9 de cada 10 ayuntamientos españoles son vulnerables a los ciberataques

Sophos Iberia, junto a  Securízame, y Abanlex han presentado hoy su segundo estudio anual “Informe sobre la necesidad legal de cifrar información y datos personales”. La conclusión más destacada es que 9 de cada 10 ayuntamientos en España no cuentan con suficientes medidas de seguridad y son vulnerables frente a posibles ciberataques.

El estudio analiza el estado actual (Julio de 2015) de una muestra de los 77 principales ayuntamientos españoles y evalúa las diferentes medidas de seguridad implementadas en la configuración del cifrado SSL en los servidores en los que los ciudadanos pueden introducir sus datos personales.

La conclusión principal pone de manifiesto que, pese a cumplir con la normativa vigente, los servidores web de un gran número de ayuntamientos están expuestos a vulnerabilidades dejando en entredicho la seguridad real de los datos personales y poniendo en riesgo información sensible de todos los ciudadanos. Es más, en el 96% de los casos se ha detectado la existencia de al menos una vulnerabilidad conocida en los sistemas de intercambio de información con los ciudadanos. Eso sí, en las ciudades de mayor volumen de habitantes, las medidas de seguridad implantadas en los servidores están algo más cuidadas que en los  ayuntamientos más pequeños, que padecen una clara necesidad de mejora. 
 
¿De qué vulnerabilidades online estamos hablando?
 
4 de cada 10 ayuntamientos analizados soporta SSLv2. Esta versión se considera muy insegura desde hace varios años, por sus numerosas vulnerabilidades. Un atacante podría capturar y alterar la información intercambiada entre los usuarios y los servidores web. De la misma manera, es vulnerable a que disminuya la seguridad del cifrado de la información o  se use un algoritmo de cifrado poco seguro y fácil de romper, como DES, lo que permitiría espiar la comunicación de las víctimas para obtener datos confidenciales.
 
También 4 de cada 10 consistorios son vulnerables a un ciberataque POODLE. La existencia de esta vulnerabilidad podría permitir a un atacante suplantar a usuarios legítimos de la web, pudiendo acceder a sus datos, perfil, información, etc. Es más, si en vez de suplantar a un usuario, consigue suplantar al administrador, el ciberdelincuente puede tener acceso total al sistema, y por tanto, robar información de múltiples usuarios.
 
Otro dato preocupante: el 34% de los ayuntamientos es vulnerable un ciberataque FREAK. Esto significa que si los atacantes tienen éxito en descifrar la comunicación segura, podrían espiar las comunicaciones, infectar ordenadores con software malicioso u obtener los datos de acceso de usuarios, para luego poder proceder al robo de sus datos.
 
Además, el 23% admite parámetros inseguros de intercambio de claves Diffie-Hellman (logjam attack), mientras que 2 de cada 10 utilizan información proporcionada por defecto por el servidor web. La consecuencia de este procedimiento es que se abra la posibilidad de que se pueda descifrar la comunicación y por tanto espiarla y modificarla al antojo del atacante. También deja la puerta abierta a la recopilación de datos para luego proceder al robo de información mediante la suplantación de identidad de los usuarios registrados.
 
Por tanto, el 19% de los consistorios analizados obtiene la nota T, que quiere decir que el certificado no es confiable (Trustable). Es decir, que utilizan un certificado firmado por la FNMT (Fábrica Nacional de Moneda y Timbre) que navegadores de uso popular como Mozilla Firefox o Google Chrome no pueden verificar.  Esto hace saltar la “típica” alerta de conexión no segura, lo que no solo produce desconfianza del usuario, sino que favorece que un atacante pueda aprovechar esta cierta  “costumbre” del usuario con este error, para introducir uno falso (por supuesto, desconocido) que aceptará, sin ni siquiera percatarse.
 
Y es que, según afirma Pablo Tejeira, Director General de Sophos Iberia: “Actualmente aún existe una gran diferencia entre cumplir una ley y contar con un operativo de seguridad que realmente sea seguro y proteja la información sensible de todos los ciudadanos. Desde un punto de vista puramente legal es posible decir que casi todos los Ayuntamientos cumplen con la normativa. Sin embargo, la seguridad es un ecosistema que cambia rápidamente y que ha dejado atrás la legislación vigente. Una política de protección de datos basada en cifrado puede desplegarse en apenas unas horas, permitiendo a las AAPP mejorar la confianza de los ciudadanos y ahorrarse posibles multas de la Unión Europea”.

Necesidad legal del cifrado en España

Además de analizar la seguridad de los Ayuntamientos, el informe ha sido elaborado para desmitificar el proceso de cifrado de datos, aclarar las obligaciones legales y requisitos que esto conlleva en España y abordar las necesidades y beneficios para instituciones y empresas de contar con políticas de cifrado legales, accesibles y fáciles de implementar.

El cifrado siempre es conveniente, aunque no haya ninguna ley que obligue a ello. De hecho, es de una utilidad extraordinaria ya que refuerza la seguridad, genera confianza y evita situaciones comprometidas en los tribunales.
"En el reciente Caso Facebook, Europa ha declarado que alojar datos en Estados Unidos supone la aceptación de que el gobierno de aquel país pueda acceder a ellos, copiarlos, almacenarlos indefinidamente y analizarlos, sin informar a las empresas europeas afectadas. ¿Y si los datos estuvieran perfectamente cifrados? Cuando nos acogemos a alguna excepción que nos permita sacar información de Europa, si ciframos el contenido obtenemos una seguridad de inviolabilidad, de la que otras empresas carecen. Tanto dentro de nuestro territorio como fuera, cifrar los datos a veces es obligatorio por ley y otras veces se convierte en una necesidad lógica para garantizar la seguridad a nuestros clientes y la economía de nuestra empresa", apunta Pablo Fernández Burgueño, Abogado y Socio de Abanlex. Por lo que ya no es sólo una cuestión de prevención frente a ataques cibernéticos. La privacidad de nuestra información personal está en juego.