Sophos Iberia, junto a Securízame, reputada empresa de proyectos de seguridad informática  y formación, y Abanlex, despacho de abogados especializado en protección de la información, la privacidad y la innovación jurídica, han presentado su segundo estudio anual “Informe sobre la necesidad legal de cifrar información y datos personales” 2015, cuya principal conclusión es que importantes ayuntamientos de la Región de Murcia no cuentan con suficientes medidas de seguridad y son vulnerables frente a posibles ciberataques.

Vulnerabilidad online de los consistorios murcianos

El estudio analiza el estado actual (Julio de 2015) de una muestra de importantes ayuntamientos de Murcia y evalúa las diferentes medidas de seguridad implementadas en la configuración del cifrado SSL en los servidores en los que los ciudadanos pueden introducir sus datos personales.  

La conclusión principal pone de manifiesto que, pese a cumplir con la normativa vigente, los servidores web de un gran número de ayuntamientos están expuestos a vulnerabilidades dejando en entredicho la seguridad real de los datos personales y poniendo en riesgo información sensible de todos los ciudadanos.

Principales vulnerabilidades online de los ayuntamientos murcianos

• Al menos 2 de los ayuntamientos murcianos analizados soportan una versión muy insegura, la SSLv2, lo que significa que un atacante podría capturar y alterar la información intercambiada entre los usuarios y los servidores web, disminuir la seguridad del cifrado y espiar la comunicación de las víctimas para obtener datos confidenciales.
• 2 consistorios murcianos analizados son vulnerables a un ciberataque POODLE, o lo que es lo mismo, que un ciberdelincuente podría suplantar a usuarios legítimos de la web, pudiendo acceder a sus datos, perfil, información, etc. Si en vez de suplantar a un usuario, consigue suplantar a un administrador de la aplicación, podría tener acceso total al sistema, y por tanto, robar información de múltiples usuarios
• Otros 2 de los ayuntamientos murcianos son vulnerables un ciberataque FREAK, es decir que si ciberdelincuentes tienen éxito en descifrar la comunicación segura, podrían espiar las comunicaciones, infectar ordenadores con software malicioso u obtener los datos de acceso de usuarios, para luego poder proceder al robo de sus datos.

Actualmente aún existe una gran diferencia entre cumplir una ley y contar con un operativo de seguridad que realmente sea seguro y proteja la información sensible de todos los ciudadanos. Desde un punto de vista puramente legal es posible decir que casi todos los Ayuntamientos cumplen con la normativa. Sin embargo, la seguridad es un ecosistema que cambia rápidamente y que ha dejado atrás la legislación vigente”, señala Pablo Teijeira, Director General de Sophos Iberia.

Sin embargo, existen diferentes soluciones que mitigarían estos riesgos existentes para los ciudadanos y para las instituciones. Una alternativa sencilla y que no implica modificar o parar la operativa, sería apoyarse en fabricantes de seguridad que ofrezcan un acceso seguro a las aplicaciones que no necesitan ser modificadas o actualizadas. Y una última solución es el cifrado de los ficheros que contengan datos personales, protegiendo la información ante un robo físico de los dispositivos que contienen los datos. “Una política de protección de datos basada en cifrado puede desplegarse en apenas unas horas, permitiendo a las AAPP mejorar la confianza de los ciudadanos y ahorrarse posibles multas de la Unión Europea”, concluye Teijeira.

Necesidad legal del cifrado en España

Además de analizar la seguridad de los Ayuntamientos, el informe tiene como objetivo desmitificar el proceso de cifrado de datos, aclarar las obligaciones legales y requisitos que esto conlleva en España, así como abordar las necesidades y beneficios para instituciones y empresas de contar con políticas de cifrado legales, accesibles y fáciles de implementar.

El cifrado siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Si bien, un número elevado de sujetos sí que están obligados a cifrar por las ventajas que conlleva en materia de seguridad y confidencialidad. En el resto de casos, cifrar es de utilidad extraordinaria ya que refuerza la seguridad, genera confianza y evita situaciones comprometidas en los tribunales.

"En el reciente Caso Facebook, Europa ha declarado que alojar datos en Estados Unidos supone la aceptación de que el gobierno de aquel país pueda acceder a ellos, copiarlos, almacenarlos indefinidamente y analizarlos, sin informar a las empresas europeas afectadas. ¿Y si los datos estuvieran perfectamente cifrados? Cuando nos acogemos a alguna excepción que nos permita sacar información de Europa, si ciframos el contenido obtenemos una seguridad de inviolabilidad, de la que otras empresas carecen. Tanto dentro de nuestro territorio como fuera, cifrar los datos a veces es obligatorio por ley y otras veces se convierte en una necesidad lógica para garantizar la seguridad a nuestros clientes y la economía de nuestra empresa", apunta Pablo Fernández Burgueño, Abogado y Socio de Abanlex.