Las web de Ayuntamiento y Diputación suspenden el examen más básico de seguridad

Las web institucionales de Ayuntamiento y Diputación de Salamanca son 'totalmente inseguras' y no mantienen a salvo los datos personales que recogen; la del Consistorio costó 475.000 euros. El problema, la falta de actualización e inversión en certificados desde que fueron puestas en marcha.

'Totalmente inseguras'. Esta es la calificación que reciben las dos web más importantes de las instituciones salmantinas, las del Ayuntamiento y la Diputación, que suspenden sin paliativos un sencillo test sobre el nivel de seguridad con el que tratan los datos personales que en ellas se confían. Y eso a pesar del elevado coste de la primera y de que ambas instituciones cuentan con departamentos dedicados a la gestión informática.

 

Esta es la conclusión del estudio realizado por las firmas de seguridad informática Sophos y Securízame, publicado por Expansión, junto al bufete de abogados Abanlex, y que analizó las páginas web de 77 ayuntamientos de capital de provincia en España. Para evaluarlas, se analizaron exclusivamente en un aspecto muy concreto: analizar la seguridad de su cifrado SSL y TLS. Son los protocolos que cifran las comunicaciones entre los usuarios de la web y las instituciones y también los que sirven para usar los certificados digitales tan comunes en las web actuales.

 

Para averiguarlo, el estudio utilizó una herramienta pública y gratuita de auditoría de los protocolos SSL y TLS que puntúa de la A (muy seguro) a la F (completamente inseguro) el cifrado en las páginas web. La redacción de TRIBUNA ha hecho los correspondiente estudios utilizando la citada herramienta y el resultado es el que se observa en los siguientes pantallazos:

 

 

 

En letras bien grandes aparece la calificación que obtienen ambas, F, es decir, completamente inseguro. Se especifica que el problema es que las dos utilizan SSL 2, una versión completamente obsoleta de los protocolos de seguridad y que se considera muy insegura

 

El 90% de las webs de estos 77 ayuntamientos presenta vulnerabilidades en la forma en la que protegen los datos de sus ciudadanos. Un 40% utiliza SSL 2, una versión completamente obsoleta de este protocolo, y otro 40% de los ayuntamientos analizados son vulnerables a ataques en los que se puede suplantar a un usuario legítimo para robar sus datos. Un resultado muy negativo para dos páginas, las de Ayuntamiento y Diputación, que costaron mucho dinero, aunque en el origen de los problemas de seguridad que presentan está también el modelo de contratación que se usó.

 

 

MEDIO MILLÓN DE EUROS

 

La renovación de la web municipal data de enero de 2012 y costó 475.000 euros. Sin embargo, pronto cosechó críticas de la oposición porque su aspecto era muy básico para lo que ya se estilaba entonces. La actual sede electrónica de la Diputación, no la web, se renovó poco después, en mayo de 2012, con un presupuesto de licitación de algo más de 58.000 euros. Una diferencia que pone en entredicho la inversión hecha por el Consistorio.

 

En el origen de esta mala calificación está, según los expertos consultados, un problema sencillo: la falta de presupuesto. La puesta en marcha de una web con más servicios de cara a los ciudadanos no supone solo el gasto de diseño y alojamiento, sino también un mantenimiento y, de manera especial, contar con las actualizaciones de seguridad necesarias. Las entidades que certifican la seguridad de los sitios reclaman un coste por sus servicios, y si no se asume se carece de una actualización adecuada.

 

Lanzada en 2012, la web del Ayuntamiento no habría contado, según el análisis hecho por expertos, con la renovación adecuada de sus certificados de seguridad y el análisis de sus debilidades por falta de presupuesto. Lo más probable, que los controles que pasaron en su día, cuando fueron entregadas, no se hayan seguido poniendo al día. Eso a pesar de que el Consistorio ha contado con una concejalía de Nuevas Tecnologías (ahora eliminada como tal). Y otro tanto pasaría con la de la Diputación si el Centro Informático Provincial (CIPSA) no ha hecho las actualizaciones.