La auditoría de 3 ingenieros que saca las vergüenzas de las webs públicas españolas

Si una persona normal y corriente se conecta a la web del Senado de España, la única pega que quizá le saque es la de tener un aspecto un tanto apolillado, con un diseño que responde más a la rectitud institucional y los cánones de dicho órgano que a las modas de internet. Si lo hace un experto en ciberseguridad, es probable que encuentre vulnerabilidades que pasan desapercibidas para el ojo del común de los mortales, que no presta atención confiando en la autoridad de la página o porque no tiene conocimientos para valorar cómo de grande es el agujero en cuestión y qué amenaza supone tener un butrón de ese tamaño. La de la Cámara Alta es una de las páginas institucionales que el observatorio WebSegura señala como deficientes. El semáforo también se torna rojo para muchos otros sitios, como los del Servicio Público de Empleo Estatal (SEPE), la Guardia Civil, RTVE, la Agencia Tributaria, la Junta Electoral Central o los ministerios de Industria, Cultura y Deporte, entre otros tantos.

TE PUEDE INTERESAR

Google vetará el certificado de la web de Hacienda: ¿problemas para hacer la Renta 'online'?

Michael Mcloughlin

Estas son algunas de las páginas institucionales que han sido analizadas desde dicha plataforma, un proyecto colaborativo y abierto montado por tres ingenieros vallisoletanos de la asociación PucelaBits, que ya cuenta con cerca de una docena de colaboradores. Tras unas semanas en activo, han pasado revista a más de 400 páginas institucionales que van desde webs municipales hasta nacionales, pasando por los niveles provinciales y autonómicos. El resultado es prácticamente el mismo en todos los casos. Solo cinco webs, que suponen apenas el 1% de las analizadas, hacen los deberes suficientes como para ser consideradas seguras. Por tanto, el 99%, aunque en diferentes grados, incumple los estándares de seguridad.

"Esto nace en el marco de la asociación PucelaBits, donde nos dedicamos a promover la cultura del 'software' libre y la privacidad. Todo surge porque nos dimos cuenta de que varias webs de Valladolid, como la de los autobuses municipales, no tenían ni tan siquiera conexiones seguras", cuenta Rubén Martín (@nukeador), uno de los impulsores del proyecto. "Además, eran páginas que manejaban información sensible, como pueden ser los nombres de usuarios y contraseñas de los empleados. Al percatarnos, avisábamos a los responsables. Unas veces nos decían que tomaban nota y otras no nos contestaban. Al ver que la cosa no cambiaba, decidimos montar esto. Con el tiempo, lo hemos ido abriendo a más lugares", explica este joven, que ahora forma parte de OpenStreetMaps y en el pasado trabajó durante varios años en Mozilla, ente responsable de uno de los navegadores más conocidos de internet.

Precisamente, este observatorio utiliza una creación de Mozilla para realizar sus auditorias. Se trata de 'Mozilla Observatory', una herramienta que realiza un escaneo de la página basándose en 12 pruebas diferentes, ofreciendo una calificación final que oscila entre la A y la F. El sistema de notas es similar, por ejemplo, al que utilizan los listados de eficiencia energética de viviendas o electrodomésticos. "Este servicio, utilizado por desarrolladores, se conecta a la web y analiza en primer lugar si utiliza HTTPS o no. Y posteriormente analiza otras características de cómo está implementado. Aunque se utilice ese protocolo, eso no tiene por qué significar que esté implementado de forma 100% segura".

Los posibles peligros

"Cualquier página que esté por debajo de B es vulnerable a determinados ataques", cuenta Martín. Ellos, utilizando dicha herramienta, han creado una página donde indexan estos resultados, que se pueden consultar por si tienen alcance nacional o regional. A día de hoy, tienen un total de 11 categorías, pero "están añadiendo una nueva cada dos días" gracias al trabajo "imprescindible" de esos voluntarios que les envían listados desde diferentes puntos de la geografía patria.

Además, han añadido las cuentas de Twitter de los organismos responsables de esas webs para que quien quiera pueda reclamar directamente que se atajen estas carencias. "Es triste, pero esta materia no suele ser una prioridad de los que suelen decidir. Puede ser una manera de presión ciudadana para que se tome más en serio".

Pero, a la hora de la verdad, ¿en qué influye tener una buena nota o una mala? ¿En qué se traduce? Este experto es tajante: "Con un manual de internet, un adolescente ya podría explotar algunos de estos fallos. En 2021, incluso, tenemos programas de 'software' automatizados para detectar y explotar estos fallos". Si la nota no es A o B, los sitios están expuestos, apunta, a cosas como una redirección a una web no segura.

"Si el sitio no te fuerza a usar un protocolo HTTPS siempre, un atacante podría llevarte a una versión de la web no segura para leer y modificar tus datos si te conectas a través de una wifi pública. En esa redirección, también podría introducirte 'malware' con una ventana 'pop-up' que te diga que te tienes que descargar tal programa para continuar", explica Martín.

Además de estar expuesto a un posible 'downgrade attack' (como se conoce esta maniobra), hay otros peligros, como puede ser una eventual inyección de código malicioso de terceros (a través, por ejemplo, del sistema de comentarios), un ataque de denegación de servicio o una maniobra de 'clickjacking'. Esto consiste en cargar una web bajo una aplicación o juego móvil en la que el usuario tenga que interactuar con la pantalla repetidas veces para conseguir que haga clic sin saberlo. "Algunas de las webs que están por debajo del umbral de seguridad aceptable son las de la Policía, del DNI o de Hacienda, que son instituciones a las que se les presupone una seguridad máxima".

Nadie consigue la máxima nota

De todas las webs nacionales, la que mejor nota saca es la del INCIBE (Instituto Nacional de CIberseguridad), con una B. Le siguen de cerca la web del Ministerio de Igualdad y la de la Moncloa se tiñen de color verde tras lograr una B menos, un aprobado muy justo. Ninguno de los 250 sitios investigados se alza con la máxima calificación. Las cinco páginas que se colocan en lo más alto son la del INCIBE, del Ayuntamiento de Madrid, la del servicio de bibliotecas de la capital y las de la Universidades de Murcia y Alicante, las únicas que cumplen esa marca mínima de seguridad. "Cuando empezamos a hacer el análisis en Valladolid, ya vimos que la situación generalizada era bastante mala, por lo que no nos han sorprendido tampoco estos resultados", añade este experto.

Además de la división por áreas geográficas, han creado un apartado específico para señalar a los que mejor y peor lo hacen. En ese furgón de cola, se encuentran páginas web como la de Turismo de Castilla-La Mancha, las de los recintos feriales de ciudades como Valencia o Valladolid o las de los ayuntamientos de localidades como Berriozar, Burlada o Tafalla. Estos resultados no se marcan con la F que les correspondería. Aparecen junto a una calavera, porque básicamente "no tienen ninguna medida mínima exigible de seguridad". "No creo que sea un tema de incompetencia, sino de desinterés. Los técnicos suelen ser conscientes en la gran mayoría de ocasiones, pero los que deciden no lo ven prioritario, bien por desconocimiento o porque suponga aprobar un proyecto con su correspondiente presupuesto". ¿Tanto cuesta arreglarlo? "En absoluto. No es complicado pasar de una C o una F a una B implementando cambios relativamente sencillos", concluye.