Sophos Iberia, junto a Securízame, reputada empresa de proyectos de seguridad informática y formación, y Abanlex, despacho de abogados especializado en protección de la información, la privacidad y la innovación jurídica, han presentado su segundo estudio anual “Informe sobre la necesidad legal de cifrar información y datos personales” 2015, cuya principal conclusión es que importantes ayuntamientos de Andalucía no cuentan con suficientes medidas de seguridad y son vulnerables frente a posibles ciberataques.
Vulnerabilidad online de los consistorios andaluces
El estudio analiza el estado actual (Julio de 2015) de una muestra de importantes ayuntamientos andaluces y evalúa las diferentes medidas de seguridad implementadas en la configuración del cifrado SSL en los servidores en los que los ciudadanos pueden introducir sus datos personales.
La conclusión principal pone de manifiesto que, pese a cumplir con la normativa vigente, los servidores web de un gran número de ayuntamientos están expuestos a vulnerabilidades dejando en entredicho la seguridad real de los datos personales y poniendo en riesgo información sensible de todos los ciudadanos.
Principales vulnerabilidades online de los ayuntamientos andaluces
o Únicamente 1 de cada 12 ayuntamientos andaluces soporta una versión muy insegura, la SSLv2, lo que significa que un atacante podría capturar y alterar la información intercambiada entre los usuarios y los servidores web, disminuir la seguridad del cifrado y espiar la comunicación de las víctimas para obtener datos confidenciales.
o 9 de cada 12 consistorios andaluces analizados son vulnerables a un ciberataque POODLE, lo que significa que un ciberdelincuente podría suplantar a usuarios legítimos de la web, pudiendo acceder a sus datos, perfil, información, etc. Si en vez de suplantar a un usuario, consigue suplantar a un administrador de la aplicación, podría tener acceso total al sistema, y por tanto, robar información de múltiples usuarios.
o Un tercio de los ayuntamientos andaluces son vulnerables un ciberataque FREAK, es decir, que si los ciberdelincuentes tienen éxito en descifrar la comunicación segura, podrían espiar las comunicaciones, infectar ordenadores con software malicioso u obtener los datos de acceso de usuarios, para luego poder proceder al robo de sus datos.
o Se podría descifrar la comunicación, y por tanto espiarla y modificarla al antojo del atacante, así como recopilar datos para luego proceder al robo de información mediante la suplantación del usuario en el 33% de los consistorios andaluces que admiten parámetros inseguros de intercambio de claves Diffie-Hellman (logjam attack), y al menos 3 de cada 12 que utilizan información números primos comunes, al venir proporcionados, como ejemplo, por el servidor web.
o La mitad de los consistorios andaluces analizados su certificado no es confiable (Trustable).Es decir, que utilizan un certificado firmado por la FNMT (Fábrica Nacional de Moneda y Timbre) que navegadores de uso popular como Mozilla Firefox o Google Chrome no pueden verificar. Esto hace saltar la “típica” alerta de conexión no segura, lo que no solo produce desconfianza del usuario, sino que favorece que un atacante pueda aprovechar esta cierta “costumbre” del usuario con este error, para introducir uno falso (por supuesto, desconocido) que aceptará, sin ni siquiera percatarse.
