Alerta 'phishing': solo 1 de 772 correos electrónicos de organismos públicos está protegido contra la suplantación de identidad

Hombre mira preocupado su ordenador
  • El Observatorio de la Seguridad web ha analizado los correos de 772 instituciones y solo uno cuenta con emails seguros.
  • Con un poco de pericia es posible hacerse pasar por Hacienda, la Policía, la Guardia Civil e incluso la Casa Real.
  • "Cualquiera puede bajar herramientas para mandar correos suplantando la identidad de estos dominios", avisan.
  • Descubre más historias en Business Insider España.

De Hacienda a la Casa Real, pasando por la Guardia Civil o la Policía Nacional, solo uno de los correos electrónicos de las instituciones españolas son vulnerables ante la suplantación de identidad o phishing: el del Ayuntamiento de Rafelbuñol, en la provincia de Valencia.

Así lo denuncia el Observatorio de la Seguridad Web, quien hace poco ya denunció la poca o nula seguridad en los protocolos de las páginas web de los organismos públicos, con el preocupante resultado de que el 97% de las mismas no estaban protegidas.

Ahora ha ampliado la información y ha analizado los correos electrónicos de 772 instituciones, con un veredicto igualmente grave: solo uno es seguro frente al phishing, al rechazar los correos que no vienen de sus servidores. 

El Observatorio de la Seguridad Web, impulsado por la organización PucelaBits, utiliza para evaluar estas cuentas de email una herramienta libre llamada Checkdmarc, que lee si los servidores de correo implementan estas configuraciones de seguridad. 

"Si no lo hacen, cualquiera puede bajar herramientas para mandar correos suplantando la identidad de estos dominios, y no podría detectarse", apuntan.

Los ejemplos de instituciones con correos que no cuentan con seguridad son múltiples, aunque llaman la atención, más allá de los citados, algunos como Datos Abiertos del Gobierno de España, la del Centro Nacional de Inteligencia, o el Ministerio de Defensa.

También algunos de instituciones con las que la ciudadanía interactúa de manera más frecuente, como el SEPE o Correos. La lista es enorme y puedes consultarla aquí.

El 97% de las webs institucionales españolas no son seguras y 12 ministerios tienen la peor puntuación en cuanto a seguridad

Preguntado por si cree que en el ámbito político existe una concienciación sobre el problema de la poca seguridad de webs y correos institucionales, Rubén Martín, uno de los responsables del Observatorio de Seguridad Web, se muestra rotundo: "No creo que exista concienciación alguna, ya que si no la mayoría de las webs usarían configuraciones seguras".

"Como en muchas otras cosas, hay una versión muy cortoplacista de los servicios online y no se preocupan de ellos de forma proactiva, solo cuando se rompe algo y ya es demasiado tarde", añade en declaraciones realizadas a Business Insider España.

Para este experto, el problema de seguridad de estas instituciones depende del uso que tengan sus páginas webs. 

Para él, las más peligrosas son "cualquiera que se requiere para hacer trámites online con la administración: Hacienda, Empleo, Sanidad de las comunidades autónomas, portales del ciudadano de ayuntamientos, incluso en webs que tienes que hacer pagos de tributos".

Martín, que fue desarrollador para Mozilla, trabaja actualmente como Líder de estrategia y estudios comunitarios en el Equipo Humanitario de OpenStreetMap, no cree que se pueda concluir que los datos de los españoles no estén a salvo.

"Esa es una afirmación muy categórica que no me atrevería a hacer sin una auditoria en profundidad de todos los sistemas, pero sí que nuestros datos están potencialmente en peligro si las webs institucionales no invierten más en mejorar su seguridad de una forma más proactiva", señala.

De hecho, España ya es el tercer objetivo más atractivo para los ciberdelincuentes que se dedican a la estafa, el engaño y el fraude. Nuestro país solo está por debajo de EEUU y Alemania, según apunta un estudio del centro de formación Ironhack, que analizó una treintena de países. 

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.