La página web oficial del Congreso de los Diputados, la del Tribunal de Cuentas o la de la Agencia Tributaria han mejorado sus medidas de ciberseguridad en los últimos días. Sus responsables técnicos no han explicado a qué se deben los cambios, pero hay un proyecto colaborativo nacido en Valladolid que les ha estado recordando durante un mes a través de redes sociales para recordarles que debían hacerlo.
El proyecto se denomina WebSegura y surgió desde la comunidad de PucelaBits, centrada en la privacidad y la cultura libre. A principios de año lanzaron un análisis sobre las medidas de ciberprotección de las webs de las instituciones públicas españolas y el resultado fue desastroso: solo el 1% (3 de 568) eran verdaderamente seguras para los usuarios.
Sus promotores decidieron llevar a cabo una campaña de concienciación sobre lo que podían suponer estos agujeros, pero no dirigida a las webs públicas, sino a los ciudadanos que las usan. El objetivo es que sean ellos los que las señalen y pidan mejoras a través de las redes. “Esa es la estrategia de la web, dar visibilidad al problema y hacer presión de forma colectiva”, explica a elDiario.es Rubén Martín, portavoz de la iniciativa.
La táctica ha dado resultados, aunque el problema sigue siendo ingente. Ahora son 12 las páginas que cumplen los estándares de seguridad (3%). La plataforma facilita la posibilidad de interpelar a las cuentas oficiales de Twitter de las restantes para recordarles que no cuentan con las protecciones adecuadas. También con información sobre lo que podría ocurrir si no los tapan, como permitir que un tercero intercepte los datos que los ciudadanos introducen en ellas (contraseñas, datos bancarios, personales o médicos) o añadan contenido malicioso a la web (como publicidad fraudulenta o sobre timos).
En último extremo, “la web podría ser objetivo de ataques externos, como el llamado clickjacking, que permite que desde otra web o aplicación (como un juego) en el que una persona tenga que hacer clics, cargue la web atacada por debajo de forma invisible y haga a los visitantes hacer clic sin ellos saberlo”, detallan desde WebSegura.
Curiosamente, entre las webs públicas que han mejorado su seguridad desde que comenzó la iniciativa de PucelaBits hay dos sitios oficiales de organismos de ciberseguridad, como el Centro Criptológico Nacional o la Oficina de Seguridad del Internauta.
HTTPS desde Pucela
Además de Martín, hay otras dos personas de la comunidad de PucelaBits que ayudan con el mantenimiento de WebSegura. A ellos se han unido unas “25 personas de todo tipo, de perfiles técnicos y no técnicos, que nos hacen llegar los listados de webs de su región y ayudan con la difusión del proyecto. Al ser un proyecto abierto y colaborativo se siguen sumando personas de toda España cada semana”, detalla el ciberactivista. En su web resumen varias formas para participar en la iniciativa.
Todo comenzó cuando se fijaron en que la seguridad de las páginas públicas de instituciones locales de Castilla y León no era la que debería. El chivato era Mozilla Observatory, una herramienta de la Fundación Mozilla, especializada en la defensa de la privacidad digital, sin ánimo de lucro y que ha desarrollado otros servicios como el navegador Firefox, uno de los más recomendados por los especialistas.
Pero la sorpresa llegó cuando lanzaron el análisis a todas las webs institucionales españolas y dieron cuenta de que “era un problema a nivel nacional”. A pesar de los recientes cambios en algunas de ellas, la gran mayoría de ellas, como la web del Senado, la de Renfe o las de todos los ministerios siguen siendo inseguras.
No es sólo que algunas no lo hayan implementado (que es gravísimo), es que las que lo han hecho, el 99% tienen una configuración que permite conectarte a la versión no segura o ser víctima de ataques
El punto central del estudio de la seguridad de las webs es la configuración correcta de HTTPS (siglas en inglés de Protocolo seguro de transferencia de hipertexto), desarrollado hace años ausente aún en un gran número de webs. “No es sólo que algunas no lo hayan implementado (que es gravísimo), es que las que lo han hecho, el 99% tienen una configuración que permite conectarte a la versión no segura o ser víctima de ataques”, avisa Martín sobre las páginas de instituciones públicas españolas.
Una de las claves del HTTPS es el cifrado. Es una medida de protección que hace imposible que nadie pueda interceptar, robar o modificar la información que el usuario y la página que visita se intercambian. El sistema de cifrado que implementa es el conocido como SSL. “El certificado SSL es el mínimo de seguridad que una página debe tener. No cuesta nada implementarlo y su ausencia viene ya a indicar que hay una falta de atención por la seguridad”, detalla Javier Espejo, jefe de ciberseguridad de Transparent Edge Services.
“Dicho esto”, continúa Espejo, especializado en auditoría de ciberseguridad, “hay que tener en cuenta que no se puede establecer el nivel de seguridad de una organización solo por este certificado, hay que mirar más puntos. Hay organizaciones que pueden tener el certificado y, sin embargo, tener insegura el resto de la plataforma, y al revés. Con cierto tipo de ataques, además, el certificado no protege al 100% de que los datos que se introducen sean interceptados”.
En este sentido, la iniciativa WebSegura puntúa a las webs con notas de la A –que indica que tienen buenas medidas de ciberprotección– a la F –para las más inseguras–. Tener implementando el HTTPS no es sinónimo de obtener una calificación óptima. A través de Mozilla Observatory, la iniciativa elabora un informe para cada web pública española que suspende con una explicación de cómo pueden mejorar la seguridad de las páginas.
“Las diversas entidades, y sobre todo las entidades públicas, han de comprometerse a que podemos visitar e interactuar con sus espacios en línea sin detrimento de nuestra seguridad como internautas”, piden desde WebSegura: “Bien sea porque queremos conocer los servicios e infraestructuras de nuestro entorno más cercano o bien porque deseamos usar una web pública para completar un registro, las diversas entidades han de garantizarnos una conexión segura con sus páginas”.