MENÚ
Cuando navegamos por internet, ya sea para consultar las noticias, por ocio o para realizar alguna gestión, lo solemos hacer a través de nuestro navegador. Es el encargado de mostrarnos las páginas web y de gestionar nuestra conexión a ellas, por lo que nos puede mostrar información y advertencias técnicas sobre nuestra visita a la web. Sobre estos avisos nos habéis preguntado esta semana: concretamente los de algunas páginas institucionales, como la del Ministerio del Interior o la del Ministerio de Asuntos Exteriores, ya que nuestro navegador nos dice que “la conexión no es segura”. ¿Qué significa esto y a qué se refiere con esa notificación?
Ese pequeño aviso significa que el contenido que muestra la página y los datos que tú rellenes en ella (como tu correo electrónico o tu contraseña) no están cifrados. Por tanto, cualquier persona que esté conectada a tu red, pero también tu proveedor de internet o un ciberdelincuente, podría acceder a ellos, tal y como hemos explicado en otras ocasiones en Maldita.es.
¿Cómo sabemos si una página web cifra las comunicaciones que hacemos? Por ejemplo, cuando incluimos algún dato en ella para realizar un trámite. Normalmente, porque la dirección web que vemos en la barra superior del navegador empieza con las iniciales HTTPS, que indican que la conexión está cifrada entre el cliente y el servidor y no son tan fácilmente accesibles.
Sólo "un 3% de las páginas institucionales" tienen una configuración mínima para evitar ciertos ataques
Recientemente, la comunidad informática PucelaBits puso en marcha el proyecto #websegura, en el que analizan el grado de seguridad implementado por páginas web institucionales de España. Para ello, han empleado el servicio de análisis Mozilla Observatory, que califica de más (A+) a menos (F) las medidas de protección que posee una web. “Si la página no tiene una nota A o B, se considera una implementación deficiente y deben mejorarla”, explica a Maldita.es Rubén Martín, integrante del proyecto.
Martín asegura que de las 776 páginas institucionales analizadas, “sólo un 3% implementa la configuración mínima para evitar la mayoría de problemas y ataques más básicos”. “Esto no es aceptable”, continúa.
Que una página web cifre sus conexiones es un componente de seguridad muy habitual a día de hoy y cada vez más sitios lo incluyen, pero tampoco es una garantía de que la web vaya a ser cien por cien segura. También hay que garantizar, por ejemplo, que nunca se pueda acceder a la web con una conexión insegura a través de HTTP, o que, aunque la página utilice HTTPS, no muestre imágenes y otros contenidos sin cifrar. Este es el caso de la web del Ministerio de Industria, Comercio y Turismo.
“Tras la campaña impulsada por #websegura, algunas instituciones (como la Policía Nacional o Hacienda) se han puesto a trabajar y sus páginas han subido a una nota B”, comentan desde PucelaBits. No obstante, reclaman que todavía quedan muchas webs que no han implementado las mejoras de seguridad necesarias.
Falta de unanimidad en torno a quién debe garantizar que la conexión sea segura
En Maldita.es hemos preguntado a algunos de los ministerios que aparecen en la lista de webs analizadas por PucelaBits. Desde el Ministerio del Interior afirman ser “conscientes” de que su página web no cifra sus conexiones: “Los departamentos de sistemas y de desarrollo del ministerio han estado trabajando con nuestro gestor de contenidos para proporcionar un servicio HTTPS en los diferentes subdominios y aplicaciones web que recaen bajo el dominio interior.gob.es, que esperamos que vaya siendo visible para los ciudadanos y ciudadanas a corto plazo”.
Adaptar una página institucional a estos protocolos no es sencillo, como nos recuerda Marc Almeida, analista técnico: “No es fácil, no es simplemente dar un chasquido de dedos y ya: hay que dar el certificado de alta pero, sobre todo, adaptar los diferentes servicios que dependen de la web (muchos hechos a medida y por terceros en un momento concreto) y que algunos puedan no ser compatibles con este tipo de estándares de seguridad”.
Para que haya una conexión segura, un organismo autorizado tiene que expedir un certificado que la garantice, lo que se conoce como “certificado SSL/TLS” (del que te hablamos en este otro consultorio). En este sentido, tampoco hay unanimidad ministerial en torno a quién garantiza las conexiones seguras. Si bien la mayoría de certificados (el que garantiza la autenticidad de la web y de la conexión) los expide la Fábrica Nacional de Moneda y Timbre (FNMT), otros cinco ministerios los obtienen de otras firmas internacionales como GlobalSign o DigiCert.
