El aumento de los ataques informáticos contra empresas privadas e instituciones públicas ha convertido a la ciberseguridad en uno de los temas más importantes a tratar en los últimos tiempos. Estos ataques, pertrechados y ejecutados por bandas de delincuentes internacionales han puesto en jaque la seguridad informática de organismos tan esenciales en España como el Servicio Público de Empleo Estatal (SEPE) en mitad de una pandemia con millones de ciudadanos en ERTE o en paro.

Ese ataque provocó el colapso de la página web del SEPE y de cualquier trámite que se podía realizar a través de ella. Un fuera de juego total del que todavía no se conocen muchos datos. Exactamente 3 meses después, el turno fue para el Ministerio de Trabajo. El pasado 9 de junio la web de la cartera de Yolanda Díaz quedó fuera de línea y, de nuevo, los detalles del ataque no se han hecho públicos.

"Demasiado poco pasa", relata a OMICRONO Rubén Martín, experto en sistemas informáticos y portavoz de Pucelabits, una organización vallisoletana sin ánimo de lucro que busca arrojar luz sobre el estado de la ciberseguridad de las instituciones públicas patrias. Y también creadores de Websegura, una herramienta que analiza las páginas web de esos organismos en busca de debilidades que pueden aprovechar los delincuentes.

Hacker Jefferson Santos

Para ese análisis utilizan una herramienta gratuita y de código abierto llamada Mozilla Observatory. Básicamente, lo que hacen desde Websegura es gestionar todo lo demás. "Recogemos las solicitudes de análisis de los voluntarios que tenemos por toda España y los incluimos en la herramienta de Mozilla", explica.

El resultado viene dado por una puntuación basada en las diferentes categorías del análisis. "Ni mucho menos es una auditoría", recalca Rubén Martín. Pero sí sirve para obtener una radiografía fiable. El siguiente paso de Websegura es clasificar las diferentes páginas web en un ranking e ir realizando un seguimiento que se actualiza prácticamente a diario. "Así podemos ver qué páginas web cambian y mejoran".

El ranking

Además de la nota general que devuelve el análisis de Mozilla, la herramienta permite escudriñar uno a uno los problemas que ha ido encontrado en la página web y que luego da como resultado una nota de la A (la mejor) a la F (la peor). En total, 11 puntos de revisión en los que se detiene el Mozilla Observatory y "que determinan la seguridad de la página web".

El primer aspecto a observar es el Content Security Policy (Política de Seguridad de Contenido) que analiza si la web evita que se cargue contenido externo. "Si esto no se tiene restringido, es posible que modifiquen externamente la web. Por ejemplo, publicando un comentario donde alguien puede haber cargado código".

"Otra de las más importantes es la HTTP Strict Transport Security. En caso de que esté activo, esta función obliga a un usuario a conectarse a través del protocolo seguro HTTPS". Algunas páginas web no ponen como requisito la conexión mediante un protocolo seguro, "aunque luego te redirijan", afirma Rubén Martín. Y así hasta 11 puntos claves.

Entre las últimas posiciones hay algunos organismos clave para la estructura del Estados y con tareas esenciales para el funcionamiento. Como puede ser la página web de Datos Abiertos del Gobierno, la de Casa Real, Puertos del Estado, el Ministerio de Política Territorial y Función Pública, la web del Tribunal Constitucional, AENA o la del Ministerio de Exteriores.

Ascendiendo en la misma zona 'roja' de la tabla hay otras instituciones tan importantes como las páginas web de la Sede Electrónica del Centro Nacional de Inteligencia, de Correos, de la Junta Electoral Central, Ministerio del Interior, el SEPE, Ministerio de Asuntos Económicos y Transformación Digital, Guardia Civil, Renfe, Hacienda, Ministerio de Agricultura... Todos con la categoría F y con menos de 20 puntos sobre 100.

Mejor colocado en la tabla, la nota que concede el Mozilla Observatory indica problemas de seguridad importantes, aunque no tan graves como los casos anteriores. En esta situación se encuentran las páginas web del Ministerio de Justicia, Ministerio de Defensa, la web de información sobre la vacuna de la Covid-19, la web del BOE, el Ministerio de Igualdad, Ministerio de Trabajo, Ministerio de Seguridad Social y la web del Centro Nacional de Inteligencia.

Por último, quedan las páginas web del organigrama público de España que mejor nota han sacado según el análisis del Mozilla Observatory. En total, 10 páginas que se han ganado la etiqueta verde y que presentan unas protecciones mayores contra posibles delincuentes.

La única con la categoría A+- es la página web de Radar Covid, uno de los servicios más recientes y que no ha estado exento de polémicas sobre su seguridad. En el ranking de Websegura, que bebe de los datos de Mozilla Observatory, se lleva la primera plaza.

Lo que queda claro de un vistazo al ranking, es que existen muchas más webs con mala -o muy mala- nota que con buena. De 772 sitios analizados por Websegura, tan solo 20 cuentan con una nota buena y 45 de ellos directamente no cuentan con ninguna medida de seguridad de las analizadas por Mozilla Observatory. Lo que arroja sólo 3% de las webs analizadas con aprobado.

"Desde que comenzamos con el proyecto en diciembre de 2020 muy pocas páginas web han mejorado", apunta Rubén Martín. Cuyos próximos pasos serán la evaluación de los sistemas operativos de los servidores donde están alojadas las páginas. Pero el escaso nivel de seguridad de las instituciones no termina con eso y Rubén Martín apunta al correo electrónico como uno de los vectores más sensibles en la actualidad.

El agujero del correo

"Tenemos planes de analizar los servicios de correo de estas páginas web. Creemos que es fundamental, sobre todo por la cantidad de ataques que lo usan". Del mismo modo que el Mozilla Observatory analiza la seguridad de las propias páginas, existen otras que se dedican a los servicios de correo electrónico.

"Por ejemplo, se puede ver qué nivel de seguridad obtienen las cuentas de correo del Congreso de los Diputados o el servicio de citas para sacar o renovar el DNI", apunta Rubén Martín. Precisamente con este último, el experto realiza una demostración realmente sorprendente.

"Voy a enviar un email a tu cuenta que se haga pasar por policia@citapreviadnie.es para demostrar que sus servidores no son seguros". Dicho y hecho. Al ser una herramienta puramente educativa, el contenido de correo lanza una advertencia: "Si recibe este correo electrónico, significa que el dominio de su marca no está protegido por la política DMARC y corre el riesgo de ser falsificado".

Correo electrónico falso Izan González

Seguidamente detalla que "no proteger el dominio con DMARC prácticamente permite que los delincuentes envíen correos electrónicos maliciosos y de suplantación de identidad a sus clientes en nombre de su marca".

Todo lo que rodea al correo electrónico se convierte en un terreno pantanoso cuando no se toman las medidas más estrictas de seguridad. "Imagina alguien utiliza el mail de la cita previa del DNI para pedir datos sensibles como el número de identificación", señala Rubén Martín. "O un empleado que recibe un correo de su supuesto jefe al que han suplantado la identidad para ordenarle que abra un PDF infectado o ejecute cualquier programa".

También te puede interesar...

• Un ciberataque paraliza una de las mayores cárnicas y puede hacer que suban los precios
• Trickbot, el malware 'escudero' que hackeó el SEPE, ya es el virus más popular
• Un ciberataque obliga a cerrar oleoductos en EEUU
• La tecnología navarra para saber quién llama: verifica una voz en 3 segundos