Pablo
Burgueño, abogado español, ha publicado una entrada en su blog personal en la
que muestra cómo el Colegio de abogados de Madrid ofrece a los abogados
españoles servidores de correo electrónico inseguros que, por defecto, no
cifran ningún tipo de dato y toda la información viaja en texto plano a través
de la red.
La
configuración por defecto que los servidores de correo electrónico ofrecen a
los abogados españoles no aplica ningún tipo de cifrado ni a la hora de enviar
los credenciales de acceso al servidor ni al contenido de dichos correos
electrónicos que podrían desvelar a terceras personas información confidencial
de sus clientes.
La
plataforma por defecto de acceso a las cuentas de correo de los abogados es
http://mail.icam.es/pronto/. Como podemos ver, esta plataforma no aplica ningún
tipo de cifrado, es más, está escrita completamente en Flash, un lenguaje
obsoleto e inseguro para la web en la mayoría de los casos. ICAM cuenta también
con un portal HTTPS sin flash: https://mail.icam.es/ pero el webmail
proporcionado por defecto es HTTP simple.
A
parte del fallo de seguridad para acceder al servidor de correo, a la hora de
intentar recuperar o cambiar la contraseña ocurre lo mismo, es decir, que los
servidores del Colegio de Abogados envía estos credenciales en texto plano y
sin aplicar ningún tipo de cifrado ni al correo en sí y a la conexión.
Igualmente
otro servidor de correo con el mismo fallo de seguridad es el del Colegio
General de Abogados de España, un servidor común para todos los abogados de
España que también envía los credenciales y el contenido de los mensajes a
través de conexiones HTTP por defecto.
También,
un segundo fallo de seguridad que se ha descubierto es que el servidor almacena
la contraseña completa en texto plano en sus discos. Esto es un gran fallo de
seguridad (y más si lo enviamos en texto plano al servidor de recuperación).
Los responsables de seguridad deben actualizar el servicio para que únicamente
almacene un hash que permita el acceso pero que impida la recuperación de la
misma sino que obligue a cambiarla completamente a través de un servidor
seguro.
Una
petición lanzada en change.org ha conseguido que ICAM habilite las conexiones
HTTPS seguras por defecto en sus servidores y en sus conexiones para mejorar la
seguridad y evitar que los abogados puedan ser espiados por terceras personas
interesadas.
Fuente:
Blog de Pablo Burgueño
