Sophos
Iberia, junto a Securízame, reputada empresa de proyectos de seguridad
informática y formación, y Abanlex, despacho de abogados especializado en
protección de la información, la privacidad y la innovación jurídica, presentan
su segundo estudio anual “Informe sobre la necesidad legal de cifrar información
y datos personales”, cuya principal conclusión es que 9 de cada 10 ayuntamientos
en España no cuentan con suficientes medidas de seguridad y son vulnerables
frente a posibles ciberataques. El estudio analiza el estado actual (Julio de
2015) de una muestra de los 77 principales ayuntamientos españoles y evalúa las
diferentes medidas de seguridad implementadas en la configuración del cifrado
SSL en los servidores en los que los ciudadanos pueden introducir sus datos
personales.
La conclusión
principal pone de manifiesto que, pese a cumplir con la normativa vigente,
los servidores web de un gran número de ayuntamientos están expuestos a
vulnerabilidades dejando en entredicho la seguridad real de los datos personales
y poniendo en riesgo información sensible de todos los ciudadanos. De
hecho, en el 96% de los casos se ha detectado la existencia de al menos una
vulnerabilidad conocida en los sistemas de intercambio de información con los
ciudadanos. A pesar de que en las ciudades de mayor volumen de habitantes,
las medidas de seguridad implantadas en los servidores están algo más cuidadas,
en los ayuntamientos más pequeños existe una clara necesidad de una mejora en
profundidad.
Las
principales vulnerabilidades online de los consistorios españoles
ü
4 de cada 10 ayuntamientos analizados soporta SSLv2. Esta
versión se considera muy insegura desde hace varios años, por sus numerosas
vulnerabilidades. Un atacante podría capturar y alterar la información
intercambiada entre los usuarios y los servidores
web. Asimismo es vulnerable a que disminuya la
seguridad del cifrado de la información o se use un algoritmo de cifrado poco
seguro y fácil de romper, como DES, lo que permitiría espiar la comunicación de
las víctimas para obtener datos confidenciales.
ü
4 de cada 10 consistorios son vulnerables a un ciberataque
POODLE. La existencia de esta vulnerabilidad podría permitir a un
atacante suplantar a usuarios legítimos de la web, pudiendo acceder a sus datos,
perfil, información, etc. Si en vez de suplantar a un usuario, consigue
suplantar a un administrador de la aplicación, podría tener acceso total al
sistema, y por tanto, robar información de múltiples usuarios.
ü
El 34% de los ayuntamientos (3,4 de cada 10) es vulnerable
un ciberataque FREAK. Esto significa que si los ciberdelincuentes
tienen éxito en descifrar la comunicación segura, podrían espiar las
comunicaciones, infectar ordenadores con software malicioso u obtener los datos
de acceso de usuarios, para luego poder proceder al robo de sus datos.
ü
El 23% admite parámetros inseguros de intercambio de claves
Diffie-Hellman (logjam attack), mientras que 2 de cada 10 utilizan información
números primos comunes, al venir proporcionados, como ejemplo, por el servidor
web. Esto tiene como consecuencia que se abra la posibilidad de que se
pueda descifrar la comunicación y por tanto espiarla y modificarla al antojo
del atacante. También que se recopilen datos para luego proceder al robo de
información mediante la suplantación del usuario.
ü
El 19% de los consistorios analizados obtiene la nota T, que
quiere decir que el certificado no es confiable (Trustable). Es decir,
que utilizan un certificado firmado por la FNMT (Fábrica Nacional de Moneda y
Timbre) que navegadores de uso popular como Mozilla Firefox o Google Chrome no
pueden verificar. Esto hace saltar la “típica” alerta de conexión no segura, lo
que no solo produce desconfianza del usuario, sino que favorece que un atacante
pueda aprovechar esta cierta “costumbre” del usuario con este error, para
introducir uno falso (por supuesto, desconocido) que aceptará, sin ni siquiera
percatarse.
