Cuando el grupo hacker 'La Nueve', vinculado al movimiento Anonymous, atacó los servidores del Sindicato Unificado de la Policía (SUP) en 2017, no sólo quedaron expuestos datos de más de 17.700 asistentes a cursos organizados por el SUP, incluidos afiliados. También provocó que la Agencia Española de Protección de Datos (AEPD) iniciase actuaciones de investigación y sanción que han terminado archivadas, no sólo porque el informático contratado por el SUP denunció enseguida los hechos —tal y como exige la ley— sino porque la agencia entiende que se "encuentra en una delicada situación económica al quedarse en el paro con mujer e hijos a su cargo".

Hace año y medio, el grupo 'La Nueve' se jactaba de haber accedido a bases de datos con información sobre miles de agentes de policía adscritos a los cursos —la intrusión había sido constante desde 2013—, y fue capaz de modificar el sitio web del sindicato policial para incrustar durante unas horas un curso formativo titulado "El uso proporcionado de la fuerza para mentes cortas".

El SUP enseguida clausuró el sitio web y condenó el ataque, que consistía en un acceso a un servidor que había sido propiedad de una empresa de cursos por Internet disuelta en 2016, Neocom Technology & Services, contratada por SUP desde 2010 para ofrecer cursos de formación a sus afiliados y terceros a través del dominio aula.supformación.es.

Esa empresa desapareció, pero la plataforma 'online' de cursos siguió siendo administrada por el dueño de la misma, que desde entonces funcionaba como autónomo: un informático que, además, era el responsable del tratamiento de la base de datos, según el contrato firmado con el SUP.

Este administrador denunció el ataque en una comisaría el 11 de octubre de 2017, es decir, dos días después de hacerse público el 'hackeo'. La denuncia, que alertaba de una "incidencia por violación de la seguridad de los datos de carácter personal", se puso en conocimiento de la Dirección General de la Policía y "como consecuencia de los hechos el contrato que ligaba a A.A.A. con el SUP fue rescindido con fecha 01/12/2017". El informático autónomo, a raíz de este ciberataque, se quedó a partir de ese momento en el paro.

La investigación de la AEPD

La AEPD reaccionó, según la resolución, tras ver la noticia en El Confidencial, un texto firmado por la periodista Mercè Molist en el que se detallaba la actuación del grupo hacktivista. Así, el 10 de octubre de 2017 se inició una investigación en la Agencia por una presunta infracción del artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD) vigente entonces, tipificada como grave en el artículo 44.3.h) de dicha norma, "pudiendo ser sancionada con multa de 40.001 a 300.000 euros".

Según la investigación llevada a cabo por la agencia, se utilizó para el ataque "una cuenta de administrador de la plataforma de cursos" y, con ella, se pudo acceder "a datos personales de los alumnos sindicados, ya que aunque los datos no son almacenados en el servidor que soporta la plataforma son susceptibles de acceder a ellos a través de la cuenta de administrador". "El número de posibles registros accedidos es de 16.676", afirma la AEPD en su resolución.

"Además", prosigue la agencia, "se ha podido acceder a datos de unos 1.500 alumnos no afiliados: nombre y apellidos, DNI, dirección, teléfono, dirección de correo electrónico, nombre de usuario y contraseña encriptada".

El informático responsable del tratamiento de los datos de los cursos del SUP reconoció su responsabilidad mediante escrito durante el procedimiento, aunque también alegó una serie de circunstancias "que estimaba de importancia a la hora de ser tenidos en cuenta con la finalidad de que se archivara el procedimiento, o subsidiariamente, que se modificara la sanción en principio acordada": se encontraba en paro, acosado por las deudas y con una familia a su cargo.

¿Por qué se ha archivado?

Para archivar el procedimiento y evitarle una multa que la ley establecía en un rango entre 40.001 y 300.000 euros, la AEPD consideró que el administrador tomó las medidas adecuadas, como fueron cerrar inmediatamente el sitio aula.supformacion.es cuando fue consciente de la intrusión y tras comprobar que "no hubo intrusión ni afectación en servicios, web, campus virtual, bases de datos, etc".

Además, el responsable denunció el hecho incluso antes de las 72 horas que marca el Reglamento General de Protección de Datos, "aún con anterioridad a ser plenamente aplicable". El informático, que también notificó los hechos inmediatamente al SUP, "en ningún momento pretendió ocultar los hechos" en su beneficio.

Y por último, sostiene la AEPD que como consecuencia "del cierre y disolución de la empresa" que proporcionaba los cursos 'online' al SUP hasta 2016, el administrador sufría una "situación económica grave al contar con créditos pendientes de pago y numerosas deudas con la Administración Tributaria, a lo que habría que sumar las cargas familiares que ha de soportar (esposa e hijos) y cuyas necesidades ha de atender mínimamente".

Por tanto, el procedimiento quedó archivado a finales del pasado mes de noviembre y el informático se ha librado, pues, de una multa de más de 40.000 euros.