Ha pasado a ser habitual el goteo constante de ciberataques a instituciones públicas. Un riesgo importante, ya que estas entidades manejan los datos más sensibles de millones de ciudadanos de España, en asuntos tan importantes como la salud o la economía personal. El caso más reciente ha sido el del Ministerio de Trabajo, que sufrió uno de estos ataques dejando fuera de juego la página web y haciendo saltar todas las alarmas solo 3 meses después del hackeo al Servicio de Empleo Público Estatal (SEPE), institución que no tenía los certficados exigidos por el CNI.

Esta cadencia elevada de los ataques que consiguen tumbar los servicios de las administraciones públicas hace que cada vez más se desconfíe de la seguridad en las instituciones. Y no es para menos. La ciberseguridad no parece ser una de las prioridades de las administraciones y tampoco se atisba un cambio radical a corto plazo.

Ante la gravedad de los hackeos, ha emergido una organización sin ánimo de lucro, Pucelabits, que busca dar visibilidad a los agujeros de seguridad que campan a sus anchas en las páginas web y servidores de instituciones públicas de todo tipo. Desde el ayuntamiento más pequeño a grandes institiciones como el Centro Nacional de Inteligencia (CNI).

Este grupo vallisoletano de especialistas en seguridad y software ha desarollado Websegura, una página web que evalúa otras webs de instituciones públicas de todo tipo a través de un semáforo. Éste expone el nivel de riesgo o de protección que tiene cada una de las entidades, con la idea de que los responsables aumenten sus esfuerzos para blindarse. El proyecto nació en diciembre de 2020 y por su lupa ya han pasado cientos de páginas con resultados tan dispares como sorprendentes.

La ciberseguridad pública

"En Valladolid estábamos un poco cansados de que no nos hicieran caso desde el ayuntamiento porque la página de los autobuses municipales y la de el museo de ciencia no tenían ningún tipo de conexión segura", ha contado a OMICRONO Rubén Martín, que ha trabajado en sistemas informáticoa y ha tomado el papel de portavoz de Pucelabits. "Incluso se podía acceder a formularios de los empleados".

Hacker Jefferson Santos

Comenzaron entonces visibilizando las páginas web locales, pero pronto se dieron cuenta de que este tema trascendía mucho más allá de la ciudad y de la provincia. Y desde la ciudad castellana, a toda España. "Había gente que vivía en otras ciudades y nos contaba que ocurría lo mismo", comenta Martín.

Despúes de examinar las webs de Valladolid dieron el salto a las de ámbito nacional y después por provincias. "Tenemos un grupo de unos 25 colaboradores que se dedican a enviarnos páginas web de entidades locales, provinciales y regionales para que Websegura las examine". Todos ellos sin ningún tipo de conocimiento técnico requerido. Tan solo mandar un listado con las páginas que se quieran a analizar y la maquinaria comienza a trabajar.

"Nosotros utilizamos un servicio externo y gratuito llamado Mozilla Observatory", desarrollado por la propia Mozilla quien también está detrás del navegador web Firefox. Websegura lo que hace es integrar esta herramienta y "crear una interfaz mucho más amigable y visual" para los usuarios sin conocimientos técnicos.

La herramienta Mozilla Observatory se conecta a una web, verifica si esa conexión es segura (básicamente si se puede conectar por el protocolo HTTPS) y evalúa que la página web y el servidor siempre obligue a que esa conexión siga siendo segura. "Si no lo requiere, un usuario podría acceder a una zona no segura y eso significa que la transferencia de datos no está protegida". Lo que podría dar lugar al robo o copia de datos sin que se de cuenta.

Líneas de código Boskampi

"Otros aspectos que evalúa es si dentro de la web las imágenes se cargan también de forma segura o si la página permite la carga de códigos". El Observatory devuelve un resultado y Websegura se encarga de asignar una nota que va desde la 'A' para los sitios más seguros hasta la 'F' para los menos.

Una de las métricas que pretenden implementar en el futuro de Websegura es el análisis de las versiones del software de las páginas web. Esto permitirá saber mejor qué sistema operativo corre en los servidores que alojan esas webs y así tener mejor visión de la protección contra ciberataques.

"Nos puede decir si cuentan con software desfasado que dejó de recibir actualizaciones de seguridad hace mucho tiempo". Esto es especialmente delicado debido a que se "pone en bandeja" el ataque por los fallos de seguridad de esos sistemas operativos que se van desvelando con el tiempo. Y que, al no recibir parches, seguirán ahí a la vista de cualquiera con unos conocimientos suficientes.

Sede del INCIBE en León.

"Nosotros no realizamos auditorías internas complejas, solo nos limitamos a los datos que nos proporciona el Mozilla Observatory". Una herramienta gratuita y al alcance de cualquiera. Pero tan potente que puede revelar datos sensibles.

Mala nota

Un número muy imporante de webs institucionales, según comenta Rubén Martín, no tienen conexión segura implementada. Eso tiene como consecuencia, además de la baja nota en la clasificación de Websegura, poner en peligro los datos personales de los ciudadanos y del propio organismo público.

Webs con mejor calificación Websegura

Websegura guarda el histórico de las notas que sacan las páginas web de los diferentes organismos públicos. "Esto es clave para conocer la evolución a lo largo del tiempo". Desde que empezaron la campaña de concienciación sobre la ciberseguridad en el ámbito público algunas páginas webs han mejorado.

"Lás más representativas son la de la Policía Nacional, la del Congreso de los Diputados, la Agencia Tributaria, la del Radar Covid... La web del Centro Criptológico Nacional no tenía buena nota y la ha actualizado", apunta Rubén Martín. Pero hay otras que siguen exactamente igual. Incluso el propio del CNI cuenta con una nota 'C' que realmente no es una calificación elevada. O la web del Ministerio de Exteriores que directamente no tiene una conexión segura. "Demasiado poco pasa", concluye.

También te puede interesar...

• Antivirus, armas y 'criptos': John McAfee, el genio que acabó suicidándose en una cárcel española
• Filtran la mayor base de datos de contraseñas de la historia: comprueba si está la tuya
• Actualiza tu viejo iPhone ya: soluciona fallos críticos de seguridad
• Hackeo a McDonald's en Asia: roban información empresarial y de empleados