Un nuevo proyecto ha confirmado que la seguridad de las webs públicas en España es muy deficiente, algo que tampoco resulta sorprendente si pensamos en lo complejas y propensas a errores que son las gestiones electrónicas con las diversas administraciones nacionales, autonómicas y locales.
El denominado "Observatorio de seguridad web" no entra a buscar vulnerabilidad o problemas específicos de las páginas web públicas, se limita a comprobar si utilizan un cifrado HTTPS seguro, de manera que la información se transmita sin que sea posible espiarla o alterarla.
El uso de HTTPS es lo mínimo que se debería exigir a una web, aunque en ella no facilitemos información delicada. Desde 2016 que el navegador Chrome marca como inseguras las webs sin HTTPS, y debería estar completamente extendido en pleno 2021.
Pues bien, en España solo estas 5 webs son seguras de acuerdo a este criterio:
- ua.es (Universidad de Alicante).
- bibliotecas.madrid.es (Bibliotecas de la Comunidad de Madrid).
- um.es (Universidad de Murcia).
- incibe.es (Instituto Nacional de Ciberseguridad).
- madrid.es (Comunidad de Madrid).
En total, se monitorizan 475 páginas web, si bien el número irá creciendo con ayuda de la comunidad de usuarios, y faltan muchas de organismos provinciales o locales.
Dado que un sistema automático las revisa de manera periódica, la lista irá variando si se añaden certificados HTTPS seguros, o si estos caducan.
En algunos casos, no se implementa de forma adecuada HTTPS, así que las webs no se consideran del todo seguras, aunque sí disponen de algún tipo de protección. Por ejemplo, policia.es, fnmt.es, citapreviadnie.es o vacunacovid.gob.es se llevan notas de "C" o "D", que no son aprobados, pero tampoco las más deficientes.
En especial, fnmt.es es la web de la Fábrica Nacional de Moneda y Timbre, donde obtener el certificado digital de la FNMT de Persona Física para las gestiones con las administraciones en España. Por lo tanto, el problema afecta a la raíz misma de la seguridad web pública.
Con una nota de "F" (la más baja) tenemos agenciatributaria.es, dgt.es, guardiacivil.es o radarcovid.gob.es. También la polémica web de Renfe obtiene esa nota a nivel de seguridad, si bien las quejas de los usuarios van más bien por el lado de su mal funcionamiento práctico.
Además, existen 35 webs públicas sin ninguna seguridad, que ni siquiera usan HTTPS. No son de organismos muy grandes, destacando algunas como cabildodelapalma.es, mambiente.madrid.es o efe.com.
HTTPS no es solo para el comercio online
En un primer momento, el cifrado en Internet se asociaba a operaciones delicadas, como comprar introduciendo el número de tarjeta de crédito o entrar en la web del banco. Hoy en día, el cifrado HTTPS se considera básico a nivel de privacidad y seguridad, sin importar el objetivo del sitio web.
No solo porque nos puedan espiar, sino que el contenido no cifrado podría ser suplantando por un tercero y utilizado para hackear el equipo, seguir nuestra actividad o cometer todo tipo de fraudes.
El riesgo es mayor cuando utilizamos un WiFi público, pero en general navegar de forma no cifrada supone una ameniza considerable, y las webs públicas deberían dar ejemplo de buenas prácticas.
Desde luego, la seguridad de las páginas web públicas es un tema muy serio, pues en cualquier momento podrían realizarse robos de datos o atacar los equipos de los internautas.
Qué se puede hacer con el certificado digital
Web: Observatorio de seguridad web
- Ver Comentarios