Especialistas en ciberseguridad detectaron graves fallas de seguridad en la web de la Fiscalía General del Estado (FGE) de Puebla, entre ellas señalan sistema obsoleto y riesgo de hackeo.
El sitio oficial de la institución encargada de perseguir delitos en el estado obtuvo una calificación reprobatoria de 35 sobre 100 en seguridad digital.
La cual equivale a una D en la escala internacional, esconde riesgos más graves por la naturaleza de su infraestructura. La página web (www.fiscalia.puebla.gob.mx) carece principalmente de protecciones consideradas básicas en cualquier portal gubernamental.
El análisis, en poder de CENTRAL, fue generado por analistas de ciberseguridad de la Marina Armada de México, y expone que el sitio funciona sobre un servidor web lanzado en 2012.
Además, carece de protección contra ataques informáticos y es considerablemente más vulnerable, incluso, que el portal principal del gobierno estatal.
El hallazgo más alarmante del análisis es que la Fiscalía de Puebla opera su portal sobre Microsoft IIS 8.0, un software de servidor cuya versión original data de 2012.
Las versiones antiguas de este tipo de plataformas acumulan vulnerabilidades ampliamente documentadas en bases de datos públicas. Lo que significa que cualquier persona con conocimientos básicos de ciberseguridad puede consultar las fallas conocidas de esa versión y diseñar un ataque dirigido.
Para agravar el problema, el servidor de la Fiscalía revela abiertamente su versión de software y la tecnología sobre la que está construido (ASP.NET). Información que funciona como una guía para potenciales atacantes.
Web de la Fiscalía de Puebla carece de defensas contra técnicas básicas de hackeo
El análisis identificó la ausencia de tres capas de protección que organismos internacionales de ciberseguridad consideran el estándar mínimo para cualquier sitio institucional.
La primera es la Content Security Policy (CSP), un filtro que impide la ejecución de scripts maliciosos. Sin ella, el portal queda expuesto a ataques de tipo XSS, que permiten a un atacante inyectar un código para robar información de los usuarios que visitan la página.
La segunda es la cabecera X-Frame-Options, cuya ausencia posibilita que el sitio de la Fiscalía de Puebla sea insertado dentro de una página falsa. Esta técnica es conocida como clickjacking y engaña a los usuarios para obtener sus credenciales o datos personales.
MANTENTE AL DÍA CON TODO LO ÚLTIMO EN NUESTRO CANAL DE TELEGRAM
La tercera es X-Content-Type-Options, otra barrera básica contra la ejecución de contenido malicioso que tampoco está implementada.
El sitio de la Fiscalía de Puebla está alojado en servidores de Uninet, empresa dependiente de Telmex, con una arquitectura tradicional y ancho de banda limitado.
Debido a esto, un ataque volumétrico estándar tendría altas probabilidades de dejar fuera de servicio el portal de la Fiscalía de Puebla. Además, los analistas sugieren que “un ataque de capa de aplicación que explota las limitaciones del software del servidor lograría tumbarlo con aún mayor facilidad”.
Lo que está en juego si el sitio de la FGE de Puebla sufre un hackeo
El portal de la Fiscalía es la ventana digital de la institución responsable de investigar y perseguir delitos en todo el estado de Puebla. Además, es un canal a través del cual ciudadanos, víctimas y denunciantes interactúan con el sistema de justicia.
Una vulneración exitosa a este portal podría derivar en el robo de datos personales de quienes presentan denuncias. Así como la suplantación del sitio con fines de extorsión o fraude, o la interrupción del servicio en momentos críticos para la operación de la Fiscalía de Puebla.
El análisis técnico recomienda como medidas urgentes la migración a un servidor moderno, la ocultación de las cabeceras que revelan información del software. Así como la contratación de un servicio de mitigación de ataques DDoS y la implementación de las cabeceras de seguridad faltantes.
Te puede interesar:
