El 97% de las webs institucionales españolas no son seguras y 12 ministerios tienen la peor puntuación en cuanto a seguridad

En 2020 se produjeron unos 40.000 ciberataques diarios en España, un 125% más que el año anterior, tanto en el ámbito público como en el privado, según la empresa de ciberseguridad Datos101, que considera a nuestro país como el tercero del mundo más atractivo para los delincuentes informáticos.

En marzo, la web del Servicio Público de Empleo Estatal (SEPE) caía fruto de un ataque con ransomware y al mes siguiente varios ministerios españoles, como Educación y FP o Asuntos Económicos, sufrieron una oleada de ciberataques. 

El INE o el Consejo de Seguridad Nuclear tampoco se han librado de las acciones de los ciberdelincuentes en los últimos meses, en los que se ha producido un nuevo ataque al SEPE que ha obligado al organismo a invertir más de 400.000 euros para reforzar su seguridad.

Estados Unidos, la Unión Europea y la OTAN acusan a China de ciberataques globales, incluyendo el sufrido por Microsoft que comprometió a más de 20.000 empresas

Estos hechos por sí solos ya nos indicarían que España tiene un grave problema de seguridad en el mundo de internet, pero una organización aporta cifras aún más alarmantes.

Se trata del proyecto Observatorio de Seguridad Web, promovido por la comunidad PucelaBits. Bajo el hashtag #websegura, sus promotores llevan desde enero de este año reclamando a las instituciones españolas que protejan sus páginas web.

Además, han elaborado varios rankings en función de distintos parámetros en los que analizan el grado de protección que tienen estos sites ante los ataques. Las conclusiones que se extraen de su análisis son para echarse a temblar.

De un total de 772 páginas web de instituciones españolas analizadas, apenas 20 tienen una nota que indica que son seguras, el 3%. En cambio, hay 43 webs sin ningún tipo de protección y 12 ministerios obtienen la peor puntuación. 

El Observatorio de Seguridad Web califica las páginas con puntuaciones que van de A+ a F-, siendo la primera la máxima puntuación y la segunda la de menor seguridad, dentro de las que tienen algún tipo de medidas de protección. 

Para las que no cuentan con ningún protocolo de seguridad, la organización coloca un icono que simboliza la muerte y las incluye en el "hall de la vergüenza". La organización precisa que si las webs no están catalogadas con una A o una B la privacidad de sus usuarios está en riesgo.

La infrautilizada Radarcovid, la más segura

La disparidad autonómica en cuanto a su implantación ha provocado que la app Radarcovid, destinada a detectar contagios de coronavirus no haya sido efectiva en la lucha contra la pandemia. 

Se estima que en algunas regiones su uso por parte de los ciudadanos que han dado positivo en el SARS-CoV-2 no se ha acercado ni al 1%. Además, el Gobierno se enfrenta a posibles sanciones porque incumpliría el Reglamento General de Protección de Datos.

Sin embargo, la página web de la app es la más segura de entre las casi 800 analizadas por el equipo de PucelaBits y la única que obtiene una puntuación de A+.

Los criminales se aprovechan del teletrabajo: los ciberataques a protocolos de escritorio en remoto se dispararon un 242%, según Telefónica Tech

Otras webs institucionales con un gran número de visitas, como la de la Policía Nacional, la del Ayuntamiento de Madrid, la del Congreso de los Diputados o la de la Agencia Tributaria obtienen buenas notas y la calificación de "sitio seguro". 

El Instituto Nacional de Ciberseguridad (INCIBE) también entra dentro de este ranking, aunque en el undécimo lugar.

Nota Sitio web

1. A+ radarcovid.gob.es
2. B+ institucional.cadiz.es
3. B+ policia.es
4. B cjcanarias.es
5. B saludcastillayleon.es
6. B ayto-castrillon.es
7. B madrid.es
8. B uva.es
9. B congreso.es
10. B agenciatributaria.es
11. B incibe.es
12. B insst.es
13. B asturias.es
14. B trabajastur.asturias.es
15. B ua.es
16. B bibliotecas.madrid.es
17. B um.es
18. B ccn-cert.cni.es
19. B osi.es
20. B tcu.es

La web del Parlamento de Andalucía obtiene la peor nota

Y si hay una cara, también hay una cruz. Dentro de los 43 sitios web que no tienen ninguna protección, se encuentran instituciones como el Parlamento de Andalucía y algunas otras webs de autonomías como Canarias o Castilla-La Mancha.

Estas son las webs institucionales que componen el "hall de la vergüenza" del Observatorio de Seguridad Web:

Nota Sitio web

1. ☠️ parlamentodeandalucia.es  
2. ☠️ consultivodecanarias.org
3. ☠️ turismocastillalamancha.es  
4. ☠️ empleoyformacion.jccm.es  
5. ☠️ upv.es  
6. ☠️ innoavi.es  
7. ☠️ crtvg.es  
8. ☠️ museobbaa.com  
9. ☠️ museodeloro.es  
10. ☠️ museodelaescuelarural.com  
11. ☠️ laboralcentrodearte.org  
12. ☠️ caib.es  
13. ☠️ uib.es  
14. ☠️ cbe.es  
15. ☠️ selva.cat  
16. ☠️ azuqueca.es  
17. ☠️ ingenio.es  
18. ☠️ concellodelugo.gal  
19. ☠️ concellomondonedo.es  
20. ☠️ mambiente.madrid.es
21. ☠️ murcia.es  
22. ☠️ olite.es
23. ☠️ cendeadegalar.es
24. ☠️ ansoain.es  
25. ☠️ berriozar.es
26. ☠️ burlada.es  
27. ☠️ tudela.es  
28. ☠️ tafalla.es  
29. ☠️ duenas.es  
30. ☠️ aguilardecampoo.es  
31. ☠️ teatroderojas.es  
32. ☠️ festesdevalencia.org  
33. ☠️ teatreelmusical.es  
34. ☠️ comercvlc.es  
35. ☠️ feriavalencia.com  
36. ☠️ lacanalturismo.com  
37. ☠️ fauraweb.net  
38. ☠️ consorciovalenciainterior.es  
39. ☠️ auvasa.es  
40. ☠️ aquavall.es  
41. ☠️ spain.info  
42. ☠️ uimp.es  
43. ☠️ intef.es

Más allá de estas 43 páginas, hay muchas otras que cuentan con webs muy inseguras, aunque tengan ciertas medidas de seguridad. Dentro de este grupo, catalogado con la nota F, se encuentran las páginas de algunas de las instituciones más importantes del Estado. 

La web de la sede del CNI, la del INE, la del Consejo General del Poder Judicial, la del Consejo de Estado, la del SEPE, la del Senado, la de la Junta Electoral Central, la de la Guardia Civil e incluso la de la Casa Real o la de Red.es están incluidas dentro de las que la organización califica como muy inseguras.

Con mejor nota, C, se encuentra la página principal del Centro Nacional de Inteligencia (no la citada de su sede), de la que el Observatorio de Seguridad Web indica que "el sitio podría mejorar su seguridad".

De 18 ministerios analizados, 12 tienen webs muy inseguras

Destaca también la poca seguridad que ofrecen las webs de muchos de los ministerios. De hecho, solamente la del Ministerio de Presidencia, Relaciones con las Cortes y Memoria Democrática está considerada como completamente segura, con una nota de B-.

Oleada de ciberataques a altas instituciones del Gobierno: las páginas del INE y varios ministerios, caídas durante horas

Tras este hay varios que deberían mejorar su seguridad (Inclusión, Seguridad Social y Migraciones; Trabajo y Economía Social; Igualdad; Defensa y Justicia) y una amplia mayoría que tienen sites muy inseguros, catalogados con la letra F. Aquí el listado completo:

Nota Sitio web

1. B- mpr.gob.es  
2. C inclusion.gob.es  
3. C mites.gob.es  
4. C- igualdad.gob.es  
5. D- defensa.gob.es  
6. D- mjusticia.gob.es  
7. F mscbs.gob.es  
8. F ciencia.gob.es  
9. F mapa.gob.es  
10. F miteco.gob.es  
11. F hacienda.gob.es  
12. F interior.gob.es  
13. F culturaydeporte.gob.es  
14. F mineco.gob.es  
15. F exteriores.gob.es  
16. F mitma.gob.es  
17. F educacionyfp.gob.es  
18. F mptfp.gob.es

Las webs que no tienen una A o B están expuestas a numerosos ataques

El Observatorio de Seguridad Web utiliza el servicio Mozilla Observatory para mostrar los análisis y la nota que les da esta herramienta externa a las webs de las entidades públicas españolas. 

Según sus parámetros, no basta con tener una "conexión segura (HTTPS)", sino que deben implementar otras medidas de protección para impedir el robo de datos, incluso por parte de personas sin conocimientos tecnológicos avanzados.

Si no las implementan, las webs se exponen a que un actor malicioso aplique algunos ataques, como la redirección a una web no segura, la carga de recursos no seguros, la carga de códigos maliciosos de terceros o ataques externos.