Los ciberdelitos han aumentado un 72% desde 2019. España sufre una oleada de estafas por correo, suplantación de identidad (phishing), robo de credenciales, infecciones por malware y ataques de denegación de servicio que afecta por igual a ciudadanos, empresas y entidades públicas. En cuanto a las administraciones locales, se han registrado incidencias de calado en los últimos años. En 2019, un ataque simultáneo al Ayuntamiento de Jerez y a Onda Jerez evidenció posibles vulnerabilidades compartidas y la gravedad del caso requirió la intervención del Centro Nacional de Inteligencia (CNI); el Ayuntamiento de Chiclana recibió en 2024 más de un millón de correos electrónicos maliciosos; y el Ayuntamiento de Cádiz se comprometió a actuar de manera preventiva, sin que haya cumplido, tras el ataque producido al de Sevilla.
Desde 2010 está en vigor el Esquema Nacional de Seguridad (ENS), que establece los controles mínimos que deben cumplir las entidades públicas en materia de ciberseguridad para proteger el correo electrónico y evitar fradues; servicios y aplicaciones web; la navegación web, garantizando que el contenido sea legítimo, íntegro y seguro; y frente a la denegación de servicio, con barreras para salvar caídas masivas por ataques DDoS.
De obligado cumplimiento desde mayo de 2024, estas medidas no se han puesto en marcha en la práctica totalidad de ayuntamientos. En la provincia, un estudio llevado a cabo para VIVA CÁDIZ por Ana Ros, auditora líder en ISO 27001 por AENOR y consultora en ENS, revela que ninguna de las administraciones locales de ciudades de más de 60.000 habitantes está preparada. El análisis, basado en los criterios del observatorio Mozilla HTTP Observatory, advierte de fallos sistemáticos en la configuración de seguridad de los portales públicos de los ayuntamientos de San Fernando, Cádiz y El Puerto con un riesgo muy alto. El nivel de alerta es alto para los de La Línea y Algeciras y medio y aceptable para los de Chiclana y Jerez, respectivamente.
“La falta de medidas no es un detalle técnico sin importancia”, remarca Ros. “Estos portales no aplican una política de seguridad de contenidos (CSP), de manera que un atacante puede insertar código en la página para robar datos personales, capturar contraseñas o mostrar contenido falso sin que el usuario lo note”, agrega, señalando que “esto afecta especialmente a San Fernando, Algeciras, Jerez, Chiclana y La Línea”.
“Otra medida clave no activada es HSTS, que obliga al navegador a usar una conexión segura (HTTPS). Si esta protección no está presente, los datos que introduce un ciudadano -como su nombre, DNI o información de contacto— podrían ser interceptados por un tercero, especialmente si se conecta desde una red pública o poco segura. Este fallo se repite en San Fernando, Algeciras y Chiclana”, continúa.
También es preocupante la ausencia de protecciones contra ciertos tipos de engaños visuales. Por ejemplo, sin la cabecera X-Frame-Options, una página legítima del ayuntamiento puede ser ‘escondida’ dentro de otra web que simule ser real. Esto permite el llamado clickjacking, donde el usuario cree estar pulsando en un botón oficial, pero en realidad está compartiendo su información con los atacantes. Este riesgo afecta sobre todo a San Fernando y Algeciras”, agrega.
“Otro error común es no usar nosniff, protección que impide que el navegador ejecute archivos de forma incorrecta. Sin esta medida, un archivo que parece inofensivo (como un PDF o una imagen) podría convertirse en un virus que infecte el dispositivo del usuario al abrirlo. Esta protección también está ausente en San Fernando, Algeciras y Chiclana”, añade.
Uno de los fallos más graves detectados es la ausencia de SRI (SubresourceIntegrity), salvo en Chiclana y Jerez donde está parcialmente activado. “Esta herramienta verifica que los archivos que carga una web, como los formularios o menús, no hayan sido modificados. Sin ella, un atacante puede cambiar estos archivos e introducir código malicioso sin que nadie lo detecte”, indica, al tiempo que alerta de “debilidades en cómo se controla la información que el navegador comparte entre webs”. “Si no se configura bien la política de referencias (Referrer-Policy), otros sitios web pueden conocer desde qué página vienes e incluso capturar fragmentos de información confidencial. Este fallo está presente en San Fernando, Algeciras y La Línea”, apunta.
Por último, avisa de que “la configuración incorrecta de las cookies puede permitir que otra persona acceda a su cuenta en la sede electrónica sin necesidad de conocer la contraseña. Es decir, alguien podría hacerse pasar por ti y realizar trámites en tu nombre si estas cookies no están bien protegidas”. Este riesgo es notable en San Fernando, Algeciras, Chiclana y Jerez.
