Actualmente existe una gran diferencia entre cumplir una ley y contar con un operativo de seguridad que sea seguro
Sophos Iberia, Securízame y Abanlex han presentado su segundo estudio anual "Informe sobre la necesidad legal de cifrar información y datos personales" 2015, y sus conclusiones no pueden ser más alarmantes. Según dicho informe, diversos ayuntamientos de Castilla y León no cuentan con suficientes medidas de seguridad y son vulnerables frente a posibles ciberataques, según informa e-volucion.es
El estudio analiza el estado actual (con fecha de julio de 2015) de una muestra de importantes ayuntamientos castellanos y leoneses y evalúa las diferentes medidas de seguridad implementadas en la configuración del cifrado SSL en los servidores en los que los ciudadanos pueden introducir sus datos personales.
La conclusión principal pone de manifiesto que, pese a cumplir con la normativa vigente, los servidores web de un gran número de ayuntamientos están expuestos a vulnerabilidades que dejan en entredicho la seguridad real de los datos personales y ponen en riesgo información sensible de todos los ciudadanos.
Principales vulnerabilidades online de los Ayuntamientos de Castilla y León
Según los datos del informe, cinco de cada ocho ayuntamientos castellanos y leoneses soportan una versión muy insegura, la SSLv2, lo que significa que un atacante podría capturar y alterar la información intercambiada entre los usuarios y los servidores web, disminuir la seguridad del cifrado y espiar la comunicación de las víctimas para obtener datos confidenciales.
Además, el 37.5% de los consistorios de Castilla y León analizados son vulnerables a un ciberataque POODLE, o lo que es lo mismo, que un ciberdelincuente pueda suplantar a usuarios legítimos de la web, accediendo a sus datos, perfil, información, etc. Es más, si en lugar de suplantar a un usuario, consiguiera suplantar a un administrador de la aplicación, podría tener acceso total al sistema, y por tanto, robar información de múltiples usuarios.
La mitad de los ayuntamientos castellanos y leoneses también son vulnerables a un ciberataque FREAK, es decir que si los ciberdelincuentes tienen éxito en descifrar la comunicación segura, podrían espiar las comunicaciones, infectar ordenadores con software malicioso u obtener los datos de acceso de usuarios, para luego poder proceder al robo de sus datos. Y es que el 25% de los consistorios castellanos y leoneses admite parámetros inseguros de intercambio de claves Diffie-Hellman (logjam attack) y al menos 3 de cada 8 utilizan información números primos comunes, al venir proporcionados, como ejemplo, por el servidor web, lo que facilita la tarea a los ciberatacantes.
"Actualmente aún existe una gran diferencia entre cumplir una ley y contar con un operativo de seguridad que realmente sea seguro y proteja la información sensible de todos los ciudadanos. Desde un punto de vista puramente legal es posible decir que casi todos los Ayuntamientos cumplen con la normativa. Sin embargo, la seguridad es un ecosistema que cambia rápidamente y que ha dejado atrás la legislación vigente", señala Pablo Teijeira, Director General de Sophos Iberia.
Entre las soluciones propuestas por las compañías que han elaborado el informe se encuentra el cifrado de datos, el apoyo en fabricantes de seguridad que ofrezca las actualizaciones pertinentes y el acceso seguro a las BBDD pertinentes, así como una política de restricción de datos en España basada en cifrado para que resulte realmente eficaz.