La inmensa mayoría de direcciones de correos electrónicos de instituciones públicas, como ministerios, gobiernos e instituciones públicas, no tienen las protecciones necesarias para evitar ataques de tipo "phishing" o suplantación de identidad, según un nuevo estudio.
El "phishing" es un tipo de ataque muy popular entre hackers, basado en hacerse pasar por un organismo o institución reconocido por el usuario, con el objetivo de hacerse con sus datos. El ejemplo clásico es el correo del banco que afirma que tenemos que meter la contraseña para evitar que nos quiten dinero con una transferencia, por ejemplo.
Estos ataques son cada vez más sofisticados, y si bien antes era suficiente con fijarse en detalles como la dirección de correo usada para darse cuenta del engaño, hoy en día ya no lo es. Especialmente, porque muchas organizaciones aún no han tomado las medidas necesarias para evitar que su identidad pueda ser robada.
El Observatorio de seguridad web presenta datos espeluznantes para los organismos públicos en España. De los 772 emails públicos analizados en el estudio, sólo 25, apenas el 3%, incluyeron algún tipo de protección contra suplantación de identidad. Eso significa que los atacantes pueden enviar correos a sus víctimas con el mismo dominio de correo, evitando las sospechas de los usuarios; por ejemplo, los atacantes pueden enviar correos con @sede.sepe.gob.es, el domino usado por el Servicio Público de Empleo Estatal que sufrió un ataque hacker el pasado mes de marzo que paralizó sus servicios.
Entre los correos inseguros nos encontramos algunos de gobiernos municipales y de comunidades, además de servicios públicos como RTVE, Renfe y TeleMadrid. La lista es demasiado larga, pero baste decir que todos los órganos públicos están representados.
Entre los únicos que siguen buenas prácticas de seguridad, nos encontramos los correos de red.es, además de correos de La Rioja, Oviedo, y la OSI (Oficina de seguridad del Internauta). Para ser considerado seguro, los investigadores consideran que deben implementar tecnologías como SPF, que protege contra la falsificación de direcciones, identificando los nombres de dominio, y DMARC, un servicio de autenticación de correo electrónico. En ambos casos, sirven para asegurar que la persona que ha enviado el correo realmente es quien dice ser, algo especialmente importante si se trata de un mensaje importante o que pida información del usuario.
Esta web también recopila información sobre las páginas web públicas, y en su día descubrió que sólo el 3% de las páginas web son completamente seguras, incluyendo el uso de conexiones HTTPS que cifran el contenido y evitan que los atacantes puedan inyectar código.
