A pesar de las repetidas alertas y de las significativas inversiones en ciberseguridad, los sistemas de información de la CNSS se revelan una vez más deficientes. Un vistazo a una brecha que tanto inquieta como plantea interrogantes. Un martes negro para la ciberseguridad en Marruecos. Apenas unas horas después del ataque al ministerio, el grupo JabaRoot DZ reivindicó una intrusión significativa en los sistemas de la Caja Nacional de Seguridad Social (CNSS). Los hackers accedieron a certificados y declaraciones de salarios de empresas, así como a la lista nominal de empleados. En total, se comprometieron 53,576 archivos PDF que afectan a 500,000 empresas y 2 millones de empleados. Ciberataque inédito en Marruecos: hackers argelinos revelan datos sensibles de la CNSS y del Ministerio de Empleo La CNSS era consciente de la extrema sensibilidad de los datos que albergaba y había sido advertida sobre la debilidad de la seguridad de su sistema de información. En enero de 2020, Yabiladi ya había informado sobre un acceso no seguro a los datos de 3.5 millones de asegurados del sector privado en el sitio de la CNSS, incluyendo el número de DNI, la dirección postal, los números de cuenta bancaria, así como el historial de reembolsos de salud y los recibos de sueldo de cuatro años. Los equipos informáticos de la CNSS corrigieron entonces esta falla, sin consecuencias para los asegurados, gracias a la vigilancia de un denunciante y al trabajo de un medio de comunicación. Se podría pensar que esta experiencia había servido de lección. Los presupuestos asignados a la ciberseguridad fueron aumentados en consecuencia. En 2024, la CNSS lanzó al menos dos licitaciones relacionadas con la ciberseguridad, por un monto total de 4.8 millones de dirhams. Dos licitaciones para una enorme fuga de datos Según nuestras fuentes, la primera licitación (12/2024) fue adjudicada a Dataprotect, una empresa marroquí especializada en soluciones de ciberseguridad, creada en 2008 y presente en varios países de África, Europa y Medio Oriente. Esta licitación se refería a una auditoría de las prácticas de seguridad de los sistemas de información, por un monto de 2.75 millones de dirhams. Dataprotect fue el único postor. La segunda licitación (96/2024) fue ganada por Modcod, una empresa especializada en ciberseguridad creada en 2018 y con sede en Rabat. Este contrato, con un valor de 1.6 millones de dirhams, se refería a una solución de prevención de intrusiones, acompañada de un contrato de mantenimiento anual de 480,000 dirhams. JabaRoot el culpable, pero ¿dónde están los responsables? Es preocupante observar tan pocos postores para licitaciones tan estratégicas en términos de seguridad y tan significativas en términos financieros. Los marroquíes se preguntarán legítimamente sobre la integridad del proceso de selección, especialmente a la luz de las fallas recurrentes y la gravedad de la fuga de datos del martes. Las responsabilidades recaen finalmente en los dirigentes de la CNSS. Aunque el riesgo cero no existe, las alertas sucesivas y los medios financieros y técnicos implementados deberían haber evitado una fuga de datos tan masiva. Se trata aquí de seguridad nacional, de protección de datos y de confianza en nuestras instituciones. Pero eso no es todo, esta fuga de datos también tendrá un impacto en las relaciones humanas y profesionales, con las decisiones de remuneración de las empresas expuestas a la vista de todos.
