Revista de prensa. El Confidencial.- No se salva casi ninguna. Es la preocupante conclusión de un nuevo análisis sobre la seguridad más básica de las páginas web de ayuntamientos españoles.
La web de Gijón no supera las pruebas de análisis de seguridad informática |
El estudio, realizado por las firmas de seguridad informática Sophos y Securízame junto al bufete de abogados Abanlex, analizó las páginas web de 77 ayuntamientos de capital de provincia en España, la mayoría con más 100.000 habitantes. Para ello se centraron exclusivamente en un aspecto muy concreto: analizar la seguridad de su cifrado SSL y TLS.
Entre los mayores ayuntamientos, la web del de Barcelona obtiene la peor nota posible. El de Madrid utiliza un certificado no confiable.
El protocolo SSL (Secure Sockets Layer) básicamente consigue dos cosas: por un lado, cifrar las comunicaciones entre un usuario y los servidores de destino (en este caso los de los ayuntamientos o sus proveedores); por otro, utilizar certificados digitales para asegurarse de que la persona que está al otro lado es efectivamente quien dice ser. TLS es solo una versión más moderna del SSL, pero completamente compatible con su antecesor.
Sin seguridad básica de cifrado
"Nos propusimos investigar cómo las webs de los ayuntamientos implementan SSL y TLS porque son medidas de seguridad básicas. Si hay alguna vulnerabilidad en estos protocolos alguien podría interceptar las comunicaciones entre el ciudadano y los servidores. Por ejemplo, un ciberdelicuente podría establecer una red Wi-Fi falsa, hacer que la gente se conecte a ella y listo, tendría acceso a los datos personales de miles de personas", explica a 'Teknautas' Lorenzo Martínez, jefe de tecnología de Securízame y autor principal del informe.
Los resultados del estudio son tan recurrentes como preocupantes. A nivel agregado, el 90% de las webs de estos 77 ayuntamientos presenta vulnerabilidades en la forma en la que protegen los datos de sus ciudadanos. Un 40% utiliza SSLv2, una versión completamente obsoleta de este protocolo. "No es que sea una versión insegura, es que es muy insegura", señala Lorenzo. Otro 40% de los ayuntamientos analizados son vulnerables a ataques conocidos como 'Poodle', aquellos en los que un ciberdelincuente puede suplantar a un usuario legítimo para robar sus datos.
¿Qué ayuntamientos salen mejor y peor parados?.
Para averiguarlo, el estudio utilizó una herramienta pública y gratuita de auditoría de los protocolos SSL y TLS. Esta puntúa de la A (muy seguro) a la F (completamente inseguro) el cifrado implementado en las páginas web. La letra 'T' es nota aparte: 'Trustable'. Quiere decir que el certificado digital no es confiable, bien porque el navegador no lo haya implementado o por algún otro motivo técnico.
Puedes buscar en la tabla debajo la nota de los ayuntamientos analizados (del total hay 25 sobre los que no se pudo obtener datos de auditoría). El panorama es bastante desolador (puedes hacer clic aquí para ver la tabla a tamaño completo desde la web o el móvil).
Entre los mayores ayuntamientos, la web del de Barcelona, por ejemplo, obtiene la peor nota posible, una F. El de Madrid se queda con una T, es decir, utiliza un certificado no confiable. "Esto no es necesariamente malo, simplemente el navegador no reconoce el certificado firmado por la Fábrica Nacional de Moneda y Timbre. En estas ocasiones suele aparecer un mensaje de alerta de conexión no segura. Lo malo es que estamos tan acostumbrados a aceptar esta alerta que un atacante podría aprovechar para colar una alerta falsa y hacer que descarguemos algún fichero malicioso", explica Lorenzo.
Tan solo una web de las 77 analizadas, la del Ayuntamiento de Girona, obtiene la mayor nota posible, una A. La de Valladolid es la única con una B.
El estudio demuestra que, generalmente, a mayor tamaño (y presupuesto) del ayuntamiento, mejor nota. Pero no siempre es así. Grandes consistorios como el de Valencia, Pontevedra, Bilbao, Gijón o Badalona obtienen todos la peor nota posible, la F. Tan solo una web de las 77 analizadas, la del Ayuntamiento de Girona, obtiene la mayor nota posible, una A. La de Valladolid es la única con una B. La de Tarragona, Lleida, Alicante o Vigo se quedan con una C, es decir, mediocre tirando a suspenso. Todos los demás, una F.
Chapuza de SSL
Según Lorenzo, los resultados son paradójicos, ya que se trata de fallos de seguridad que no requieren en absoluto grandes inversiones para solucionarlos. "Normalmente con simples actualizaciones de servidores quedan solventadas". También hay que tener en cuenta que los ayuntamientos no cometen ninguna ilegalidad. "Están cumpliendo a rajatabla con la LOPD. El problema es que la ley está redactada de una forma que no especifica el grado de seguridad SSL o TLS que deben cumplir. Sí, todos usan SSL, pero es una chapuza de SSL".
No hay comentarios:
Publicar un comentario