Fallos de seguridad en grandes Plataformas de intercambio de información en la red

Abalia y la Seguridad en la Red

Fallos de seguridad en grandes Plataformas de intercambio de información en la red

Hace pocos días saltaba a las portadas de los medios de comunicación la noticia de un importante fallo de seguridad en una de las principales Plataformas españolas de intercambio y almacenamiento de información en la red, se trata de LexNet, el Sistema telemático del Ministerio de Justicia para intercambiar información de casos entre juzgados, abogados, procuradores y otros colectivos.

Como se puede ver, se trata de una información altamente sensible y que, por tanto, imaginamos totalmente protegida. Sin embargo, a través de uno de sus usuarios se ha conocido un grave fallo de seguridad que permitía a cualquier usuario de la Plataforma acceder a información de miles de casos abiertos, datos altamente sensibles y secretos.

La Plataforma reconocía el fallo de seguridad y aseguraba estar trabajando en resolverlo, más tarde llegó el cierre temporal del Sistema y, finalmente, los responsables confirmaron que la Plataforma no estaría operativa durante tres días.

En Abalia hemos acudido a nuestro experto en seguridad Jaime Rodríguez, Director de Sistemas, para que nos resuelva algunas de las dudas que surgen en torno a este tema.

¿Puede ser que este error de seguridad haya estado presente desde el nacimiento de la Plataforma?

Pues es posible, sí. Y seguramente sea así porque antiguamente las aplicaciones pasaban los parámetros vía URL. Además, este problema, el mismo, lo tuvo UNO-E, la banca por internet de BBVA hace bastantes años.

¿Son vulnerables este tipo de Plataformas Online de intercambio y almacenamiento de información inclusive en temas tan sensibles?

Son vulnerables si no se actualizan los Sistemas y el desarrollo de la Plataforma. Quiere decir que Sistemas que antes se pensaban no-vulnerables, ahora lo pueden ser. En estos temas sensibles es importante y debería ser obligatorio llevar un desarrollo evolutivo de la seguridad.

¿En casos como este y tal cómo se ha actuado, el cierre temporal de la web al usuario es la mejor forma de atajarlo?

Depende. Hay Sistemas Monolíticos como este, en los que no es posible “cerrar” ciertas opciones. Cerrar la web es una opción tajante, pero hay veces que es la única, hasta que los equipos de seguridad valoran la gravedad del problema.

¿En tu opinión, cuáles son las medidas que se deberían implementar en este tipo de Plataformas para que no se produzcan estos fallos de seguridad?

El uso de Tecnología actual y no obsoleta permite estar más seguro en este tipo de Plataformas. Accesos por doble token o accesos con criptollaves de cara a que una vez iniciada la sesión del usuario no se pueda acceder a zonas más restringidas o hacerse pasar por otro usuario, un fuerte Sistema de permisos a accesos a diferentes entornos del aplicativo, etc. También sería importante realizar test de seguridad e intrusión periódicos que simulasen a un usuario intentando acceder a zonas no permitidas.



Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies