Las webs de Interior y del Centro de Ciberseguridad no cumplen con la protección básica

Las páginas web del Ministerio del Interior y del Centro Nacional de Protección de Infraestructuras de Ciberseguridad (CNPIC) no poseen el certificado se seguridad Secure Sockets Layer (SSL), que debe ser implementado por los propietarios de los sitios de Internet.

Se trata de un sistema de protección considerado como básico en el sector de la ciberseguridad. Su ausencia otorga a la página el estatus público "No seguro", algo que puede verse junto a la dirección de la web. Las que sí incluyen SSL muestran un pequeño candado que identifica el sitio como seguro.

Otras páginas como las de Moncloa, El Ministerio de Transición Ecológica, Consumo, Cultura, Deporte o Economía -por citar algunas- sí disponen de certificado SSL.

La ciberseguridad institucional fue precisamente comprometida ayer en nuestro país. La página del Congreso de los Diputados sufrió un ciberataque de denegación de servicio (DDoS) que fue adelantado por Vozpópuli . El incidente impidió momentáneamente el acceso al contenido de la misma. Este tipo de ciberataques se realizan preferentemente desde servidores ubicados en suelo ruso. Las leyes del país de Vladimir Putin otorgan un mayor anonimato a quienes contratan estos servidores.

Fuentes consultadas por este diario explican que, en el caso de la web del Ministerio del Interior, el riesgo derivado de carecer de certificado es bajo porque "no parece que cuente con sistemas de compartición de información entre el usuario y la web, como pudieran ser formularios a rellenar".

Los riesgos para Interior

SSL es un protocolo de seguridad que permite que los datos del usuario de Internet se mantengan seguros cuando realiza conexiones a la página en cuestión. En esas conexiones, muchas veces, manejan información del usuario, como por ejemplo la que facilita al rellenar formularios (nombre, dirección, número de teléfono...). Estos datos están encriptados cuando se lanzan a una web con SSL. Están protegidos con claves. Sin este certificado, la información puede ser accesible a terceros con mayor facilidad.

"Las webs citadas [en referencia a la del Ministerio del Interior y a la del CNPIC] no cumplen un requisito básico de ciberseguridad como es el cifrado del protocolo web. Si el contenido de la páginas web es estático y público, el riesgo es muy limitado. Cuánto más contenido interactivo y/o privado o confidencial, mayor es el riesgo en el que incurren estos sitios", explica David Sancho, jefe de investigación de la empresa de ciberseguridad estadounidense-japonesa Trend Micro.

Las páginas web que no poseen certificado de seguridad SSL son mucho más fáciles de suplantar, es algo más trivial para los ciberdelincuentes. Esto es un problema para el usuario. Con SSL se minimiza la superficie de ataque, se dificulta que se produzcan incidentes de ciberseguridad" Eusebio Nieva, director técnico de Check Point para España y Portugal

Página web del Ministerio del Interior. A la izquierda de la dirección de la misma se puede leer el mensaje 'No seguro', en referencia al sitio:

Página web del Centro Nacional de Protección de Infraestructuras de Ciberseguridad. A la izquierda de la dirección del sitio se puede leer el mensaje 'No seguro', en referencia al sitio:

"Las páginas web que no poseen certificado de seguridad SSL son mucho más fáciles de suplantar, es algo más trivial para los ciberdelincuentes. Esto es un problema para el usuario. Con SSL se minimiza la superficie de ataque, se dificulta que se produzcan incidentes de ciberseguridad", explica Eusebio Nieva, director técnico de Check Point para España y Portugal.

Otras fuentes del sector de la ciberseguridad aseguran que "estando en 2022 no hay excusa para implementar SSL. Cualquier persona que esté entre la persona que se conecta y el servidor puede redireccionar y realizar un ataque para acceder el contenido. Es absurdo". En resumen, la incorporación del certificado SSL en las webs de Interior y el CNPIC aportaría un mayor nivel de seguridad.