Los pequeños ayuntamientos necesitan mejorar las medidas de seguridad

Las diferentes medidas de seguridad implementadas en la configuración del cifrado SSL, en los servidores en los que los ciudadanos pueden introducir sus datos personales, es uno de los elementos analizados en el Informe sobre la necesidad legal de cifrar información y datos personales 2015. De los casos analizados, en el 96% se ha detectado la existencia de al menos una vulnerabilidad conocida en los sistemas de intercambio de información con los ciudadanos. Pese a que en las ciudades de mayor volumen de habitantes, las medidas de seguridad implantadas en están más cuidadas, los pequeños ayuntamientos necesitan mejorar en profundidad, según el estudio realizado por Sophos Iberia, Securízame y Abanlex.

Los ayuntamientos son vulnerables a distintos problemas. Por ejemplo, cuatro de cada diez soportan SSLv2. Esta versión se considera muy insegura por sus vulnerabilidades desde hace varios años. Un atacante podría capturar y alterar la información intercambiada entre los usuarios y los servidores web. Asimismo es vulnerable a que disminuya la seguridad del cifrado de la información o se use un algoritmo de cifrado poco seguro y fácil de romper, como DES, lo que permitiría espiar la comunicación de las víctimas para obtener datos confidenciales.

Además, únicamente el 19% de los consistorios analizados han obtenido la certificación de garantía T. Es decir, que utilizan un certificado firmado por la FNMT (Fábrica Nacional de Moneda y Timbre) que navegadores de uso popular como Mozilla Firefox o Google Chrome no pueden verificar. Esto hace saltar la “típica” alerta de conexión no segura, lo que no solo produce desconfianza del usuario, sino que favorece que un atacante pueda aprovecharlo para introducir uno falso (por supuesto, desconocido) que aceptará, sin ni siquiera percatarse.

Cuatro de cada diez, son vulnerables a un ciberataque Poodle, lo que permite al atacante suplantar a usuarios legítimos de la web, pudiendo acceder a sus datos, perfil, información, etc. Si en vez de suplantar a un usuario, consigue suplantar a un administrador de la aplicación, podría tener acceso total al sistema, y por tanto, robar información de múltiples usuarios.

Por otro lado, el 34% de los ayuntamientos pueden sufrir un ciberataque Freak, si los ciberdelincuentes tienen éxito en descifrar la comunicación segura, podrían espiar las comunicaciones, infectar ordenadores con software malicioso u obtener los datos de acceso de usuarios, para luego poder proceder al robo de sus datos.

También, el 23% admite parámetros inseguros de intercambio de claves Diffie-Hellman (logjam attack), mientras que 2 de cada 10 utilizan información números primos comunes, al venir proporcionados, como ejemplo, por el servidor web. Esto tiene como consecuencia que se abra la posibilidad de que se pueda descifrar la comunicación y por tanto espiarla y modificarla al antojo del atacante. También que se recopilen datos para luego proceder al robo de información mediante la suplantación del usuario.

“Actualmente aún existe una gran diferencia entre cumplir una ley y contar con un operativo de seguridad que realmente sea seguro y proteja la información sensible de todos los ciudadanos. Desde un punto de vista puramente legal es posible decir que casi todos los Ayuntamientos cumplen con la normativa. Sin embargo, la seguridad es un ecosistema que cambia rápidamente y que ha dejado atrás la legislación vigente”, ha indicado Pablo Teijeira, Director General de Sophos Iberia.

Existen diferentes soluciones que mitigarían estos riesgos existentes para los ciudadanos y para las instituciones. Una posible alternativa, sería actualizar y configurar de forma correcta los diferentes servicios afectados, aunque esto conlleva un complejo estudio previo y realizar operaciones sobre servicios en producción. Una alternativa más sencilla y que no implica modificar o parar la operativa, sería apoyarse en fabricantes de seguridad que ofrezcan un acceso seguro a las aplicaciones que no necesitan ser modificadas o actualizadas. Y una última solución es el cifrado de los ficheros que contengan datos personales, protegiendo la información ante un robo físico de los dispositivos que contienen los datos. 

La fortificación en el cifrado SSL ayudaría a las Administraciones Públicas evitar el robo de información sensible y prevenir posibles multas de la Unión Europea que pueden alcanzar hasta 100 millones de euros o un 5% de la facturación anual.

El informe también tiene como objetivo desmitificar el proceso de cifrado de datos, aclarar las obligaciones legales y requisitos que esto conlleva en España, así como abordar las necesidades y beneficios para instituciones y empresas de contar con políticas de cifrado legales, accesibles y fáciles de implementar.