El CNI publica una extensa guía de seguridad en WordPress

0 Flares Twitter 0 Facebook 0 Email -- Google+ 0 Reddit 0 StumbleUpon 0 Pin It Share 0 LinkedIn 0 Buffer 0 0 Flares ×
Wordpress Meeting en Viena (2013). Crédito: Flickr

WordPress Meeting en Viena (2013). Crédito: Flickr

El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia acaba de publicar en el mes de julio un amplio documento de recomendaciones de seguridad para WordPress, el popular gestor de contenidos pensado para blogs, pero que con el paso del tiempo ha ido mutando a funciones cada vez más complejas: e-commerce, fondos documentales, etc.

Si bien este organismo tiene como funciones declaradas la de establecer políticas públicas de seguridad en la transferencia de datos, la particular relación del CCN con la multinacional Microsoft en épocas de vigilancia masiva abre importantes interrogantes en el Esquema Nacional de Seguridad español.

Según la norma reguladora de este organismo, una de sus funciones es la de «elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración. Las acciones derivadas del desarrollo de esta función serán proporcionales a los riesgos a los que esté sometida la información procesada, almacenada o transmitida por los sistemas«.

La Guía comienza con un histórico de las distintas versiones que han ido apareciendo y cuestiones concernientes a la seguridad en WordPress (creado a partir del desaparecido b2/cafelog) y que debe su éxito, entre otros, a su licencia, su facilidad de uso y sus características como gestor de contenidos.

Un organismo desconocido por la opinión pública

Si bien la normativa reguladora de este Centro habla de la protección y seguridad de las tecnologías de la información, parece claro que el Centro Criptológico Nacional (CCN) tiene también dentro de sus funciones la ruptura de códigos, o el acceso a sistemas o comunicaciones de terceros. Es decir, como en todo grupo de hacking, el objetivo es utilizar ingeniería inversa que permita detectar vulnerabilidades propias y de terceros.

La importancia de su ubicación en la estructura orgánica del CNI y el no ser una agencia independiente, siguiendo el ejemplo del SCSSI Frances (Service central de la sécurité des systèmes d’informations), o el BSI Aleman (Bundesamt für Sicherheit in der Informationstechnik), radica en que tiene importantes funciones en materia de seguridad interna y control social.

Acuerdo con Microsoft

El CCN tiene a su disposición lo que el resto de los mortales no tiene: el acceso al código fuente del sistema operativo más utilizado por los españoles, Windows, y por supuesto, el acceso a las puertas traseras que permiten las acciones de vigilancia masiva, todo esto bajo el llamado Programa de Seguridad para Gobiernos (Government Security Program, GSP), que recientemente ha actualizado Microsoft.

Según la nota difundida por el CNI a principios de julio de 2015, este acuerdo trata, entre otros objetivos, «que los servicios disponibles por medios electrónicos se presten en unas condiciones de seguridad equivalentes a las que se encuentran los ciudadanos cuando se personan en a las oficinas de la Administración«, con lo que esta colaboración otorga a Microsoft un importante acceso al tráfico de datos que se produce en los organismos públicos españoles.

Fuentes: CCN / Intelpage.info

 

 

Diego Herchhoren