Las webs del Ministerio del Interior, la Guardia Civil, la Casa del Rey y el Servicio Público de Empleo Estatal (SEPE) siguen figurando entre las más vulnerables a sufrir ataques externos y no superan el examen de seguridad. El listado de sitios inseguros incluye otros departamentos ministeriales e instituciones públicas, como el Senado y el Tribunal Constitucional.

El Observatorio Websegura, desarrollado por Pucelabits y operativo desde principios de año, monitoriza en la actualidad 777 sitios públicos a través del escáner online de Mozilla para conocer si protegen la privacidad y seguridad del usuario. Salvo honrosas excepciones, los resultados son decepcionantes: sólo 25 (el 3,2 %) consigue una nota que les acredita como páginas verdaderamente seguras.

Sorprende que en la relación figuren organismos que se encargan de la seguridad pública, caso del Ministerio del Interior y de la Guardia Civil. Sus sitios en internet sólo pasaron cinco y seis -respectivamente- de las 12 comprobaciones que realiza la herramienta, obteniendo ambos una puntuación de cero y una nota ‘F’ (la más baja). No es la conclusión que se obtiene cuando se pasa la lupa a la web de la Policía Nacional, que ha mejorado progresivamente su seguridad hasta obtener 80 puntos (B+).

Nota obtenida por las webs de diversos organismos públicos en el examen de seguridad. La ‘F’ es la más baja.

«La puntuación es el resultado de sumar las configuraciones que implementan de forma segura en su servidor. Este número se transforma luego en una letra para una comprensión más fácil. Si una web no tiene al menos una ‘A’ o ‘B’, un actor malicioso podría aplicar algún ataque», explican a este diario desde Websegura.

La monitorización de 777 webs públicas arroja un dato decepcionante: tan sólo 25 son seguros para el internauta

El análisis pone de manifiesto que los sitios oficiales de Interior, la Guardia Civil y el Centro Nacional de Inteligencia (CNI) -entre otros muchos- son vulnerables a suplantación tanto de identidad como de dominio. Según resalta Pucelabits, ello quiere decir que cualquier ciudadano podría recibir un correo electrónico de alguien que aparente pertenecer a la organización en cuestión sin ser detectado o que pueda ser redirigido a una página con la misma apariencia que la que desea visitar pero que en realidad es «una versión ‘clonada’ por un actor malicioso para robar sus datos u ofrecerle información falsa».

Fuera del ámbito de la seguridad ciudadana, entre las webs menos seguras -según esta herramienta- se encuentran las del Ministerio de Trabajo y Economía Social y del Servicio Público de Empleo Estatal (SEPE), dos de los organismos que han sufrido durante 2021 virulentos ataques informáticos. Estas acciones han alterado de forma significativa su operativa, especialmente en el caso de la entidad que se encarga de gestionar las políticas de empleo y las prestaciones por desempleo.

El sabotaje mediante ransomware (secuestro de datos) que sufrió el pasado 9 de junio al departamento que dirige Yolanda Díaz ha obligado a gastar al menos 2,1 millones de euros en la contratación por el trámite de emergencia de diversos servicios de auditoría y protección para reforzar la seguridad de sus sistemas. Meses después de la acción de los piratas informáticos aún se seguía resintiendo el funcionamiento.

Otros siete ministerios suspenden

Junto con Interior, al menos otros siete ministerios no alcanzan una nota que acredite la seguridad de sus webs. En concreto, se trata de Asuntos Económicos y Transformación Digital; Asuntos Exteriores, Unión Europea y Cooperación; Política Territorial; Transición Ecológica y el Reto Demográfico; Hacienda; Agricultura, Pesca y Alimentación, y Cultura y Deporte. En los cuatro primeros casos, la puntuación obtenida es de cero puntos.

«Ya no nos sorprende nada. Llevamos desde enero avisando activamente a todas las webs y muy pocas han hecho algo. En general hay cero transparencia y cero depuración de responsabilidades», explican resignadas fuentes de Pucelabits. Los promotores invitan a los ciudadanos a contactar con el organismo correspondiente para obligarles a que mejoren sus niveles de seguridad.

Entre los organismos e instituciones que sí pasan el examen se encuentran los ministerios de Presidencia e Igualdad, la Agencia Tributaria, el Instituto Nacional de Ciberseguridad (INCIBE), la Agencia Española de Protección de Datos (AEPD), el Tribunal de Cuentas, el Instituto Nacional de Seguridad y Salud en el Trabajo, el Centro Superior de Investigaciones Científicas y la Comisión Nacional de los Mercados y Competencia (CNMC). También la web lamoncloa.gob.es, desde donde se difunde la actividad del Gobierno.