La Fiscalía Provincial de Pontevedra ha decretado la presentación de denuncia ante el juzgado pertinente en relación al supuesto pago de un rescate de casi 200.000 euros por parte del Ayuntamiento de Cangas, tras el ciberataque sufrido en mayo del 2023, que afectó a sus sistemas informáticos, al ver indicios de los delitos de prevaricación, malversación, daños informáticos y coacciones.
La investigación de la Fiscalía se inició en marzo de 2024, tras la presentación de una denuncia por parte del grupo municipal del PP (a la que se sumó posteriormente el partido Alternativa dos Veciños de Cangas, de la exalcaldesa Victoria Portas, que era la regidora cuando se produjo el ciberataque).
Los denunciantes advertían de posibles irregularidades en un contrato con una empresa informática, porque sospechaban que el dinero se destinaba al pago de un ‘rescate’ a los autores del ciberataque, a pesar de que el expediente reflejaba como objeto «servicios de auditoría de descifrado y recuperación de ransonware».
El ciberataque se produjo en mayo de 2023 y la entonces alcaldesa, Victoria Portas, lo denunció ante la Guardia Civil. Semanas después, ya con un nuevo gobierno municipal tras las elecciones, liderado por Araceli Gestido (BNG), se contrató por algo más de 5.000 euros una asistencia técnica a una empresa para hacer un estudio de los sistemas afectados por el ataque. En ese estudio, la empresa no consiguió resolver el problema.
Un mes después, y por el procedimiento de contratación urgente, se volvió a encargar a la misma empresa, por un importe de 197.843 euros, otro contrato para «servicios de auditoria de descifrado y recuperación de ransonware». Tras la firma del contrato, se consiguió el desencriptado en la mayoría de archivos afectados, y la empresa elaboró un informe, «sin fecha ni firma», en el que reconocía que había negociado con los autores del ciberataque y había procedido al pago del rescate en bitcoins, un tipo de criptomoneda.
Tras requerir diversa documentación al Ayuntamiento y a la empresa, y tras tomar declaración a los técnicos de dicha empresa, al responsable informático municipal y al interventor, el Fiscal ha concluido que «hay indicios suficientes» de que los responsables del Ayuntamiento sabían que ese segundo contrato adjudicado a la empresa tenía como finalidad el pago de la cantidad negociada con los autores del ciberataque.
Así, el representante del ministerio público sostiene que, aunque el responsable de la empresa aseguró que la negociación con los delincuentes fue idea suya y no fue comunicada al Ayuntamiento, no sería lógico volver a adjudicarles un contrato, por un importe mucho mayor, después de que en el primer encargo que le hicieron la empresa hubiera fracasado en su intento de solucionar el problema.
Además, la Fiscalía también señala que la factura de más de 197.000 euros fue emitida por la empresa el día antes de que la Alcaldía resolviera la adjudicación, y que el mismo día de la adjudicación (23 de junio de 2023), se procedió al pago de la factura «pese a que el contrato tenía un período de ejecución de 3 meses».
Por otra parte, en la documentación aportada por los denunciantes, aparecen otras dos facturas pagadas por el Ayuntamiento a la empresa informática, por «gestión negociación recuperación de datos» y por «minuta negociación y dirección horas Marcos, encriptado Ayuntamiento Cangas». Ambas facturas aparecen en el listado como anuladas, pero posteriormente aparecen contabilizadas con los mismos importes, aunque en ambas «desaparece la expresión ‘negociación’ del concepto».
A ello se suma el hecho de que, al ver los movimientos de la cuenta donde se hizo el ingreso, se aprecian varias transferencias realizadas con una «inmediatez» que, según el Fiscal, «revela que el precio del rescate ya estaría fijado en esa fecha».
Cuatro posibles delitos
Por todo ello, el Fiscal concluye que estos hechos podrían ser constitutivos de un delito de prevaricación administrativa, porque se adjudicó un contrato público «a sabiendas de que su objeto era el ilegal pago de un rescate a los autores del ataque informático», y de un posible delito de malversación de fondos públicos, al haberse hecho el pago con dinero público.
Además, expone también que «subyace la existencia de un delito de daños informáticos y otro de coacciones».
Por todo esto, el Fiscal ha acordado archivar las diligencias de investigación preprocesal iniciadas en marzo y formular denuncia ante el juzgado competente, al objeto de que se proceda a incoar diligencias previas para la investigación de los hechos.