9 de cada 10 ayuntamientos en España no cuentan con las suficientes medidas de seguridad y son vulnerables a los ataques en sus páginas webs. El problema es que los sitios web de estos ayuntamientos no cuentan con buenas políticas de seguridad en su cifrado de los datos. Estas son las desoladoras conclusiones de un estudio llevado a cabo por las  firmas de seguridad Sophos Iberia, junto a  Securízame y el despacho de abogados especializado en protección de la información Abanlex sobre la necesidad legal de cifrar información y datos personales. Para realizar el estudio, se ha llevado a cabo un análisis de la implementación SSL en páginas web de ayuntamientos españoles.

El protocolo SSL (Secure Sockets Layer) sirve para cifrar las comunicaciones entre un usuario y los servidores de destino. Es una tecnología que data de los años 90 y es el protocolo más usado en las webs basadas en HTTP. También se encarga de usar certificados digitales para autentificar a la persona que está al otro lado y certificar que es quien dice ser. El protocolo TLS (Transport Layer Security) tiene las mismas funciones, pero es posterior a SSL.

El experimento se ha llevado a cabo en las webs de 77 ayuntamientos de capitales de provincia y de más de 100.000 habitantes. Para ello se ha usado una herramienta pública que provee la firma de seguridad Qualys, y que se puede usar libremente:

Lanzar ataques sobre las webs para determinar si son seguras o no, evidentemente es un delito, pero (siempre hay un pero) “se pueden usar herramientas públicas, sobre páginas públicas, en las que no se interactua sobre ellos”, como nos explica Lorenzo Martínez, CTO de Securízame y responsable de esta investigación. Qualys provee esta herramienta que realiza una auditoría de cómo está implementado SSL en una web que funciona por HTTP. El servicio se conecta a la web y revisa los sistemas de cifrado y el protocolo que soporta el servidor, la firma digital, el certificado… La herramienta hace una serie de pruebas para comprobar el cifrado y la seguridad de la web, y le da una nota final.

Suspenso general

Los ayuntamientos analizados se han seleccionado porque cuentan con servicios de administración electrónica para intercambiar información sensible: datos de empadronamiento, gestión de documentos oficiales, etc.

Según el estudio, un 40% de ellas soporta SSLv2, que es muy inseguro. Las vulnerabilidades llevan muchos años publicadas. Otro 40% son vulnerables a Poodle, porque soportan SSLv3.  El 34% son vulnerables a FREAK y el 23% son vulnerables a Logjam. Todas ellas, vulnerabilidades muy conocidas de SSL y ya publicadas, que “los directores de sistema deberían haber resuelto”, afirma Martínez.

Esto implica que podrían sufrir ataques Man in The Middle –cuando un atacante intercepta la comunicación. ¿Dónde más se pueden producir estos ataques? “En una red Wi-Fi fraudulenta, por ejemplo. Por eso se recomienda que se use el 3G del móvil, ahí el único que podría interceptar la comunicación es el proveedor de Internet”, señala Martínez. 

Padlock on computer keyboard

No hay excusa para no estar protegidos

No hay excusa: hoy en día, elaborar una política de protección de datos es más fácil que nunca. “Se puede hacer en días, en horas (para empresas pequeñas y medianas, la mayoría de las españolas) para proteger lo más valioso que tienen: los datos”, explica Pablo Teijeira, Country Manager de Sophos.

Teijeira advierte de que el principal problema es que “no estamos hablando de vulnerabilidades recién descubiertas, estamos hablando de fallos descubiertos hace tiempo y que son relativamente fáciles de solucionar”. En cuanto a por qué no se han publicado los nombres de los ayuntamientos afectados, Teijeira apunta que la información es pública, “pero no queríamos dar pie a futuros ataques. Nos pondremos en contacto con los ayuntamientos uno a uno para que estén informados”.

Eso sí, con el link facilitado cada uno puede llevar a cabo su propio análisis, como apuntan los expertos, la información es pública. Con esta herramienta puedes divertirte un buen rato. ¿Quieres saber si la web de tu ayuntamiento es segura? ¿O la web de tu empresa – o de cualquier empresa? Ten cuidado, te advertimos que puedes llevarte más de una sorpresa. Aunque por otro lado, es una oportunidad de oro para que las empresas e instituciones mejoren su seguridad. Una llamada de atención más que necesaria.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario