cuentas corporativas de los guardias civiles. Los correos llegan desde una cuenta con terminación en @grupompe.net, cuando la dirección oficial de la empresa es @grupompe.es.
Al final de los mensajes los agentes encuentran un enlace en el que se puede leer «pulse aquí». «Esa cuenta simula ser de la empresa MPE, que es la encargada de los reconocimientos médicos del cuerpo», según comunicaciones internas de la Guardia Civil.
Los coroneles encargados de cada comandancia ya han sido puestos en alerta y están haciendo llegar a sus sobordinados la actual situación de vulnerabilidad a la que se enfrente. «Se debe evitar abrir el correo, no pinchar en el enlace y eliminarlo», son las órdenes dadas.
El hackeo
El pasado 22 de marzo, la empresa Medios de Prevención Externos Sur SL sufrió un ataque informático tipo ramsomware. Este tipo de ataques bloquea el accesp a los archivos del sistema hasta que se pague un rescate. Se suele pedir en criptomonedad, que hacen el rastreo más difícil.
Esta compañía es la que realiza los reconocimientos médicos en la Guardia Civil, la Policía e incluso las Fuerzas Armadas. Entre los datos expuestos están los resultados de esos análisis, los números identificativos de los agentes, números de teléfono o sus fechas de nacimiento, así como los puestos de trabajo.
En una nota de prensa emitida por la propia empresa, se lee que están «trabajando conjuntamente con Telefónica para tratar de revertir, solucionar e investigar los hechos mencionados». Por el momento no se conoce el alcance del ataque, ni los datos a los que han podido acceder, aunque la intromisión enlos correos electrónicos corportativos dan una imagen de ello.
«De acuerdo con lo establecido en el artículo del Reglamento (UE) se informa que los autores podrían haber tenido acceso a los siguientes datos confidenciales del personal de la Guardia Civil y de las Fuerzas Armadas y personal civil con destino en el ámbito de la Dirección General de la Guardia Civil: número de la tarjeta de identificación profesional (TIP); número de teléfono móvil; correo electrónico; fecha de nacimiento; sexo; puesto de trabajo; resultado del reconocimiento médico; certificado de aptitud», se puede leer en la nota de prensa.
Críticas en la Policía
En un primer momento sólo se informó de que la empresa realizaba los controles médicos de guardias civiles y militares, pero también tiene contratos con la Policía Nacional. El sindicato Jupol ha mostrado su preocupación ante el ciberataque al constatar que la compañía también tiene los datos de los agentes de este cuerpo.
El sindicato ha registrado un escrito ante la Dirección General de la Policía para pedir explicaciones sobre el alcance y las consecuencias de la intromisión informática. También ha pedido información sobre las medidas a tomar por parte de la dirección de la Policía.
Jupol, por otro lado, ha mostrado su sorpresa al enterarse del asunto por una carta remitida a los agentes de la Guardia Civil. Según denuncian, no se ha hecho comunicación oficial alguna a los miembros del Cuerpo Nacional de la Policía. «Un extremo que no hace más que aumentar la desinformación y la preocupación por parte de los agentes de la Policía Nacional», señala.
Contratos millonarios
La empresa Medios de Prevención Externos Sur SL no es una novata para el sistema de contratación. Cuenta con contratos con adminsitraciones de distintos niveles, desde dirección generales a ayuntamientos. Sólo con las adjudicaciones para velar por la salud de las Fuerzas y Cuerpos de Seguridad del Estado ha conseguido casi 10 millones de euros en los últimos cinco años
El acuerdo con la Guardia Civil se cerró en «contratar un servicio de prevención ajeno para asumir la especialidad preventiva de medicina del trabajo y la realización de la vigilancia de la salud» de los agentes. El valor del contrato ascendió a 5.320.514 euros.
Por parte de la Policía, las rúbricas se estamparon en julio de 2021. El objeto de la adjudicación era contratar «reconocimientos médicos de empleados públicos de la Dirección General de la Policía, dentro del programa de vigilancia de la salud del Servicio de Prevención de Riesgos Labores». Ahí el monto supuso 4.540.536 euros.