El 97% de los emails que usan los funcionarios está desprotegido frente a robos de identidad
Los servicios públicos españoles han recibido en los últimos meses una severa oleada de ciberataques. Uno de los motivos es que hay muchas puertas abiertas: solo un 3% de las direcciones de email que utilizan los organismos públicos españoles está protegido ante la posibilidad de que un ciberdelincuente se haga pasar por el funcionario o trabajador público real que lo utiliza. Esto provoca “que cualquiera pueda enviarnos un email haciéndose pasar por nombre@lawebinstitucional.com sin que podamos detectarlo”, explican desde la comunidad activista PucelaBits.
Este grupo hacktivista mantiene el Observatorio de Seguridad web, a través del que ha analizado la ciberseguridad de algunas herramientas digitales de la administración española. En un estudio anterior detectaron que el solo el 1% de las páginas de la administración pública son completamente seguras para el usuario –hoy el porcentaje ha mejorado al 3%–. El análisis de la protección de los sistemas de correo electrónico, publicado este jueves, no ha arrojado resultados mejores: de 772 emails públicos comprobados, solo 25 cuentan con medidas de seguridad que impiden la suplantación de identidad.
Sistemas de correo tan críticos como el de la Policía (nombre@policia.es), Hacienda (nombre@agenciatributaria.es), la Guardia Civil (nombre@guardiacivil.es) o los que utilizan varios organismos judiciales (nombre@poderjudicial.es) no cuentan con la máxima protección informática frente al robo de identidad. El estudio de PucelaBits lo ha medido analizando si cuentan con dos protocolos de ciberseguridad utilizados para impedirlo, el Convenio de Remitentes (SPF, por sus siglas en inglés) y la Autenticación de Mensajes Basada en Dominios, Informes y Conformidad (DMARC). En la lista de 747 emails vulnerables también está la práctica totalidad los que utilizan los entes autonómicos o locales, con las excepciones de @oviedo.es o @lagomera.es.
La desprotección de estos emails públicos ante los intentos de hacerse pasar por los funcionarios que los manejan es un problema que repercute en toda la sociedad. Por una parte, hace mucho más sencillo que los ciudadanos caigan en estafas de phishing, en lsa que los ciberdelincuentes utilizan la identidad de una administración como gancho para robar datos personales o bancarios o instalar código malicioso en el dispositivo de la víctima. Un email fraudulento desde un correo oficial facilita que la persona receptora no recele de sus intenciones y envíe la información requerida, descargue archivos perjudiciales o pinche en un link controlado por los atacantes.
“Los ciudadanos pueden ser engañados si les llega un correo de nombre@policia.es, nombre@agenciatributaria.es o incluso de su sistema de salud regional. Las posibilidades de engaños, estafas y demás son infinitas”, explica a elDiario.es Rubén Martín, portavoz de PucelaBits. Este tipo de ciberataques son habituales, e instituciones como Correos, la Agencia Tributaria o el Ministerio de Asuntos Económicos y Transformación digital son algunos de los organismos usados como gancho de forma recurrente, tal y como documenta el Instituto Nacional de Ciberseguridad en su Oficina de Seguridad del Internauta.
Ciberataques que entran por correo
Pero la amenaza de picar en un correo público falsificado no solo afecta a los ciudadanos. También puede tener consecuencias catastróficas para la Administración, ya que el engaño puede ejercerse hacia dentro, contra los propios funcionarios y trabajadores públicos. “Es extremadamente grave que cualquier funcionario pueda recibir un correo que parece venir de un superior, un compañero o el mismo departamento de informática, pidiéndole urgentemente que instale algo o visite una web o mande un determinado dato”, denuncia Martín.
Es extremadamente grave que cualquier funcionario pueda recibir un correo falso que parece venir de un superior, un compañero o el departamento de informática
Entre los correos públicos que no cuentan con los dos protocolos de autenticación de la identidad básicos se encuentra por ejemplo el del equipo de Presidencia del Gobierno, @lamoncloa.gob.es.
Dos de los ciberataques que han resultado más graves de entre los que se han producido este 2021 afectaron al Servicio Público de Empleo Estatal (SEPE) y al propio Ministerio de Trabajo. Ambos organismos pasaron semanas paralizados por sendas infecciones de ransomware, un método de ataque que cifra los archivos de la víctima, lo que impide el uso de los dispositivos a no ser que se pague un rescate para liberarlos. En ambos casos los investigadores han revelado que este contagio llegó a través del correo electrónico.
“A veces pensamos que las técnicas son super elaboradas y es tan sencillo como suplantación de identidad e ingeniería social”, lamenta Martín en referencia a estos ciberataques.
6