Últimas noticias Hemeroteca

Viernes, 24 de Enero de 2020

Otras localidades

Uno de cada tres ministerios tiene una página web que "no es segura"

Hay cinco ministerios que no tienen su página web cifrada, con un certificado de seguridad que proteja la conexión y la información que circula en el sitio. Tampoco tienen una página web segura el Congreso y el Senado

"Si la administración nos advierte permanentemente de que tenemos que tener cuidado con las páginas sin certificado, ella tendría que ser la primera en cumplir y dar ejemplo"

La administración no está obligada por ley a instalar un certificado digital, no se recoge así expresamente en la legislación actual, pero sí es un elemento básico para garantizar la seguridad de un sitio web

"La conexión con este sitio web no es segura", el mensaje que aparece en la página web del Ministerio del Interior /

“La conexión a este sitio web no es segura, no deberías introducir información confidencial en este sitio web, porque los atacantes podrían robarla”. Este mensaje aparece en las páginas web de cinco de los 16 ministerios españoles. Más del 30%, por lo tanto, no tiene instalado un certificado de seguridad para proteger su sitio web y la información y los datos que circulan en él. La diferencia, a simple vista, es que en la barra de búsqueda del navegador no aparece un candado, como sí ocurre en los sitios que cuentan con un certificado digital, para indicar la seguridad de la página web. También es diferente la dirección url: si el sitio no está protegido la url empieza con “http”, si sí lo está lo hace con “https”, las siglas de “Protocolo Seguro de Transferencia de Hipertexto”.

El certificado digital es una tecnología que se instala en las páginas web para mantener una conexión segura y para proteger toda la información que introduzcan en ellas los usuarios. Es, sobre todo, imprescindible en los sitios que utilizan formularios de contacto o en los que hay que introducir, por ejemplo, un método de pago, pero es, en general, recomendable para todas las páginas.

En el caso de la administración pública, hay cinco ministerios que no tienen instalado ese certificado de seguridad. Son el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, Ministerio de Interior, Economía y Empresa, Ministerio de Ciencia, Innovación y Universidades y el Ministerio de Trabajo, Migraciones y Seguridad Social. Tampoco tiene certificado la página web del Congreso de los Diputados, ni la del Senado. Sí tienen las de los otros 11 ministerios y las de las sedes electrónicas, en las que se introduce información mucho más sensible para los ciudadanos.

La página web del Ministerio de Economía y Empresa sin certificado de seguridad / Captura de pantalla

El número de ministerios que tienen o no certificado de seguridad ha cambiado en las últimas semanas. Hay algunos, como el de Educación y Formación Profesional o el de Cultura y Deporte que han instalado en la última semana su certificado de seguridad. Estos certificados caducan pasado un período determinado, por lo que necesitan actualizaciones. Es posible, por lo tanto, que entre el momento de la caducidad y la actualización, la página web del ministerio se quede sin certificado. "La actualización e instalación de nuevos certificados es un proceso habitual que ocurre al final del período de validez del mismo, de forma que por parte de los responsables de estos servicios se solicita la renovación y expedición de nuevos certificados al proveedor de servicios correspondiente", explican desde el Ministerio de Política Territorial y Función Pública, que es el responsable de la Secretaria General de Administración Digital.

La administración no está obligada por ley a instalar un certificado digital, no se recoge así expresamente en la legislación actual, pero sí es un elemento básico para garantizar la seguridad de un sitio web. De hecho, en el Esquema Nacional de Seguridad, una norma aprobada en 2007 sobre el acceso electrónico de los ciudadanos a los Servicios Públicos, se establecen una serie de principios básicos y requisitos mínimos para permitir una protección adecuada de la información. “Los ciudadanos confían en que los servicios públicos disponibles por el medio electrónico se presten en unas condiciones de seguridad equivalentes a las que se encuentran cuando se acercan personalmente a las oficinas de la Administración”, recoge esta normativa.

"La conexión con este sitio web no es segura", el mensaje que aparece en el buscador en la página web del Congreso de los Diputados / Captura de pantalla

Hay, de hecho, expertos que sí entienden que las normas actuales obligan a las administraciones a proteger sus páginas webs. “El Esquema Nacional de Seguridad recoge la obligación en abstracto de proteger las comunicaciones que se realicen por internet en las que participen los ciudadanos y las administraciones”, explica Samuel Parra, abogado experto en protección de datos, “y eso solo puede solventarse instalando un certificado de seguridad”.

Aunque no todos los sitios web de los ministerios cuentan con formularios en los que introducir datos, instalar o no un certificado de seguridad tiene, de igual forma, una serie de consecuencias en los usuarios. De un lado, la desconfianza que genera en el ciudadano. “Si un usuario está en una página web de la administración pública sin certificado es muy fácil que se dé cuenta, aunque no tenga conocimientos de informática. Puede sospechar que no está en la página real, porque entenderá que la administración sí tiene sus páginas con certificados de seguridad y no tenerlo puede hacer sospechar que no se encuentra en la página correcta”, apunta Parra.

"Es una contradicción"

Además, en opinión de este experto, la administración entra en una contradicción al no instalar los certificados en sus páginas web porque sí recomienda hacerlo desde sus organismos e instituciones. Hay organizaciones públicas que alertan sobre la necesidad de instalar estos certificados y que alertan a los ciudadanos de los riesgos en los que se puede incurrir si se visitan páginas web que no los tengan instalados. El Instituto Nacional de Seguridad (INCIBE) en una guía sobre el fraude y la gestión de la identidad online, recomienda hacer clic en la dirección web de la barra de búsqueda del navegador para verificar si tiene o no certificado y comprobar que “la página web es legítima y segura”. También el Centro Criptológico Nacional recoge en un informe decenas de recomendaciones sobre la importancia de instalar un certificado tipo https y la Oficina de Seguridad del Internauta (OSI) también ha escrito notas informativas con recomendaciones: “Si la tienda online no tiene certificado digital, debemos pararnos a pensar en la legalidad de la misma y en la poca seguridad que pueden tener nuestros datos personales si realizamos algún registro”, escriben en una de ellas.

“Desde hace muchos años, desde diversas instituciones y organismos públicos, se nos viene advirtiendo de la peligrosidad que existe de visitar páginas web sin certificado de seguridad. Si las administraciones nos dicen que es importante tener un certificado, no tiene sentido que la propia administración no lo instale en sus propias páginas”, dice Parra. “Si la administración nos advierte permanentemente de que tenemos que tener cuidado con las páginas sin certificado, ella tendría que ser la primera en cumplir y dar ejemplo”.

Desde el Gobierno, sin embargo, niegan que exista una contradicción porque haya páginas de información pública sin certificado. "Si bien puede ser recomendable de forma genérica implementar el protocolo https, no hay ninguna contradicción por el hecho de que en páginas de información pública el protocolo sea http. No obstante, sí se recomienda por parte del Centro Criptológico Nacional el uso del protocolo https, aunque no constituye, en estos casos, una obligación".

Además, desde el Ministerio aclaran que es diferente si se trata de un portal con información, como las de los ministerios, o de una sede electrónica, "en las que se lleva a cabo intercambio de información sensible en los procedimientos a los que acceden los ciudadanos y empresas". "Todas las sedes electrónicas en las que los ciudadanos llevan a cabo trámites son accedidas mediante el protocolo https cifrado. No ocurre lo mismo en los sitios web con información pública, que pueden usar tanto uno como otro protocolo y en consecuencia estar o no cifrada la comunicación".

Cargando
Cadena SER

¿Quieres recibir notificaciones con las noticias más importantes?