La Autoridad Portuaria de València (APV) se ha visto obligada a adjudicar por un procedimiento de emergencia el contrato para la prestación de los servicios de ciberseguridad en las «instalaciones críticas a proteger en cumplimiento de la ley 8/2011, de 28 de abril» , entre las que se encuentran los puertos de Sagunt y València.
La necesidad de impulsar este procedimiento es que la anterior concesión ha caducado, mientras todavía se tramita la nueva adjudicación, justo cuando el Ministerio del Interior ha incrementado el nivel de alerta frente a un posible ciberataque a los organismos públicos e infraestructuras críticas de los estados miembros de la Unión Europea. La oficina de coordinación cibernética, dependiente de la cartera de Fernando Grande-Marlaska, fue la que justificó esta necesidad de reforzar la seguridad digital como respuesta a «la actual coyuntura sociopolítica motivada por la invasión rusa a Ucrania».
Desde mucho antes de esta amenaza, la APV apuesta por la digitalización de todos sus procesos, que cada vez son más eficientes pero también exigen unas garantías de ciberseguridad, según apuntan fuentes de la entidad. «Los servicios -se añade en el último acuerdo de adjudicación firmado por el presidente del organismo portuario, Aurelio Martínez- están expuestos a posibles incidentes que pueden poner en peligro la continuidad de los procesos y del negocio».
Así y como el puerto de Sagunt forma parte del catálogo de infraestructuras críticas, el organismo portuario debe tomar las medidas para «evitar que una indisponibilidad de los servicios digitales pueda causar un grave perjuicio a la sociedad. Por ello, la APV cuenta con un servicio de 24 horas al día y siete días a la semana capaz de detectar los posibles incidentes de ciberseguridad y reaccionar ante ellos con el objetivo de garantizar la operativa de los servicios IT (aplicaciones, redes y comunicaciones) y OT (automatización y sensorización) que dan soporte a los procesos de importación y exportación».
Esta eficacia quedó demostrada hace poco más de un año, cuando los servicios de ciberseguridad bloquearon a tiempo los efectos de un ciberincidente detectado en los ordenadores de cuatro empleados. Aunque desde la APV se aclaró posteriormente que fue una falsa alarma en el portátil de un trabajador, en un principio se pensó que se trataba de un ataque informático a través de un virus, cuyo origen se trató de averiguar a través del Centro Criptológico Nacional. Ese ciberincidente dejó temporalmente a las oficinas del puerto sin red inalámbrica de acceso a internet.
Inversiones en protección
En un recorrido por el empeño en frenar estas incursiones, la APV ya adjudicó en 2017 por algo más de 487.000 euros el servicio de protección informática por un periodo de tres años y medio. Otra empresa, Acción Informática, fue la encargada en 2020 de suministrar las herramientas de protección frente a amenazas en la ciberseguridad a cambio de algo más de 17.000 euros, mientras que el contrato que está en plena evaluación de la única oferta presentada está dotado con 205.000 euros para dos ejercicios. La última concesión de emergencia formalizada el pasado lunes cuenta con un desembolso de más de 44.000 euros.
