El SEPE no es la excepción, sino la regla: el 99% de las webs públicas no aprueban en ciberseguridad
El ataque informático al SEPE, que ha incluído problemas en su web, ha puesto de manifiesto que prácticamente la totalidad de las webs públicas de España no tienen medidas de seguridad. Así lo demuestra un reciente análisis efectuado por el proyecto #websegura.
Websegura es un proyecto surgido de Pucelabits, una entidad de Valladolid creada en enero de este año que se presenta como Cultura libre, ágora hacker, aunque en su web actualmente sólo nos invita a visitar sus redes sociales, entre las que se encuentra el Proyecto #websegura. En ella nos explican que han analizado 755 sitios públicos para saber la privacidad y seguridad de sus usuarios.
El resultado es tan sorprendente como descorazonador: solo 19 sitios tienen una nota segura y 47 no tienen ningún tipo de seguridad. Entre ambos extremos varias opciones de ciberseguridad, que han catalogado de la A a la F, siendo únicamente la A y la B las que dan lugar a un aprobado. Entre las que aprueban se encuentra el sitio de la Moncloa, el del Ministerio de Igualdad y el del Incibe, aunque todos ellos con una B.
La lista de las webs que no aprueban en ciberseguridad es muy larga y afecta a sitios como Renfe, el Senado, la Junta Electoral Central o la Guardia Civil. Por supuesto, el estudio ya había detectado que entre ellas también estaba el SEPE.
Estos resultados empujaron al proyecto #websegura a solicitar a los usuarios que escribieran en Twitter a las diversas instituciones para exigir una mayor seguridad en todas las webs de organismos públicos. Y la realidad es que desde entonces algunas webs, como la del Congreso de los Diputados, la del Tribunal de Cuentas o la de la Agencia Tributaria han mejorado sus medidas de ciberseguridad.
Websegura también permite a los usuarios consultar, por provincias, las webs de servicios públicos.

el grado de seguridad de las webs de servicios públicos.
El análisis a todas estas webs se ha realizado con los parámetros del Observatorio Mozilla, que ofrece la posibilidad de analizar cualquier web.
Precisamente detrás de Pucelabits se encuentra Rubén Martín, un especialista en investigación del equipo de OpenStreetMap humanitario, que había trabajado en Mozilla.
Desde TECNOideas no nos cansamos de deciros que la mayoría de problemas de ciberseguridad que puede tener una empresa se deben a la actuación de algún empleado que abre un archivo infectado, no toma medidas de seguridad, o comete algún error involuntario, etc.
Por ello entre nuestros cursos de formación encontramos cursos de seguridad en la propia empresa, Nos desplazamos a su empresa para ofrecer cursos o píldoras formativas, a trabajadores y directivos, para concienciarlos y proteger los activos y dar a conocer formas seguras de trabajar.
El riesgo cibernético por sectores: salud Parte I
Que la Ciberseguridad es cosa de todos, es algo que debería esta ya bien claro en este 2020, ninguna empresa se salva de ser objetivo de “ataques”, infecciones, timos y demás variantes.
Pero hay sectores, que iremos enumerando en las próximas semanas, que por sus clientes, sus datos o sus proyectos, van a ser objetivo directo de los delincuentes informáticos.

