Con la puesta en marcha del portal de transparencia, que una vez que han transcurrido unos días desde su puesta en marcha, es conocido por ser una iniciativa gubernamental para que cualquier ciudadano pueda obtener información sobre dónde se invierten sus presupuestos, como persona relacionada con las TICSeg me surge la inquietud de poder analizar los datos técnicos y qué información podríamos obtener.
Desde un punto de vista TICSeg, hay que valorar si la información que se ofrece ayudaría a alguien que quiera lanzar un ataque informático sobre los sistemas de la Administración, ya que es crucial poder estudiar el entorno para que el ataque tenga mayores posibilidades de éxito.
Estos ataques se conocen como APT, amenazas persistentes avanzadas, que a modo de resumen podríamos decir que:
- Es un proceso avanzado ya que involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades de los sistemas.
- Es persistente porque sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua.
- Es una amenaza ya que indica la participación humana para orquestar el ataque.
Para tener mayores probabilidades de éxito en la planificación de un ataque dirigido, es necesario intentar conocer las medidas de seguridad del sistema que se desee atacar, por poner un ejemplo, si un alguien quiere diseñar un troyano para atacar un sistema de una organización, es crucial saber con qué modelo de antivirus se va a encontrar para anticiparse y diseñar una pieza concreta que pase inadvertida.
Hasta aquí la teoría, si intentamos obtener información sobre el portal de transparencia, buscando "Antivirus" se puede obtener un listado bastante exhaustivo sobre las soluciones de que tienen implementada en diferentes Ministerios y Organismos de la Administración General del Estado.
Para cada uno de los procedimientos de contratación de antivirus que se muestran podríamos conocer al detalle qué organismo y en qué fechas se ha adquirido. Por ejemplo, conoceríamos que el INE (Instituto Nacional de Estadística) posee antivirus McAfee hasta 2015.
También podemos ver que las licencias de antivirus para los equipos de las Delegaciones y Subdelegaciones del Gobierno (que buceando un poco se puede llegar al Pliego de Prescripciones Técnicas sin más que seguir los enlaces) son del antivirus McAfee.
Asimismo en Defensa utilizan McAfee y en el Ministerio de Sanidad, Servicios Sociales e Igualdad utilizan el antivirus Trend Micro.
Más información de infraestructura de Seguridad, por ejemplo, haciendo una búsqueda con la palabra "Firewall", nos encontramos con que en la Seguridad Social utilizan Check Point. Una persona con interés en realizar algún ataque, podría buscar vulnerabilidades en los Check Point.
Como estos hay muchos ejemplos, que dedicando un poco de tiempo, un atacante podría utilizar esta información para su propio beneficio. Habría por tanto que valorar si esta información es necesaria para en definitiva, que el contribuyente conozca dónde se invierte su dinero. En mi opinión personal se debería de omitir la información técnica.
