A comienzos de esta semana se ha cumplido un año del ciberataque sufrido por la Ciudad Autónoma en la madrugada del 23 de junio de 2025. Un incidente que supuso uno de los mayores desafíos tecnológicos y organizativos recientes para la Administración local.
El ataque provocó un apagón informático casi total, afectando a la práctica totalidad de los sistemas informáticos, servidores y herramientas de gestión interna y obligando a paralizar numerosos procedimientos administrativos durante varias semanas.
La incidencia no sólo tuvo un impacto técnico, sino también organizativo y operativo, ya que buena parte del trabajo diario de la Administración dependía de los sistemas afectados. Durante los primeros días tras el ataque, la Ciudad se vio obligada a activar protocolos de emergencia para garantizar los servicios esenciales, mientras equipos técnicos locales trabajaban junto a organismos especializados, entre ellos el Centro Nacional de Inteligencia (CNI), para contener el alcance del incidente y comenzar la recuperación.
El impacto inicial fue inmediato. Prácticamente todos los puestos de trabajo de la Administración quedaron afectados, lo que dificultó la tramitación ordinaria de expedientes y la prestación de servicios internos. Incluso procesos básicos como la gestión de nóminas de los cerca de 1.200 empleados públicos se vieron comprometidos durante los primeros días. Aunque la situación generó incertidumbre, finalmente los pagos pudieron realizarse, evitando un bloqueo prolongado en la gestión económica.
Durante las primeras semanas, la prioridad fue restablecer los servicios esenciales y recuperar la operatividad mínima de la Administración. La Ciudad, con apoyo técnico externo, trabajó en la restauración progresiva de sistemas críticos mientras se evaluaban los daños. Este proceso permitió ir reactivando servicios de forma escalonada, aunque durante un tiempo la actividad se desarrolló en lo que los responsables calificaron como una fase de “pseudonormalidad”, en la que convivían sistemas recuperados con otros aún en proceso de reconstrucción.
Uno de los primeros avances significativos fue la recuperación de las Oficinas de Atención al Ciudadano (OIAC), lo que permitió restablecer la atención presencial y parte de los trámites básicos.
En paralelo, la Administración logró reanudar los pagos a proveedores aproximadamente dos semanas después del ataque, lo que permitió estabilizar parcialmente la relación con empresas y servicios externos. Sin embargo, otros sistemas más complejos requirieron un proceso de recuperación mucho más prolongado. Entre ellos se encontraban la reconexión de empresas públicas con la Administración, la restauración de sistemas internos de seguridad utilizados por la Policía Local y los Bomberos, la habilitación de accesos remotos seguros para empleados públicos o la recuperación de carpetas de trabajo específicas.
Contraseña
Según la información recopilada posteriormente, el origen del ataque se localizó en una contraseña comprometida que había sido adquirida por los ciberdelincuentes por aproximadamente cinco euros en un mercado ilegal de internet.
Dicha credencial formaba parte de un conjunto de más de 500 usuarios y contraseñas robados que se comercializaban en la denominada “internet profunda”. Este dato fue especialmente relevante para los responsables de seguridad, ya que puso de manifiesto la facilidad con la que credenciales expuestas pueden convertirse en una puerta de entrada a sistemas institucionales complejos.
Las investigaciones internas apuntaron también a una de las vulnerabilidades más habituales en el ámbito de la ciberseguridad: La reutilización de contraseñas entre servicios laborales y plataformas externas. Este comportamiento, relativamente extendido, facilita que una filtración en un servicio no relacionado con la Administración pueda acabar derivando en el acceso no autorizado a sistemas corporativos.
Refuerzo de la seguridad
Estas medidas supusieron un cambio importante en la cultura digital interna de la Administración, pasando de un modelo más flexible a otro más controlado y securizado.
Uno de los avances más relevantes en este proceso fue la recuperación completa de los correos electrónicos corporativos, finalizada recientemente. Este servicio se ha reconstruido incorporando sistemas de autenticación de doble factor y otras capas de seguridad avanzadas, con el objetivo de evitar nuevas intrusiones y reducir el riesgo de accesos no autorizados. Este hito se considera clave dentro del proceso de normalización tecnológica.
El director general de la Sociedad de la Información, Pablo Pascual Martínez, ha explicado en diferentes intervenciones a lo largo de este último año que, aunque la recuperación visible para la ciudadanía fue relativamente rápida, el impacto interno del ciberataque todavía se percibe en la operativa diaria. Según ha señalado, tras el incidente se decidió abandonar ciertas prácticas anteriores para reforzar la seguridad de los sistemas, lo que ha implicado la implantación de mecanismos más complejos en el uso de herramientas como el correo electrónico, la firma digital o el acceso remoto.
Estos cambios, aunque necesarios desde el punto de vista de la protección de datos y la ciberseguridad, han supuesto una ralentización en algunos procesos internos. “Se puede hacer, pero cuesta más esfuerzo”, ha explicado, en referencia a la nueva dinámica de trabajo. Aun así, ha subrayado que el ciudadano no percibe estas dificultades, ya que los servicios externos se han mantenido operativos y en funcionamiento.
Martínez también ha insistido en que el riesgo cero no existe en materia de ciberseguridad. Los sistemas, ha explicado, están en constante evolución, al igual que las técnicas de ataque empleadas por los ciberdelincuentes. Por ello, ha considerado fundamental mantener una actitud permanente de vigilancia y actualización tecnológica. En este sentido, ha advertido de que cualquier empresa, institución o ciudadano puede ser objetivo de un ataque, incluso a través de dispositivos cotidianos conectados a internet.
Durante este último año, la Administración melillense ha reforzado también los sistemas de detección de amenazas y ha puesto especial atención en el factor humano como uno de los puntos más vulnerables. Los errores en la gestión de contraseñas, accesos o configuraciones siguen siendo, según los técnicos, una de las principales puertas de entrada en incidentes de este tipo.
Un año después, la Ciudad Autónoma ha recuperado la totalidad de sus servicios externos y avanza en la consolidación de su infraestructura digital.
Sin embargo, el proceso de reconstrucción no se considera completamente cerrado. La Administración continúa implementando mejoras, revisando protocolos y reforzando sistemas con el objetivo de reducir riesgos futuros y adaptarse a un entorno digital cada vez más complejo y expuesto.
