Noticias

Desastre de seguridad en los emails de los servicios públicos

Publicado

en

Que las administraciones públicas tienen un problema muy, muy serio en relación con la ciberseguridad es algo que, a estas alturas, ya no puede ser negado. En los últimos meses hemos vivido episodios muy sonados, como el ataque al SEPE, El Ministerio de Trabajo y Economía Social, el Área Metropolitana de Barcelona… es cierto que vivimos tiempos muy complicados en lo referido a la seguridad, pero también es innegable que estas entidades y organismos no adoptan todas las medidas de seguridad que resultarían recomendables, dejando así abiertas algunas puertas muy peligrosas.

El último ejemplo de ello lo encontramos en la iniciativa #emailseguro del Observatorio de Seguridad Web, una iniciativa del grupo hacktivista PucelaBits, que de manera constante desde hace unos meses supervisa e informa sobre la falta de seguridad en servicios digitales de las administraciones, y que adicionalmente hace un esfuerzo de divulgación para que se entiendan las peligrosas consecuencias de las negligencias en este sentido.

Y los números que revela esta iniciativa son, francamente, para echarse a temblar. Y no, no es una exageración. En concreto, #emailseguro comprueba si los dominios están protegidos frente a la suplantación de identidad, algo particularmente grave, pues de no ser así, un atacante podría hacerse pasar por miembro de dichas instituciones, y su suplantación se vería avalada por el uso de una dirección de correo electrónico oficial.

¿Y qué números son esos tan preocupantes? Pues en la última actualización que podemos ver en la web, el servicio analiza 776 dominios de correo, de los cuales tan solo 16 están protegidos frente a dicha amenaza. Sí, has leído bien, solo 16 de 776 servicios de correo de instituciones públicas, el 2%, no pueden ser explotados por esta vía. Dicho de otra manera, 760 servicios de correo electrónico institucionales pueden ser empleados para realizar una suplantación de identidad.

Para cada servicio analizado, PucelaBits realiza doce pruebas con las que determina el nivel de fiabilidad del mismo, y además ofrece acceso a varios informes:

  • Informe técnico del análisis de la web: Realizado con Mozilla Observatory.
  • Informe técnico del análisis del email: Realizado con Dmarc.
  • Informe técnico de la seguridad del nombre de dominio: Realizado con Verysign Labs.

Además, y dado que hablamos de una evaluación constante, para cada dominio comprobado se conserva un histórico sobre los resultados de todas las pruebas que se han efectuado.

Como llamada a la acción, en la página dedicada a cada entidad es posible publicar, desde nuestra cuenta personal, un tweet citando a la institución afectada, con el fin de incidir en que tomen medidas para asegurar su plataforma de correo, evitando así que pueda ser empleada en ataques basados en la suplantación de identidad.

Y es que no es lo mismo recibir un email en el que la propia dirección del remitente ya levanta sospechas, que otro que supuestamente tiene su origen en una entidad legítima, y que incluso puede llegar a estar avalado por un certificado digital. Esto no es ya un riesgo para las instituciones, sino a todos los ciudadanos que pueden ser engañados debido a este problema.

Lo más leído

Salir de la versión móvil