¿Está su Ayuntamiento protegido frente a ciberataques?

Sophos Iberia, junto a Securízame, empresa de proyectos de seguridad informática y formación, y Abanlex, despacho de abogados especializado en protección de la información, la privacidad y la innovación jurídica, presentan su segundo estudio anual "Informe sobre la necesidad legal de cifrar información y datos personales", cuya principal conclusión es que 9 de cada 10 ayuntamientos en España no cuentan con suficientes medidas de seguridad y son vulnerables frente a posibles ciberataques.

La conclusión principal pone de manifiesto que, pese a cumplir con la normativa vigente, los servidores web de un gran número de ayuntamientos están expuestos a vulnerabilidades dejando en entredicho la seguridad real de los datos personales y poniendo en riesgo información sensible de todos los ciudadanos.

Las principales vulnerabilidades online de los consistorios españoles

4 de cada 10 ayuntamientos analizados soporta SSLv2. Esta versión se considera muy insegura desde hace varios años por sus numerosas vulnerabilidades. Un atacante podría capturar y alterar la información intercambiada entre los usuarios y los servidores web. Asimismo es vulnerable a que disminuya la seguridad del cifrado de la información o se use un algoritmo de cifrado poco seguro y fácil de romper, como DES, lo que permitiría espiar la comunicación de las víctimas para obtener datos confidenciales.

También el 40% de los consistorios son vulnerables a un ciberataque POODLE, lo que facilita que un atacante pueda suplantar a usuarios de la web y acceder a sus datos. Si en vez de suplantar a un usuario, consigue suplantar a un administrador de la aplicación, podría tener acceso total al sistema, y por tanto, robar información de múltiples usuarios.

El 34% de los ayuntamientos es vulnerable un ciberataque FREAK. Esto significa que si los ciberdelincuentes tienen éxito en descifrar la comunicación segura, podrían espiar las comunicaciones, infectar ordenadores con software malicioso u obtener los datos de acceso de usuarios, para luego poder proceder al robo de sus datos.

El 23% admite parámetros inseguros de intercambio de claves Diffie-Hellman (logjam attack), mientras que 2 de cada 10 utilizan información números primos comunes, al venir proporcionados, como ejemplo, por el servidor web. Esto hace que se pueda descifrar la comunicación y, por tanto, espiarla y modificarla al antojo del atacante. También que se recopilen datos para luego proceder al robo de información mediante la suplantación del usuario.

El 19% de los consistorios analizados obtiene la nota T, que quiere decir que el certificado no es confiable (Trustable), es decir, que utilizan un certificado firmado por la FNMT (Fábrica Nacional de Moneda y Timbre) que navegadores de uso popular como Mozilla Firefox o Google Chrome no pueden verificar. Esto hace saltar la "típica" alerta de conexión no segura, lo que no solo produce desconfianza del usuario, sino que favorece que un atacante pueda aprovechar esta cierta "costumbre" del usuario con este error para introducir uno falso que éste aceptará, sin ni siquiera percatarse.

Sin embargo, existen diferentes soluciones que mitigarían estos riesgos existentes para los ciudadanos y para las instituciones. Una posible alternativa es el cifrado de los ficheros que contengan datos personales, protegiendo la información ante un robo físico de los dispositivos que contienen los datos. "Una política de protección de datos basada en cifrado puede desplegarse en apenas unas horas, permitiendo a las Administraciones mejorar la confianza de los ciudadanos y ahorrarse posibles multas de la Unión Europea", concluye Pablo Teijeira, director general de Sophos Iberia.

Necesidad legal del cifrado en España

Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una inmensa cantidad de empresas e instituciones. Muchas de ellas no cifran por miedo o desconocimiento. "Cifrar no es complicado, el coste es asequible y los beneficios se muestran desde el inicio", opinan desde Sophos.

"Deben cifrar la información un gran número de instituciones y empresas. Es posible decir que deben hacerlo todos los sujetos que tratan datos personales contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel alto. Incluyéndose también otro tipo de sujetos en función de las actividades que realizan, como por ejemplo las Administraciones pública, la policía, los abogados, etc", concluyen.

"Tanto dentro de nuestro territorio como fuera, cifrar los datos a veces es obligatorio por ley y otras veces se convierte en una necesidad lógica para garantizar la seguridad a nuestros clientes y la economía de nuestra empresa", apunta Pablo Fernández Burgueño, abogado y socio de Abanlex.

hemeroteca