No se salva casi ninguna. Es la preocupante conclusión de un nuevo
análisis sobre la seguridad más básica de las páginas web de
ayuntamientos españoles. La gran mayoría, más del 90% de los 77 mayores
ayuntamientos del país, presentan vulnerabilidades en sus protocolos de
cifrado. Es decir, para un ciberdelincuente mínimamente avezado, sería
muy sencillo robar los datos personales que envíamos a los consistorios a
través de los servicios online de sus webs: nombre, apellido, dirección
postal, teléfono, email, datos fiscales... ¿Cuáles son las páginas más
seguras y las que debes evitar?
El estudio, realizado por las firmas de seguridad informática Sophos y
Securízame junto al bufete de abogados Abanlex, analizó las páginas web
de 77 ayuntamientos de capital de provincia en España, la mayoría con
más 100.000 habitantes. Para ello se centraron exclusivamente en un
aspecto muy concreto: analizar la seguridad de su cifrado SSL y TLS.
Entre los mayores ayuntamientos, la web del de Barcelona obtiene la peor
nota posible. El de Madrid utiliza un certificado no confiable
El protocolo SSL (Secure Sockets Layer) básicamente consigue dos cosas:
por un lado, cifrar las comunicaciones entre un usuario y los servidores
de destino (en este caso los de los ayuntamientos o sus proveedores);
por otro, utilizar certificados digitales para asegurarse de que la
persona que está al otro lado es efectivamente quien dice ser. TLS es
solo una versión más moderna del SSL, pero completamente compatible con
su antecesor.
Sin seguridad básica de cifrado
"Nos propusimos investigar cómo las webs de los ayuntamientos
implementan SSL y TLS porque son medidas de seguridad básicas. Si hay
alguna vulnerabilidad en estos protocolos alguien podría interceptar las
comunicaciones entre el ciudadano y los servidores. Por ejemplo, un
ciberdelicuente podría establecer una red WiFi falsa, hacer que la gente
se conecte a ella y listo, tendría acceso a los datos personales de
miles de personas", explica a 'Teknautas' Lorenzo Martínez, jefe de
tecnología de Securízame y autor principal del informe.
Los resultados del estudio son tan recurrentes como preocupantes. A
nivel agregado, el 90% de las webs de estos 77 ayuntamientos presenta
vulnerabilidades en la forma en la que protegen los datos de sus
ciudadanos. Un 40% utiliza SSLv2, una versión completamente obsoleta de
este protocolo. "No es que sea una versión insegura, es que es muy
insegura", señala Lorenzo. Otro 40% de los ayuntamientos analizados son
vulnerables a ataques conocidos como 'Poodle', aquellos en los que un
ciberdelincuente puede suplantar a un usuario legítimo para robar sus
datos. ¿Qué ayuntamientos salen mejor y peor parados?
Para averiguarlo, el estudio utilizó una herramienta pública y gratuita
de auditoría de los protocolos SSL y TLS. Esta puntúa de la A (muy
seguro) a la F (completamente inseguro) el cifrado implementado en las
páginas web. La letra 'T' es nota aparte: 'Trustable'. Quiere decir que
el certificado digital no es confiable, bien porque el navegador no lo
haya implementado o por algún otro motivo técnico.
Puedes buscar en la tabla debajo la nota de los ayuntamientos analizados
(del total hay 25 sobre los que no se pudo obtener datos de auditoría).
El panorama es bastante desolador . (puedes hacer clic aquí para ver la tabla a tamaño completo desde la web o el móvil).
Entre los mayores ayuntamientos, la web del de Barcelona, por ejemplo,
obtiene la peor nota posible, una F. El de Madrid se queda con una T, es
decir, utiliza un certificado no confiable. "Esto no es necesariamente
malo, simplemente el navegador no reconoce el certificado firmado por la
Fábrica Nacional de Moneda y Timbre. En estas ocasiones suele aparecer
un mensaje de alerta de conexión no segura. Lo malo es que estamos tan
acostumbrados a aceptar esta alerta que un atacante podría aprovechar
para colar una alerta falsa y hacer que descarguemos algún fichero
malicioso", explica Lorenzo.
Tan solo una web de las 77 analizadas, la del Ayuntamiento de Girona,
obtiene la mayor nota posible, una A. La de Valladolid es la única con
una B
El estudio demuestra que, generalmente, a mayor tamaño (y presupuesto)
del ayuntamiento, mejor nota. Pero no siempre es así. Grandes
consistorios como el de Valencia, Pontevedra, Bilbao, Gijón o Badalona
obtienen todos la peor nota posible, la F. Tan solo una web de las 77
analizadas, la del Ayuntamiento de Girona, obtiene la mayor nota
posible, una A. La de Valladolid es la única con una B. La de Tarragona,
Lleida, Alicante o Vigo se quedan con una C, es decir, mediocre tirando
a suspenso. Todos los demas, una F.
Según Lorenzo, los resultados son paradójicos, ya que se trata de fallos
de seguridad que no requieren en absoluto grandes inversiones para
solucionarlos. "Normalmente con simples actualizaciones de servidores
quedan solventadas". También hay que tener en cuenta que los
ayuntamientos no cometen ninguna ilegalidad. "Están cumpliendo a
rajatabla con la LOPD. El problema es que la ley está redactada de una
forma que no especifica el grado de seguridad SSL o TLS que deben
cumplir. Sí, todos usan SSL, pero es una chapuza de SSL".
Fuente: El confidencial.com
