La obsolescencia informática pone una diana en el Congreso

El Congreso de los Diputados y las Diputadas acaba de licitar el contrato de servicios integrales de ciberseguridad gestionada en régimen 24x7, por un periodo de cuatro años y un presupuesto de más de 2,7 millones de euros. El objetivo es garantizar la  seguridad de todos los activos de información  del  Congreso y de los sistemas que les dan soporte. Aunque el blindaje digital de la Cámara Baja ha estado cubierto en el pasado, con Telefónica (a través de Telefónica Soluciones de Informática y Comunicaciones de España) como uno de sus proveedores de referencia, es la primera vez en muchos años que se realiza de manera integral. Con todo, quedan puntos básicos por resolver, como es la obsolescencia de los equipos informáticos que aún ejecutan sistemas operativos sin soporte.

Los pliegos del concurso detallan que éste comprende el hardware y/o software    necesarios, la operación, configuración, administración y soporte de todos los dispositivos y software asociados, la gestión ante incidentes de seguridad… todo ello alineado con los requisitos exigidos en el Esquema Nacional de Seguridad (ENS), el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, entre otros.

A pesar de que los detalles de los sistemas, las arquitecturas y los niveles de criticidad son confidenciales y los licitadores únicamente podrán acceder a ellos previa firma de un acuerdo de confidencialidad, los pliegos técnicos revelan que existen vulnerabilidades. Según se detalla en el apartado referido al “sistema de protección ante malware para servidores y endpoints”, admite contar con ordenadores personales con Microsoft Windows 7 y 10.

Como hemos referido en este espacio, la principal causa de los ciberataques más sonados es no tener al día los sistemas operativos, sin haber instalado las últimas actualizaciones en las que se incluyen parches de seguridad que resuelven fallas detectadas. Pues bien, Microsoft dejó de prestar soporte a Windows 7 hace más de un año, el 14 de enero de 2020, por lo que todo equipo que aún ejecute este sistema se encuentra desprotegido y sin parches de seguridad. Por cierto, el inicio de ese macrocontrato de ciberseguridad de 2,7 millones, aún sin adjudicar, no se producirá hasta el próximo mes de agosto, según los pliegos. Quizás por eso se recurrió a un contrato menor durante el último trimestre del año pasado con Telefónica, por valor de más de 16.300 euros, para servicios seguridad avanzada en ordenadores.

Ya el año pasado, en otro concurso público que se adjudicó el pasado mes de noviembre, el Congreso admitía contar con más de 700 ordenadores de sobremesa (HP Compaq) con una antigüedad media superior a los 11 años. Esta obsolescencia, además de afectar a la seguridad, también impedía, según la Cámara, “realizar convenientemente las tareas  que  se  requieren”. Finalmente se adjudicó a Inforein el suministro de deberán suministrar 758 ordenadores y 25 unidades ópticas de CD/DVD por algo más de 546.000 euros, y a Bechtle Direct 58 ordenadores portátiles de gama profesional por cerca de 55.000 euros.

Estas brechas de seguridad no son algo nuevo. Si uno repasa concursos públicos del pasado puede comprobar como ya en 2018, el Congreso sacaba a concurso la prestación de servicios de soporte técnico para la atención a usuarios y soporte a productos software, revelando que “el software utilizado de forma generalizada en los ordenadores personales de la Cámara es el siguiente: Sistema operativo de ordenadores personales y portátiles: Microsoft Windows 7 Enterprise y XP”. De nuevo, es llamativo que se estuvieran utilizando equipos con Windows XP cuando el soporte por parte de Microsoft a este sistema finalizó el 8 de abril de 2014. Al menos cuatro años al descubierto, sin parches de seguridad.

Esta dejación en materia de seguridad, que se da en tantas y tantas otras organizaciones público/privadas, aun se agrava más con el uso de terceras aplicaciones. Es el caso de la solución para videoconferencias Zoom, que el año pasado registró diversas vulnerabilidades para las que fue proporcionando actualizaciones. Entre ellas, la propia Oficina de Seguridad del Internauta advirtió de este riesgo, indicando que “afecta al sistema operativo Windows y podría permitir a un ciberdelincuente robar el nombre de usuario de la víctima y el hash de su contraseña de acceso al equipo. Aunque la contraseña no sea visible, si no fuera lo suficientemente robusta, podría ser deducida con facilidad. Además, utilizando la misma vulnerabilidad, el atacante podría ejecutar archivos y programas en el equipo de la víctima”. Pues bien, el Congreso adquirió en el último trimestre del año pasado, a través de un contrato menor, 65 suscripciones anuales a Zoom por valor de casi de  7.300 euros. Hagan juego.