Las amenazas a la red cada vez son mayores y más peligrosas por lo que es de vital importancia utilizar conexiones seguras y cifradas que eviten que terceras personas no autorizadas puedan acceder al contenido de las mismas. Uno de los servicios de Internet que más información puede ofrecer sobre nosotros es el correo electrónico.
Pablo Burgueño, abogado español, ha publicado una entrada en su blog personal en la que muestra cómo el Colegio de abogados de Madrid ofrece a los abogados españoles servidores de correo electrónico inseguros que, por defecto, no cifran ningún tipo de dato y toda la información viaja en texto plano a través de la red.
La configuración por defecto que los servidores de correo electrónico ofrecen a los abogados españoles no aplica ningún tipo de cifrado ni a la hora de enviar los credenciales de acceso al servidor ni al contenido de dichos correos electrónicos que podrían desvelar a terceras personas información confidencial de sus clientes.
La plataforma por defecto de acceso a las cuentas de correo de los abogados es http://mail.icam.es/pronto/. Como podemos ver, esta plataforma no aplica ningún tipo de cifrado, es más, está escrita completamente en Flash, un lenguaje obsoleto e inseguro para la web en la mayoría de los casos. ICAM cuenta también con un portal HTTPS sin flash: https://mail.icam.es/ pero el webmail proporcionado por defecto es HTTP simple.
A parte del fallo de seguridad para acceder al servidor de correo, a la hora de intentar recuperar o cambiar la contraseña ocurre lo mismo, es decir, que los servidores del Colegio de Abogados envía estos credenciales en texto plano y sin aplicar ningún tipo de cifrado ni al correo en sí y a la conexión.
Igualmente otro servidor de correo con el mismo fallo de seguridad es el del Colegio General de Abogados de España, un servidor común para todos los abogados de España que también envía los credenciales y el contenido de los mensajes a través de conexiones HTTP por defecto.
También, un segundo fallo de seguridad que se ha descubierto es que el servidor almacena la contraseña completa en texto plano en sus discos. Esto es un gran fallo de seguridad (y más si lo enviamos en texto plano al servidor de recuperación). Los responsables de seguridad deben actualizar el servicio para que únicamente almacene un hash que permita el acceso pero que impida la recuperación de la misma sino que obligue a cambiarla completamente a través de un servidor seguro.
Una petición lanzada en change.org ha conseguido que ICAM habilite las conexiones HTTPS seguras por defecto en sus servidores y en sus conexiones para mejorar la seguridad y evitar que los abogados puedan ser espiados por terceras personas interesadas. El Estado o los colegios responsables deberían revisar la seguridad de todos estos servicios y contratar a verdaderos expertos de seguridad que actualicen los servicios a versiones más seguras y modernas y evitar en todo lo posible seguir utilizando software como Adobe Flash para ofrecer acceso a un servicio como es el correo electrónico.
¿Crees que otros servicios del Estado estarán configurados de forma similar?
Fuente: Blog de Pablo Burgueño