“Actualmente
aún existe una gran diferencia entre cumplir una ley y contar con un operativo
de seguridad que realmente sea seguro y proteja la información sensible de todos
los ciudadanos. Desde un punto de vista puramente legal es posible decir que
casi todos los Ayuntamientos cumplen con la normativa. Sin embargo, la seguridad
es un ecosistema que cambia rápidamente y que ha dejado atrás la legislación
vigente”, señala Pablo Teijeira, Director General de Sophos Iberia.
Sin embargo,
existen diferentes soluciones que mitigarían estos riesgos existentes para los
ciudadanos y para las instituciones. Una posible alternativa, sería actualizar y
configurar de forma correcta los diferentes servicios afectados, aunque esto
conlleva un complejo estudio previo y realizar operaciones sobre servicios en
producción. Una alternativa más sencilla y que no implica modificar o parar la
operativa, sería apoyarse en fabricantes de seguridad que ofrezcan un acceso
seguro a las aplicaciones que no necesitan ser modificadas o actualizadas. Y una
última solución es el cifrado de los ficheros que contengan datos personales,
protegiendo la información ante un robo físico de los dispositivos que contienen
los datos. “Una política de protección de datos basada en cifrado puede
desplegarse en apenas unas horas, permitiendo a las AAPP mejorar la confianza de
los ciudadanos y ahorrarse posibles multas de la Unión Europea”, concluye
Teijeira.
Necesidad
legal del cifrado en España
Además de
analizar la seguridad de los Ayuntamientos, el informe tiene como objetivo
desmitificar el proceso de cifrado de datos, aclarar las obligaciones legales y
requisitos que esto conlleva en España, así como abordar las necesidades y
beneficios para instituciones y empresas de contar con políticas de cifrado
legales, accesibles y fáciles de implementar.
Cifrar datos
de forma correcta es una de las obligaciones que impone la normativa española
para una inmensa cantidad de empresas e instituciones. Muchas de ellas no cifran
por miedo o desconocimiento. Cifrar no es complicado, el coste es asequible y
los beneficios se muestran desde el inicio. Hoy en día es más sencillo cifrar
que lo que era en 2006, cuando la
AEPD informaba sobre la facilidad de la aplicación de las medidas de
seguridad. Las herramientas de cifrado son cada vez más comunes, así como las
empresas que desarrollan soluciones profesionales personalizadas para
corporaciones y empresas de todos los tamaños.
Deben
cifrar la información un gran número de instituciones y empresas. Es posible
decir que deben hacerlo todos los sujetos que tratan datos personales contenidos
en ficheros a los que se deban aplicar medidas de seguridad de nivel alto.
Incluyéndose también otro tipo de sujetos en función de las actividades que
realizan, como por ejemplo las Administraciones públicas en cumplimiento del
Esquema Nacional de Seguridad (Anexos
RD 3/2010), la policía, los abogados, etc.
El cifrado
siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Un número
elevado de sujetos están obligados a cifrar por las ventajas que conlleva en
materia de seguridad y confidencialidad. En el resto de casos, cifrar es de
utilidad extraordinaria ya que refuerza la seguridad, genera confianza y evita
situaciones comprometidas en los tribunales.
"En el
reciente Caso Facebook, Europa ha declarado que alojar datos en Estados Unidos
supone la aceptación de que el gobierno de aquel país pueda acceder a ellos,
copiarlos, almacenarlos indefinidamente y analizarlos, sin informar a las
empresas europeas afectadas. ¿Y si los datos estuvieran perfectamente cifrados?
Cuando nos acogemos a alguna excepción que nos permita sacar información de
Europa, si ciframos el contenido obtenemos una seguridad de inviolabilidad, de
la que otras empresas carecen. Tanto dentro de nuestro territorio como fuera,
cifrar los datos a veces es obligatorio por ley y otras veces se convierte en
una necesidad lógica para garantizar la seguridad a nuestros clientes y la
economía de nuestra empresa", apunta Pablo Fernández Burgueño, Abogado y
Socio de Abanlex.
Recursos
adicionales:
Para más
información: