El Colegio de Abogados de Madrid, una casa con grietas

grietas
El Colegio de Abogados de Madrid, una casa con grietas.
 
Alberto G. Luna Teknautas-El Confidencial
 
Un servicio de correo que envía a cada usuario su contraseña de forma visible, una base de datos que almacena la información de cada uno de ellos sin ningún tipo de protección contra ataques de terceros o una plataforma obsoleta desde hace muchos años. Estas son tan sólo algunas de las grietas de seguridad que asolan al Ilustre Colegio de Abogados de Madrid. La organización colegial se defiende alegando que cumple con la normativa aplicable, pero la mayoría de expertos consultados opina que su plataforma es de todo menos segura.
 
Cada vez que un abogado se da de alta en el servicio del Colegio de Abogados de Madrid recibe el usuario y contraseña en texto plano. Es decir, visible para todo el mundo. Cuando se solicita una cuenta de email (@icam.es), a través de la sección privada para abogados, se requiere identificarse con un certificado electrónico. A continuación, hay que acceder al área privada y remitir la solicitud enviando los datos bajo cifrado SSL (https). Hasta aquí, durante todo el proceso la seguridad es máxima. Sin embargo, tras unas horas de espera el Colegio contesta con un correo electrónico en el que aparecen de forma legible usuario y contraseña.
 
No es la única deficiencia en cuanto a seguridad se refiere. Según ha explicado a Teknautas Yago Jesús, informático y editor del blog Security by Default, “aunque el usuario cambie la contraseña que le envían, esta queda almacenada también de forma legible en la base de datos de la web. Esto significa que si un tercero accede a ese servidor se encontrará con todos los usuarios y contraseñas a la vista. Sin niguna capa de seguridad que los proteja“.
 
Lo que se recomienda en este tipo de bases de datos es utilizar un cifrado de tipo hash, que consiste en un algoritmo criptográfico que tiene la capacidad de tomar un dato y devolver una representación totalmente diferente del original. “Si por ejemplo usas la palabra gato y la pasas por este algoritmo, te devuelve una cadena de texto totalmente distinta. Esto dificulta que un hacker pueda acceder a los usuarios y contraseñas. No es infalible porque en seguridad nada lo es, pero sí lo complica mucho”.
 
La diferencia entre tener o no una capa de seguridad es que, en el caso de que alguien entre con intenciones maliciosas (lo cual según los expertos no es muy complejo), se encuentre una información visible o cifrada. “Si alguien entra ilegalmente en la plataforma del Colegio de Abogados se encontrará en sus pantallas y de forma totalmente visible los usuarios y contraseñas de todos sus usuarios. Imagínate todo lo que se puede hacer con esa información”, ha añadido el experto en seguridad.
 
Una política de seguridad inexistente
 
Pero hay más fallos de seguridad. La plataforma también permite a sus usuarios crear contraseñas tan simples como 123456. Actualmente todas las páginas web donde se maneja información sensible como por ejemplo la de multitud de servicios de correo electrónico o bancos, obligan a sus usuarios a fijar contraseñas robustas. Es decir, de diez caracteres y compuestas de números, letras y mayúsculas y minúsculas. Esto dificulta que puedan acceder a nuestra información personal. Algo que no cumple el Colegio de Abogados.
Para Fernando de la Cuadra, director de Educación de Eset, “dejar al libre albedrío del usuario el establecer una contraseña más o menos fuerte está comprobado que no funciona y demuestra una falta de educación en lo que a seguridad se refiere. Si esta plataforma te permite escribir 123456 como contraseña estoy convencido de que muchos la utilizan porque es más fácil de reccordar”.
 
Además, los metadatos del correo enviado por el Colegio de Abogados con el usuario y contraseña desvelan que podría estar utilizando Outlook Express 6, una versión de cliente de correo electrónico diseñada para versiones de Windows antiguas que ya han dejado de recibir soporte por parte de Microsoft. Desde este periódico hemos preguntado al Colegio sobre este aspecto y no lo han negado ni confirmado, argumentando que esta información no es pública.
 
Estamos hablando de vulnerabilidades que afectaban a muchas empresas hace una década. Pero no ahora
 
“Estamos hablando de vulnerabilidades que afectaban a muchas empresas hace una década. Pero no ahora. Son cosas muy básicas. Es como si te vendo una casa que tiene puerta pero no una cerradura de seguridad”, ha concluido Yago Jesús.
Según Pablo Fernández Burgueño, socio del despacho de abogados Abanlex, “el correo electrónico del Colegio de Abogados no es técnicamente adecuado para que podamos ejercer la abogacía. Los juristas que lo usan se exponen a una sanción por protección de datos e indemnizaciones por responsabilidad de negligencia. Por no hablar de la posibilidad de que se estén controlando todas las conversaciones abogado-cliente sin que ninguna de las dos partes lo sepa”.

Sin comentarios todavía.

Deja un comentario

ASOCIACIÓN
“Abogados por un COLEGIO-ético”
Calle Reina Mercedes,22
28020 Madrid
CIF: G86855350
Tlf: 91 456 29 80
Email: info@colegio-etico.es

© 2013 Abogados por un COLEGIO-ético
Todos los Derechos Reservados.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR