REVISTA AUDITORÍA PÚBLICA / 86






         1. Implantación de la Administración                   ganización, impidiendo el acceso hasta que se abona
                                                                un rescate.
             electrónica en las entidades locales
             y consecuencias para la ciberseguridad.         ¡  Denegación de servicios (DoS): Se basan en la satu-
                                                                ración de servidores o infraestructuras con un volu-
         El concepto “administración electrónica” proviene de la   men anómalo de solicitudes, con el objetivo de impe-
         Comisión Europea, que en 2003 la definió como “el uso   dir el acceso legítimo de los usuarios.
         de las tecnologías de la información y las comunicacio-
         nes en las  Administraciones Públicas, combinado con   ¡  Ataques basados en la web. Son URL maliciosas o
         cambios organizativos y nuevas amplitudes, con el fin de   scripts maliciosos que se utilizan para dirigir al usua-
         mejorar los servicios públicos y los procesos democráti-  rio al sitio web deseado o descargando contenido
                                                .
         cos y reforzar el apoyo a las políticas públicas”      malicioso.
                                                 1
         Pese a que ya en 2007 la prestación de servicios públi-  ¡  Campañas de phishing y otras formas de ingeniería
         cos a través de medios digitales fue prevista legalmente,   social: Los correos electrónicos fraudulentos siguen
         en la Ley 11/2007, de 22 de junio de Acceso Electrónico   siendo uno de los métodos preferidos de los atacan-
         de los Ciudadanos a los Servicios Públicos, el verdade-  tes para obtener credenciales o inducir a los emplea-
         ro impulso a la administración electrónica en España no   dos públicos a ejecutar acciones que comprometen
         se produjo hasta la aprobación de las leyes 39/2015, del   la seguridad.
         Procedimiento Administrativo Común, y la 40/2015, de
         Régimen Jurídico del Sector Público. Las mismas obli-  La frecuencia con la que las administraciones locales su-
         gan a las Administraciones Públicas a tramitar electró-  fren estos incidentes es muy alta, existiendo numerosos
         nicamente, a garantizar la interoperabilidad y a proteger   ejemplos de todas las categorías señaladas, a pesar de
         la información. Estas leyes se desarrollan mediante el   que en la mayoría de los casos los incidentes no llegan a
         Real  Decreto  203/2021,  que  regula  el  funcionamiento   la opinión pública. Así, es posible recordar episodios de
         del sector público por medios electrónicos, y se comple-  ransomware, como los que paralizaron durante semanas
         mentan con las prescripciones necesarias en cuestión de   al Ayuntamiento de Sevilla en 2023 y al de Calvià (Mallor-
         interoperabilidad y seguridad, recogidas en el Esquema   ca) en 2024, o el pago de un rescate en criptomonedas
         Nacional de Seguridad (ENS) y el Esquema Nacional de   por parte del Ayuntamiento de Cangas de Morrazo (Pon-
         Interoperabilidad (ENI), aprobados por los reales decre-  tevedra) en 2023, que está siendo investigado penalmen-
         tos 311/2022, de 3 de mayo 23, y 4/2010, de 8 de enero,   te como posible delito de malversación. También se han
         respectivamente, y en las correspondientes normas téc-  producido ataques de denegación de servicio (DDoS),
         nicas de desarrollo.                                como el que afectó a la Diputación de Gipuzkoa y a va-
                                                             rios ayuntamientos guipuzcoanos en marzo de 2025, o el
         Esta transformación digital de las entidades locales am-  que dejó inaccesible la web del Ayuntamiento de Toledo
         plía la exposición a riesgos cibernéticos. De acuerdo con   ese mismo mes. En el ámbito de los ataques basados
         Olano Salvador (2024), las ciberamenazas más utilizadas   en la web, son frecuentes los incidentes de defacement
         contra el sector público son:                       y explotación de vulnerabilidades en portales municipa-
                                                             les, que han obligado a suspender temporalmente servi-
         ¡  Software malicioso (malware): Bajo esta categoría   cios electrónicos en distintos ayuntamientos. Finalmen-
            se engloban múltiples tipos de programas diseñados   te, los intentos de phishing e ingeniería social son una
            con fines ilícitos, entre los que destacan los virus,   constante en la operativa diaria: varios consistorios han
            gusanos, troyanos, adware y spyware. Su finalidad   reconocido campañas de correos fraudulentos dirigidas
            puede ir desde la filtración de datos hasta la altera-  contra su personal, con el objetivo de obtener credencia-
            ción del  funcionamiento de los sistemas, pasando   les de acceso o inducir transferencias indebidas, lo que
            por la instalación de puertas traseras para un acceso   demuestra que en los entornos locales estas técnicas
            persistente.                                     constituyen una amenaza persistente. Algunos de estos
                                                             incidentes tienen como consecuencia el menoscabo de
         ¡  Ransomware: Representa una modalidad específica   fondos públicos de importes muy elevados, como ocurrió
            de malware que cifra los archivos y sistemas de la or-  con el desvío de nóminas de los Ayuntamientos de Ro-







         1   Comunicación de la Comisión al Consejo, al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones, «El papel de la Administración
         electrónica en el futuro de Europa» (SEC [2003] 1038).


          102