Así lo certifica un estudio realizado por la firma de seguridad Sophos, Securizame y el bufete de abogados Abanlex. El resultado fue de los más desalentador, pues el 90% de las webs (de los 77 ayuntamientos más grandes del país) tiene unas vulnerabilidades en su cifrado que las hacen totalmente inseguras, de manera que para los cyberdelincuentes habilidosos es bastante sencillo acceder a información confidencial de cualquiera que se conecte a dichas páginas.
El estudio tan solo necesitó comprobar la seguridad de dos métodos de cifrado:
- SSL, (Secure Sockets Layer) que hace cifra la conexión entre cliente (usuario) y servidor (la web) y también utiliza certificados digitales para verificar que el usuario es quien dice ser.
- TLS, que es más moderno que el anterior pero totalmente compatible con él.
Según las palabras de Lorenzo Marinez, jefe de tecnología de Securizame y uno de los principales autores del informe, se propusieron investigar como las web de los ayuntamientos usan estos protocolos básicos en cuanto a seguridad web se refiere, y que de haber una vulnerabilidad en ellos, para un cracker sería tan fácil como abrir una red wifi, esperar a que los usuarios se conectasen y ya tendría acceso a todos sus datos.
Los resultados se repiten tanto como preocupan, el 40% de las webs usan SSLv2, que es una versión total y absolutamente desfasada y muy insegura. Otro 40% es vulnerable a ataques “Poodle” donde se suplanta al verdadero usuario.
Para saber cuáles eran las webs de los ayuntamientos más seguras se utilizó una web gratuita que cataloga la seguridad de la página desde la letra A, totalmente segura, a la letra F, totalmente insegura, con la letra T indicando que es “Trustable” que quiere decir que efectivamente hay un cifrado pero no sabe reconoce cual es. Por ejemplo, esto pasa con el cifrado de la casa de la moneda y timbre de Madrid y no es necesariamente malo, ya que es una de las páginas más seguras.
Podéis acceder a una tabla con las notas de todos los ayuntamientos analizados desde aquí.
Aunque parece que normalmente a mayor tamaño y presupuesto mayor nota, no siempre es así, y Barcelona, Valencia, Bilbao, Pontevedra o Gijón obtienen una F. Solo Girona obtiene una A, al igual que la única B es Valladolid, da ahí vamos cuesta abajo.
Estos fallos se pueden arreglar con mínimas inversiones, como actualizaciones de servidores, apunta Lorenzo. También aclara que los ayuntamientos no incumplen la ley, sino que la cumplen perfectamente, el problema está en que la ley solo te obliga a usar un protocolo de cifrado, pero ello no implica que una web sea segura o esté exenta de vulnerabilidades. Como poco deberían solicitar a los ayuntamientos la misma seguridad que se le exige a las PYMES españolas, qué menos.
