Información sobre vivienda y economía

El 90% de los ayuntamientos pone en riesgo los datos personales de sus ciudadanos

Gtres
Gtres

Las Administraciones locales españolas tienen un riesgo muy elevado de sufrir el robo de los datos personales de sus ciudadanos. Al menos, eso es lo que deja entrever el estudio que han realizado la empresa de software Sophos Iberia, la firma de seguridad Securízame y el despacho de abogados especializado Abanlex.

La principal conclusión de su análisis resulta alarmante incluso para los expertos: nueve de cada diez grandes ayuntamientos de nuestro país no cuentan con las medidas de seguridad suficientes como para salir airosos de un ciberataque.

“Muchos de ellos utilizan protocolos de seguridad que tienen una antigüedad de siete años, mientras que otros son sensibles a vulnerabilidades muy comunes en el mercado. Por tanto, no hablamos de que puedan sufrir ataques informáticos sofisticados, sino que ni siquiera toman algunas de las medidas más básicas”, sostiene Pablo Teijeira, Director General de Sophos Iberia.

El escenario no es baladí, sobre todo si tenemos en cuenta que el examen que han realizado las tres compañías lo han suspendido la mayoría de los 77 ayuntamientos analizados, entre los que se incluyen los consistorios de casi todas las capitales de provincia y las urbes que tienen más de 100.000 habitantes. Hablamos, por tanto, de los principales ayuntamientos del país.

Tampoco podemos menospreciar sus consecuencias: el robo de datos personales de los ciudadanos y la imposición de cuantiosas multas para el ayuntamiento.

“No hemos analizado las cabeceras de los ayuntamientos, sino las webs de administración electrónica, lo que significa que un cibercriminal podría conseguir información muy sensible. Dependiendo del trámite que realice el ciudadano puede tener que dar su DNI, su domicilio o incluso su número de cuenta bancaria… y esos son los datos vulnerables”, añade el experto.

En el caso hipotético de que uno de estos ayuntamientos ‘poco seguros’ sufriera un ataque, tendría que poner en conocimiento a la Agencia Española de Protección de Datos (AEPD) y ésta, comprobar si el consistorio ha llevado a cabo el protocolo necesario como para evitar que el cibercriminal accediera a toda esa información sensible.

“Según nuestro estudio, la mayoría de los ayuntamientos serían amonestados si un ciberdelincuente decidiera atacar. Las multas suelen oscilar entre los 100.000 y los 600.000 euros, dependiendo de su gravedad y del número de afectados”, señala Teijeira.

Para los expertos, el resultado del estudio pone de relieve la necesidad de cambiar la legislación vigente y cuyo principal requisito es que los organismos (y las empresas) tengan implantada una tecnología que evite que la comunicación con el ciudadano sea transparente; es decir, que sea accesible para cualquiera.  

“El problema no es que no cifren las comunicaciones, que sí lo hacen, sino que se olvidan de tomar medidas como encriptar los ficheros, que es donde un hacker experimentado puede hacer más daño al acceder a la información sensible. Por eso, los ayuntamientos analizados, aunque sí cumplen con la normativa vigente, están expuestos a vulnerabilidades, dejan en entredicho la seguridad real de los datos personales y ponen en riesgo información sensible de todos los ciudadanos”, aclara.

La buena noticia es que Europa va a unificar próximamente todas las legislaciones nacionales, lo que, según los expertos, mejorará el grado de seguridad en la administración electrónica. Las previsiones apuntan a que la nueva normativa comunitaria entrará en vigor antes de que acabe el año y que será más severa con aquellos organismos que no se impliquen en la protección de los datos. Sus multas pueden ascender a 100 millones de euros en los casos más extremos.

Por qué no se toman medidas y qué solución hay

Desde Sophos aseguran que el desconocimiento en materia de seguridad de los ayuntamientos, la escasez de personal dedicado a esta área o el miedo a actualizar los servidores por si el proceso interrumpe el servicio a los ciudadanos son algunos de los motivos que explican esta seguridad de baja calidad de los ayuntamientos.

¿Qué hacer entonces? Los expertos recuerdan que se pueden tomar varias medidas para minimizar el impacto de un ciberataque y proteger todo lo posible los datos que manejan los organismos públicos.

“Sirve de ayuda actualizar los servidores, contar con una especie de máquina que se llama 'Proxy Reverse' que hace de intermediario entre el servidor del ayuntamiento y el ciudadano, de manera que sería ésta la que recibiría el ataque y no el consistorio. Pero si hay una fórmula eficaz ésa es la de cifrar los ficheros, que impediría al ciberdelincuente acceder a los datos porque solo conseguiría un archivo ilegible. La regulación europea, de hecho, ni siquiera obliga a notificar el robo de un fichero encriptado, porque entiende que nadie puede acceder a su información”, argumenta el director general de Sophos Iberia.

En este sentido, Pablo Fernández Burgueño, abogado y socio de Abanlex recuerda que “si ciframos el contenido obtenemos una seguridad de inviolabilidad. Tanto dentro de nuestro territorio como fuera, cifrar los datos a veces es obligatorio por ley y otras veces se convierte en una necesidad lógica para garantizar la seguridad a nuestros clientes y la economía de nuestra empresa".

Algunos ejemplos recientes parecen dar la razón a la teoría de estos expertos. En verano de 2014, sin ir más lejos, un pirata informático atacó la web del Banco Central Europeo y robó 20.000 direcciones de correo, precisamente lo que no estaba encriptado. En España, en cambio, hasta el Senado ha sido objetivo de un ciberataque: el día en el que se estrenaba la nueva web de la Cámara Alta, un hacker la bloqueó, inhabilitando sus servicios.

Y es que los expertos insisten en que el cibercrimen es mucho más común de lo que la sociedad cree. “La gente no se lo imagina, pero este negocio genera en el mundo más dinero que el tráfico de drogas. No estamos hablando de cuatro frikis con un ordenador, sino de un entramado que funciona y consigue sus objetivos”, concluye Teijeira.

Ver más noticias de: 
CiberdelincuentesVirus informatico