Las páginas web del Ministerio del Interior y del Centro Nacional de Protección de Infraestructuras de Ciberseguridad (CNPIC) no poseen el certificado se seguridad Secure Sockets Layer (SSL), administrado por Google pero que debe ser implementado por los propietarios de los sitios de Internet.

Ciberataque web del Congreso

La ciberseguridad institucional fue precisamente comprometida hace un par de días en nuestro país. La página del Congreso de los Diputados sufrió un ciberataque de denegación de servicio (DDoS). El incidente impidió momentáneamente el acceso al contenido de la misma. Este tipo de ciberataques se realizan preferentemente desde servidores ubicados en suelo ruso. Las leyes del país de Vladimir Putin otorgan un mayor anonimato a quienes contratan estos servidores.

Fuentes consultadas por este diario explican que, en el caso de la web del Ministerio del Interior, el riesgo derivado de carecer de certificado es bajo porque «no parece que cuente con sistemas de compartición de información entre el usuario y la web, como pudieran ser formularios a rellenar».

Los riesgos para Interior

SSL es un protocolo de seguridad que permite que los datos del usuario de Internet se mantengan seguros cuando realiza conexiones a la página en cuestión. En esas conexiones, muchas veces, manejan información del usuario, como por ejemplo la que facilita al rellenar formularios (nombre, dirección, número de teléfono…). Estos datos están encriptados cuando se lanzan a una web con SSL. Están protegidos con claves. Sin este certificado, la información puede ser accesible a terceros con mayor facilidad.

«Las webs citadas [en referencia a la del Ministerio del Interior y a la del CNPIC] no cumplen un requisito básico de ciberseguridad como es el cifrado del protocolo web. Si el contenido de la páginas web es estático y público, el riesgo es muy limitado. Cuánto más contenido interactivo y/o privado o confidencial, mayor es el riesgo en el que incurren estos sitios», explica David Sancho, jefe de investigación de la empresa de ciberseguridad estadounidense-japonesa Trend Micro.

«Las páginas web que no poseen certificado de seguridad SSL son mucho más fáciles de suplantar, es algo más trivial para los ciberdelincuentes. Esto es un problema para el usuario. Con SSL se minimiza la superficie de ataque, se dificulta que se produzcan incidentes de ciberseguridad», explica Eusebio Nieva, director técnico de Check Point para España y Portugal.

Otras fuentes del sector de la ciberseguridad aseguran que «estando en 2022 no hay excusa para implementar SSL. Cualquier persona que esté entre la persona que se conecta y el servidor puede redireccionar y realizar un ataque para acceder el contenido. Es absurdo». En resumen, la incorporación del certificado SSL en las webs de Interior y el CNPIC aportaría un mayor nivel de seguridad.

(Con información de Voz Populi)