Elche levanta una “red blanca” tras el ciberataque: 52 equipos infectados, 1.500 desconectados

El Ayuntamiento de Elche sufrió el lunes 25 de agosto un ataque de ransomware que dejó inoperativos sus sistemas, con nota de rescate millonaria bajo investigación. Dos semanas después, el consistorio reactiva servicios sobre una “red blanca” y abre una comisión de investigación interna, mientras Policía Nacional y Europol siguen la pista del incidente

El ataque, calificado por el alcalde Pablo Ruz como “el más grave” sufrido por el consistorio, obligó a suspender plazos administrativos y a firmar nóminas y pagos de forma manual para garantizar servicios básicos. La nota de rescate se analiza en sede policial; el consistorio denuncia y activa un comité de crisis con asistencia del CCN y del CSIRT-CV. 

En la contención, el ayuntamiento apagó alrededor de 1.500–1.600 dispositivos para frenar la propagación y 52 ordenadores resultaron efectivamente infectados, según datos internos conocidos tras los primeros días. El objetivo del ataque incluyó la “nube” municipal y el sistema TAO de gestión; la copia de seguridad quedó dañada y los trabajos se centran en recuperar datos del almacenamiento original. Paralelamente, se implantó una “red blanca” (una nueva red limpia y aislada, creada para trabajar de forma segura sin riesgo de reinfección) y se inició formación al personal. 

Recuperación del servicio y atención ciudadana

Tras la caída inicial de la sede electrónica y de la cita previa en las OMAC, el consistorio empieza a normalizar la atención: ya se tramita cita previa en la OMAC Centro y se irá extendiendo al resto. En la última semana, las oficinas acumularon 5.927 trámites, con 2.185 certificados de empadronamiento, mientras la administración electrónica se reactiva de forma progresiva apoyada en copias recuperadas. 

En paralelo, el gobierno local ha aprobado una comisión de investigación interna para esclarecer origen, alcance y consecuencias del ataque y proponer mejoras. Este movimiento llega con un antecedente: la Sindicatura de Comptes había advertido meses atrás que los controles básicos de ciberseguridad del Ayuntamiento eran insuficientes y recomendó reforzar recursos para cumplir el Esquema Nacional de Seguridad. No hay confirmación de exfiltración de datos a fecha de hoy. 

El caso se enmarca en un repunte de ataques a administraciones: en España se registra de media un incidente muy grave cada tres días, según cifras divulgadas en radios locales, y agosto concentró actividad de ransomware y campañas disruptivas. El episodio de Elche no es aislado y reabre el debate sobre presupuestos, personal especializado y cultura de seguridad en el nivel municipal.

Radiografía del gasto público en ciberseguridad

Para entender dónde encaja el caso de Elche, basta mirar el termómetro del gasto público en ciberseguridad. Según el último barómetro de TendersTool (antes Adjudicaciones TIC), las administraciones españolas invirtieron unos 300 millones de euros en 2023 (1.016 adjudicaciones) y alrededor de 285 millones en 2024, con mayor peso de la Administración General del Estado y el resto repartido entre autonomías y ayuntamientos. En ese paquete entran proyectos como el Centro de Operaciones de Ciberseguridad para entidades locales, además de servicios de vigilancia, respuesta y protección que explican la recuperación rápida de trámites cuando un consistorio sufre un ataque.

¿Quién mueve ese mercado? Entre los grandes licitadores aparecen Defensa, INCIBE y la Agencia Digital de Andalucía; y entre los proveedores sobresalen Indra, la UTE Inetum–Solutia, S21sec y S2 Grupo, con contratos que van desde servicios de SOC hasta proyectos de hardening y respuesta a incidentes. En el panorama más amplio de tecnología pública (no solo ciberseguridad), el último ranking anual de TendersTool mantiene a Indra en cabeza por adjudicaciones, con NTT Data e Inetum muy cerca, una foto útil para entender quiénes tienen músculo cuando se activan planes de contingencia y refuerzos postincidente.