Es noticia
El Colegio de Abogados de Madrid, una casa con grietas
  1. Tecnología
ausencia de protección, contraseñas inseguras...

El Colegio de Abogados de Madrid, una casa con grietas

Un correo que envía las contraseñas en texto plano, una base de datos que almacena los datos sin protección... El Colegio de Abogados no cumple con una seguridad básica

Foto:

Un servicio de correo que envía a cada usuario su contraseña de forma visible, una base de datos que almacena la informaciónde cada uno de ellos sin ningún tipo de protección contra ataques de terceros o una plataforma obsoleta desde hace muchos años. Estas son tan sólo algunas de las grietas de seguridad que asolan al Ilustre Colegio de Abogados de Madrid. La organización colegial se defiende alegando que cumple con la normativa aplicable, pero la mayoría de expertos consultados opina que su plataforma es de todo menos segura.

Cada vez que un abogado se da de alta en el servicio del Colegio de Abogados de Madrid recibe el usuario y contraseña en texto plano. Es decir, visible para todo el mundo. Cuando se solicita una cuenta de email (@icam.es), a través de la sección privada para abogados, se requiere identificarse con un certificado electrónico. A continuación, hay que acceder al área privada y remitir la solicitud enviando los datos bajo cifrado SSL (https). Hasta aquí, durante todo el proceso la seguridad es máxima. Sin embargo, tras unas horas de espera el Colegio contesta con un correo electrónico en el que aparecen de forma legible usuario y contraseña.

No es la única deficiencia en cuanto a seguridad se refiere. Según ha explicado a TeknautasYago Jesús, informático y editor del blog Security by Default, "aunque el usuario cambie la contraseña que le envían, esta queda almacenada también de forma legible en la base de datos de la web. Esto significa que si un tercero accede a ese servidor se encontrará con todos los usuarios y contraseñas a la vista. Sin niguna capa de seguridad que los proteja".

Lo que se recomienda en este tipo de bases de datos es utilizar un cifrado de tipo hash, que consiste en un algoritmo criptográfico que tiene la capacidad de tomar un dato y devolver una representación totalmente diferente del original. "Si por ejemplo usas la palabra gato y la pasas por este algoritmo, te devuelve una cadena de texto totalmente distinta. Esto dificulta que un hacker pueda acceder a los usuarios y contraseñas. No es infalible porque en seguridad nada lo es, pero sí lo complica mucho".

La diferencia entre tener o no una capa de seguridad es que, en el caso de que alguien entre con intenciones maliciosas (lo cual según los expertos no es muy complejo), se encuentre una información visible o cifrada. "Si alguien entrailegalmente en la plataforma del Colegio de Abogados se encontrará en sus pantallas y de forma totalmente visiblelos usuarios y contraseñasde todos sus usuarios. Imagínate todo lo que se puede hacer con esa información", ha añadido el experto en seguridad.

Una política de seguridad inexistente

Pero hay más fallos de seguridad. La plataforma también permite a sus usuarios crear contraseñas tan simples como 123456.Actualmente todas las páginas webdonde se maneja información sensiblecomo por ejemplo la de multitud de servicios de correo electrónicoo bancos, obligan a sus usuarios a fijar contraseñas robustas. Es decir, de diez caracteres y compuestas de números, letras y mayúsculas y minúsculas. Esto dificulta que puedan acceder a nuestra información personal. Algo que no cumple el Colegio de Abogados.

Para Fernando de la Cuadra, director de Educación de Eset, "dejaral libre albedrío del usuario el establecer una contraseña más o menos fuerte está comprobado que no funciona y demuestra una falta de educación en lo que a seguridad se refiere.Si esta plataforma te permite escribir 123456 comocontraseña estoy convencido de que muchos la utilizan porque es más fácil de reccordar".

Además, los metadatos del correo enviado por el Colegio de Abogados con el usuario y contraseña desvelan que podría estar utilizando Outlook Express 6, una versión de cliente de correo electrónico diseñada para versiones de Windows antiguas que ya han dejado de recibir soporte por parte de Microsoft. Desde este periódico hemos preguntado al Colegio sobre este aspecto y no lo han negado ni confirmado, argumentando que esta información no es pública.

Según Pablo Fernández Burgueño, socio del despacho de abogados Abanlex, "el correo electrónico del Colegio de Abogados no es técnicamente adecuado para que podamos ejercer la abogacía. Los juristas que lo usan se exponen a una sanción por protección de datos e indemnizaciones por responsabilidad de negligencia. Por no hablar de la posibilidad de que se estén controlando todas las conversaciones abogado-cliente sin que ninguna de las dos partes lo sepa".

Un servicio de correo que envía a cada usuario su contraseña de forma visible, una base de datos que almacena la informaciónde cada uno de ellos sin ningún tipo de protección contra ataques de terceros o una plataforma obsoleta desde hace muchos años. Estas son tan sólo algunas de las grietas de seguridad que asolan al Ilustre Colegio de Abogados de Madrid. La organización colegial se defiende alegando que cumple con la normativa aplicable, pero la mayoría de expertos consultados opina que su plataforma es de todo menos segura.

Seguridad Ilustre Colegio de Abogados de Madrid
El redactor recomienda