La empresa de ciberseguridad Sophos ha presentado un informe confeccionado tras analizar las medidas de seguridad que se aplican en las páginas web de 77 ayuntamientos españoles. Sophos se ha centrado en las herramientas de uso público a disposición de los vecinos, en concreto los portales de contacto del ciudadano, estudiando si se ha llevado a cabo una adecuada implementación de cifrado en sus servidores web.
Los investigadores de Sophos procedieron de la siguiente manera: tras seleccionar una muestra representativa de ayuntamientos, utilizaron una herramienta web que arroja una valoración sobre el nivel de seguridad de un dominio ‘https’. En esta herramienta introdujeron las direcciones de cada consistorio a través de las cuales se envían datos personales.
El resultado ha sido demoledor: las webs de nueve de cada diez ayuntamientos españoles serían un blanco fácil para los cibercriminales. En el estudio, titulado ‘Informe sobre la necesidad legal de cifrar información y datos personales’, Sophos constata que en las ciudades más grandes, las medidas son mayores, pero en ayuntamientos más pequeños aún queda un largo camino por recorrer.
Entre los datos más alarmantes, los expertos de Sophos han detectado que cuatro de cada diez ayuntamientos analizados siguen soportando SSL v2, un protocolo especialmente vulnerable por presentar un algoritmo de cifrado fácil de romper; el mismo número de consistorios puede enfrentarse a un ciberataque Poodle, mediante el que un ciberdelincuente puede suplantar a usuarios de la web –o al propio administrador- y acceder a su perfil; el 34 % es vulnerable a un ciberataque Freak, con el que los ‘black hackers’ pueden llegar a espiar las comunicaciones –y modificar su contenido-, infectar ordenadores con malware u obtener datos de acceso; los mismos peligros que representan los parámetros inseguros de intercambio de claves Diffie-Hellman, detectados en el 23 % de los casos.
Pero la peor parte se la lleva el 19 % de los ayuntamientos, que ni siquera logran que la herramienta web les otorgue la nota T; es decir, su certificado de seguridad sencillamente no es fiable. Suele ser un certificado firmado por la Fábrica Nacional de Moneda y Timbre, que navegadores como Mozilla Firefox o Google Chrome no pueden verificar. La alerta de conexión no segura que se enviará al usuario cada vez que entre favorecerá que éste se acostumbre a recibirla… lo que, finalmente, le puede llevar a aceptar el certificado falso que introduzca un atacante.
Para remediar estas situaciones de peligro, Sophos reclama que se configuren adecuadamente los servicios afectados, actualizándolos e incluso apoyándose en fabricantes de seguridad para que éstos ofrezcan un acceso seguro a las distintas aplicaciones. La compañía también recomienda reforzar el cifrado SSL de aquellos servidores en los que los vecinos introducen datos personales. Los algoritmos de cifrado tienen que ser compatibles con los dispositivos y sistemas operativos más extendidos. No prestar atención a la calidad del cifrado SSL no solo puede suponer un riesgo para la privacidad de todos los habitantes de los municipios cuyas medidas de ciberseguridad no están a la altura, sino que el ayuntamiento en cuestión puede enfrentarse a multas de hasta 100 millones de euros o de un 5 % de su facturación anual.
Las instituciones públicas están obligadas a cumplir la normativa marcada en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica… pero no hay ninguna ley que obligue a practicar el cifrado. Por motivos de seguridad, Sophos ha optado por no revelar los resultados individuales de cada ayuntamiento. “Pese a estar al día con la normativa vigente, sigue habiendo una diferencia entre cumplir una ley y tener conciencia real de seguridad de la información”, concluye a partir de los resultados del estudio.
http://www.onemagazine.es/noticia/25242/ONE-Hacker/Peligro:-tu-ayuntamiento-se-lo-pone-facil-a-los-que-quieren-espiarte.html