De casi 500 webs analizadas de organismos públicos de España se ha descubierto que solo 5 son realmente seguras, según los parámetros de Mozilla Observatory y tal y como nos cuenta Rubén Martín (Nukeador en Twitter), uno de los precursores del proyecto llamado Observatorio de Seguridad Web de Pucelabits.
Este proyecto ha permitido descubrir que entre las web que no respetan los protocolos de seguridad hay algunas que manejan información tan sensible como la del INEM, la del Senado, Hacienda, la Fábrica de Moneda y Timbre, el Ministerio de Defensa o el CESID.
😍 Muy orgulloso del trabajo que se ha sacado adelante con la ayuda de todos
— Nukeador (@nukeador) February 5, 2021
😱 Estoy aterrado del panorama de malas notas
📢 ¡Sigamos añadiendo webs públicas y hagamos ruido a las instituciones para exigir más seguridad! https://t.co/wumZIzsauH
Las que sí cumplen requisitos de privacidad de acuerdo con el ranking son: la web de la Moncloa, Universidad de Murcia, Ayuntamiento de Madrid y Bibliotecas de Madrid, Universidad de Alicante y el Instituto Nacional de Ciberseguridad o INCIBE.
Un proyecto colaborativo desde Valladolid al resto de España
Esta idea surgió a finales de 2020 de la mano de Adrián de la Rosa, Guido García y Rubén Martín, que eran parte de un grupo de cultura libre y privacidad de Valladolid. Tras comprobar que diferentes webs públicas de su provincia no tenían las características de seguridad necesarias para proteger la información privada de la ciudadanía y tras contactar a los responsables de estos organismos sin recibir respuesta, decidieron lanzar una llamada para que se uniese cualquier persona dispuesta a comprobar si eso sucedía a menudo por toda España.
Ahora ya hay más de 20 personas por todo el país que les han escrito y que han formado parte de la idea. De hecho, mientras que el pasado martes 9 de febrero Martín dijo que desde comienzos de año se habían analizado 362 webs de organismos públicos (de las que se había descubierto que solo 3 eran seguras de acuerdo con los criterios, un día más tarde se analizaron casi 100 más. Todo gracias a que muchas más personas conocieron la iniciativa justo ese día.
Aunque los tres creadores de este proyecto tienen un background de desarrollo web afirman que no hace falta ser expertos en nada para poder hacer las comprobaciones básicas de seguridad de acuerdo con un servicio ya existente y que es el mencionado Mozilla Observatory. Esta herramienta analiza diversos asuntos de las web para ver si el criterio https (que acompaña a la URL de la mayoría de webs) es realmente cierto.
No es información privada, solo que la gente no sabe que la mayoría de webs no son seguras
“La información que aportamos no es primicia. Es pública. Mozilla Observatory lleva años disponible. Los datos que desvelan no es algo oscuro u oculto. Pero el objetivo que perseguimos es el de dar visibilidad a este problema y que todos los ciudadanos puedan entenderlo" explica Rubén Martín. Él mismo recuerda que la ciudadanía está obligada en muchas ocasiones y para diversos trámites a usar las páginas de instituciones públicas y que, si estas no protegen bien los datos, será fácil para un atacante acceder a estas informaciones privadas y muchas veces delicadas.
Al mismo tiempo, sigue explicando, "las veces que hemos contactado de forma privada a estas instituciones nunca nos han hecho caso". Por ello, la iniciativa incluye la opción de compartir la información en Twitter a modo de denuncia. Y es que, consideran los promotores de PucelaBits que "creemos y está demostrado que cuando hay suficiente ruido es cuando se le pone remedio a un problema".
Los criterios de Mozilla Observatory para decir si una web es segura o no
La principal duda sobre estos análisis reside en que, si las webs tienen el certificado HTTPS en la URL, ¿qué les falta para ser seguras?. Desde Pucelabits explican que cuando nos conectamos a una página web, nuestros datos viajan ida y vuelta desde nuestro dispositivo hasta el servidor de la página web por medio de cables y servidores intermedios. Si la dirección de la web incluye HTTPS, esto quiere decir que estos datos viajan cifrados, pero no todas las webs HTTPS tienen una implementación segura.
Con todo esto, hay que decir que usar HTTPS, no es suficiente para garantizar la total seguridad de nuestras conexiones, la página debe también implementar ciertas medidas para asegurarse que las conexiones a su web siempre se realizan mediante este protocolo, de acuerdo con la iniciativa vallisoletana.
Según Mozilla Observatory detalla cuando cualquier usuario introduce una URL para su análisis, hay diversos parámetros que hay que tener en cuenta. Por ejemplo, se mira que las cookies tengan el "secure flag"; deben incluir el Content Security Policy (CSP); o que la web no redireccione al usuario a terceras páginas sin protocolo HTTPS, entre otros asuntos.
Ver 1 comentarios