Uno de ellos es el sector médico. Se puso como objetivo el digitalizar este área, desde consultas pequeñas (las pruebas se envían digitalmente y ya no las llevamos ya en papel), o de los hospitales medios y/o grandes, que en este mismo proceso, quieren ahorrar tiempo y materiales.
Ahora ya no solo hay bases de datos de clientes (pacientes) o proveedores, ahora también hay datos de la vida, dolencias, hábitos de salud, tratamientos, operaciones, ADN, identificación dental u ósea.
¿Y como se guardan estos datos? ¿Y como se tratan? ¿Se envían a terceros con nuestro consentimiento? Solo en el ámbito de la privacidad se plantean muchas dudas, que hay que saber cubrir, no sólo legalmente, que la RPGD está al acecho y ya no hay avisos, sino multas.
Hay que técnicamente poner todos los medios para que estos datos estén a buen recaudo, y bien tratados. Ya no sólo designar un “delegado” de estos datos. Bases de datos encriptadas, copias escaladas y en diferentes soportes y sitios, credenciales que caduquen y se revisen, y un largo etc…
¿Pero quién va a querer los datos de los enfermos? Desde hace ya tiempo, los datos son dinero, sino que se lo pregunten a las empresas que usan el Big Data de sus clientes para monetizarlo en un área que no existía antes.

Estos datos son muy golosos y sobre todo vendibles. Aunque no se puede hacer, la competencia o las mutuas estarían encantadas de comprarlos, o sino redes mafiosas. También se han visto suplantaciones de identidad, para el suministro de psicotrópicos, para el mercado negro.
Y llegando al plan o novelesco de ciencia ficción o Ciberpunk, que ya no estamos muy lejos, delincuentes que puedan modificar aparatos implantados, como marcapasos o bombas de insulina, que ya se ha demostrado que son poco seguros.
Si se tiene acceso a sistemas, también se podría cambiar el historial, una medicación, una intervención, y si no hay una supervisión muy concreta del paciente podría ser un ataque directo contra su vida.
¿Y asesinatos con estos medios? No es muy descabellado si ya se han usado envenenamientos a través de terceros con agentes químicos y biológicos.
Suena muy peliculero, pero es la realidad de 2020, ya que en 2019 hubo varios incidentes:
- Ataque a Hospitales Rumanos para robar datos.
- ¿Porqué el sector médico? Artículo de Cybersecurity News
- Ataque a Prosegur con Ransomware también afectó a hospitales.
- Como varios ataques en Hospitales de EEUU causaron muertos.
- Implantes hackeables
- Marcapasos hackeables.
- Listado de casos que están siendo investigados en EEUU por Ciberataques en sector médico.
- Y cuando se empezó a ver esta epidemia, el ataque al servicio de salud Britanico.
Hemos empezado a trabajar con algún centro médico, ya que podemos abarcar todas sus necesidades:
– La auditoría informática
– La auditoría industrial (en este caso todos los robots y “aparatos” conectados que tiene un centro de salud).
– La formación específica en Ciberseguridad
– La protección total 24/7 Blackberry Cylance.
– Seguro de ciber riesgo o ciber extorsión.
- Publicado en Consultoría, Noticias, Protección de datos, Seguridad
Revelación responsable, en inglés ‘Responsible disclosure’
Alguna vez nos ha preguntado algún amigo, cliente, o colaborador que hacemos si en nuestras pruebas de Pentesting diarias, descubrimos algún fallo de un tercero, que nos para quien trabajamos en ese momento.
Como no, hay una expresión para este tema, que es la que da el título a este post Revelación responsable, o en inglés ‘Responsible disclosure’.

Ya dice mucho de por si. Nosotros si descubrimos algún fallo, nos ponemos en contacto con quien lo sufre, y le damos toda la información posible.
¿Suele funcionar? Sencillamente no. A veces insistimos, alguna vez tenemos respuesta y nos derivan a otra persona, y luego a otra, como si el problema fuera nuestro.
Si es una empresa privada, son ellos los que tienen el problema, y no insistimos más. Si es una empresa pública, ya que somos todos y la dejadez la pagamos todos, pues lo denunciamos públicamente esperando que haya una causa-efecto.
Aún así, no suele haber mucho feedback, y es que aún pasan pocas desgracias, como por poner solo dos ejemplos, en Baltimore o New Orleans.
Podéis leer un artículo en Wikipedia AQUÍ sobre este tema, y como no, la controversia que genera.
- Publicado en Consultoría, Malos hábitos, Noticias