Seguridad en Ayuntamientos de la Región de Murcia [Parte I]

Este es nuestro primer post en el que comprobaremos la visibilidad a la que se exponen en Internet los Ayuntamientos correspondientes a los 10 municipios más poblados de nuestra comunidad autónoma.

La probabilidad de recibir un ataque informático dirigido es directamente proporcional al número de servicios que la entidad tenga expuestos. Es obvio que una entidad con 100 direcciones IP tiene más posibilidades de sufrir un hackeo que una que tiene 10.

La idea de realizar este ranking no es nuestra. Hace unos meses, tras una charla sobre experiencias de jóvenes empresarios, uno de los ponentes nos recomendó hacer unas entradas en un blog haciendo una clasificación de distintos tipos de entidades para concienciar y motivar el consumo de seguridad informática. Nos pareció una idea genial y nos pusimos manos a la obra tomando la decisión de empezar por los organismos públicos más cercanos a los ciudadanos, los ayuntamientos.

Hemos recopilado esta información mediante un análisis pasivo en el que no se realiza ninguna acción intrusiva. ¿En qué consisten este tipo de análisis? Es la primera fase de un pentest, durante la cual se recolectan todos los datos que una entidad expone al exterior, ya sea a través de buscadores, mediante la comprobación de dominios y subdominios registrados en servidores DNS o enumerándolos gracias a los certificados SSL. En este post de Asier Martínez (INCIBE) podéis encontrar más información.

Ciudad Nº de direcciones IP Subdominios Emails
Murcia 132 36 0
Molina 67 25 5
Cartagena 48 45 20
Lorca 33 88 4
Torrepacheco 32 15 5
Cieza 31 16 4
Yecla 10 20 0
San Javier 10 30 1
Alcantarilla 3 4 3
Aguilas 3 4 5

En esta primera tabla, vemos que en el primer puesto se sitúa el Ayuntamiento de Murcia con la nada despreciable cantidad de 132 direcciones IP. Cada dirección IP alberga una serie de servicios a la escucha en determinados puertos con un software que debería estar controlado en cuanto a actualizaciones. Una versión desactualizada de alguno de estos servicios, o un simple descuido en cuanto a configuración, podría permitir el acceso a la red interna de la entidad mediante la explotación de una vulnerabilidad.

Ciudad Nº de direcciones IP Subdominios Emails
Lorca 33 88 4
Cartagena 48 45 20
Murcia 132 36 0
San Javier 10 30 1
Molina 67 25 5
Yecla 10 20 0
Cieza 31 16 4
Torrepacheco 32 15 5
Alcantarilla 3 4 3
Aguilas 3 4 5

En la segunda tabla, vemos como el Ayuntamiento de Lorca está en primera posición en cuanto a subdominios enumerados de forma pasiva. Los subdominios, en este caso, derivan en páginas o aplicaciones web que pueden ser analizadas cómo objetivo por los hackers con el fin de encontrar una brecha de seguridad, ya que son una de las principales vías de acceso a los servidores, y en condiciones normales, uno de los eslabones más débiles. Aquí (OWASP) podéis encontrar el ranking de las diez vulnerabilidades más comunes en aplicaciones web, actulizado año a año, y consensuado tras el análisis de un grupo de expertos de diferentes nacionalidades.

Ciudad Nº de direcciones IP Subdominios Emails
Cartagena 48 45 20
Molina 67 25 5
Torrepacheco 32 15 5
Aguilas 3 4 5
Lorca 33 88 4
Cieza 31 16 4
Alcantarilla 3 4 3
San Javier 10 30 1
Murcia 132 36 0
Yecla 10 20 0

La información detallada en el gráfico muestra cómo el Ayuntamiento de Cartagena expone una cantidad importante de direcciones de correo que pueden ser usados para ataques de phishing y suplantaciones de identidad, siendo este último, uno de los temas que más preocupa a las empresas debido a la gran cantidad de correos maliciosos que se reciben a diario, en especial por el auge en los últimos años de los famosos ransomware

La seguridad de la información, en la actualidad, representa mucho más que una realidad, es una necesidad. Tanto personas como empresas dependen irremisiblemente de ella. Es fundamental en procesos de negocio, en las relaciones sociales o incluso en nuestro propio ocio. Obviamente, de la propia tecnología ha surgido un completo ecosistema de trabajo donde la Seguridad Informática es un pilar fundamental. Los Ayuntamientos albergan gran cantidad de información sensible, desde el cobro de impuestos hasta el censo de sus habitantes, pasando por temas de presupuestos, nóminas y ejercicios contables que en caso de ser modificados o eliminados por un atacante o incluso debido a una negligencia en cuanto a su tratamiento, pueden acarrear graves consecuencias para la ciudadanía, funcionarios y equipos de gobierno.

Desde SafeU instamos a nuestras entidades públicas a segurizar sus sistemas e invertir en servicios de pentest que ayudan a los equipos de informática a focalizar sus esfuerzos en solventar y parchear vulnerabilidades en sus entornos.

En la segunda parte de esta entrada analizaremos los servicios que tienen expuestos el Ayuntamiento de Murcia, Cartagena y Lorca, que son los primeros en los rankings, a través de motores de búsqueda como SHODAN o CenSys.