9 de cada 10 ayuntamientos en
España no cuentan con las suficientes medidas de seguridad y son
vulnerables a los ataques en sus páginas webs. El problema es que los sitios web de estos ayuntamientos no cuentan con buenas políticas de seguridad en su cifrado de los datos. Estas son las desoladoras conclusiones de un estudio llevado a cabo por las firmas de seguridad Sophos Iberia, junto a Securízame y el despacho de abogados especializado en protección de la información Abanlex sobre
la necesidad legal de cifrar información y datos personales. Para
realizar el estudio, se ha llevado a cabo un análisis de la
implementación SSL en páginas web de ayuntamientos españoles.
El protocolo SSL (Secure Sockets Layer) sirve para cifrar las comunicaciones entre un usuario y los servidores de destino. Es una tecnología que data de los años 90 y es el protocolo más usado en las webs basadas en HTTP. También se encarga de usar certificados digitales para autentificar a la persona que está al otro lado y certificar que es quien dice ser. El protocolo TLS (Transport Layer Security) tiene las mismas funciones, pero es posterior a SSL.
El experimento se ha llevado a cabo en las webs de 77 ayuntamientos de capitales de provincia y de más de 100.000 habitantes. Para ello se ha usado una herramienta pública que provee la firma de seguridad Qualys, y que se puede usar libremente:
Lanzar ataques sobre las webs para
determinar si son seguras o no, evidentemente es un delito, pero
(siempre hay un pero) “se pueden usar herramientas públicas, sobre
páginas públicas, en las que no se interactua sobre ellos”, como nos
explica Lorenzo Martínez, CTO de Securízame y
responsable de esta investigación. Qualys provee esta herramienta que
realiza una auditoría de cómo está implementado SSL en una web que
funciona por HTTP. El servicio se conecta a la web y revisa los sistemas
de cifrado y el protocolo que soporta el servidor, la firma digital, el
certificado… La herramienta hace una serie de pruebas para comprobar el cifrado y la seguridad de la web, y le da una nota final.
Suspenso general
Los ayuntamientos analizados se han seleccionado porque cuentan con servicios de administración electrónica para intercambiar información sensible: datos de empadronamiento, gestión de documentos oficiales, etc.
Según el estudio, un 40% de ellas
soporta SSLv2, que es muy inseguro. Las vulnerabilidades llevan muchos
años publicadas. Otro 40% son vulnerables a Poodle, porque soportan
SSLv3. El 34% son vulnerables a FREAK y el 23% son vulnerables a
Logjam. Todas ellas, vulnerabilidades muy conocidas de SSL y ya
publicadas, que “los directores de sistema deberían haber resuelto”,
afirma Martínez.
Esto implica que podrían sufrir ataques Man in The Middle
–cuando un atacante intercepta la comunicación. ¿Dónde más se pueden
producir estos ataques? “En una red Wi-Fi fraudulenta, por ejemplo. Por
eso se recomienda que se use el 3G del móvil, ahí el único que podría
interceptar la comunicación es el proveedor de Internet”, señala
Martínez.
No hay excusa para no estar protegidos
No hay excusa: hoy en día, elaborar una política de protección de datos es más fácil que nunca. “Se puede hacer en días, en horas (para empresas pequeñas y medianas, la mayoría de las españolas) para proteger lo más valioso que tienen: los datos”, explica Pablo Teijeira, Country Manager de Sophos.
Teijeira advierte de que el principal problema es que “no estamos hablando de vulnerabilidades recién descubiertas, estamos hablando de fallos descubiertos hace tiempo y que son relativamente fáciles de solucionar”. En
cuanto a por qué no se han publicado los nombres de los ayuntamientos
afectados, Teijeira apunta que la información es pública, “pero no
queríamos dar pie a futuros ataques. Nos pondremos en contacto con los
ayuntamientos uno a uno para que estén informados”.
Eso sí, con el link facilitado cada uno puede llevar a cabo su propio análisis, como apuntan los expertos, la información es pública. Con esta herramienta puedes divertirte un buen rato.
¿Quieres saber si la web de tu ayuntamiento es segura? ¿O la web de tu
empresa – o de cualquier empresa? Ten cuidado, te advertimos que puedes
llevarte más de una sorpresa. Aunque por otro lado, es una oportunidad de oro para que las empresas e instituciones mejoren su seguridad. Una llamada de atención más que necesaria.
F.GSecurytis
No hay comentarios:
Publicar un comentario