Mas información sobre la seguridad del CESICAT y denuncia por espionaje de correos privados

Ya preinformabamos del problema de seguridad al respecto en https://blog.satinfo.es/2013/una-filtracion-deja-en-evidencia-la-seguridad-informatica-de-la-generalitat/, y ahora nos llega esta noticia relacionada con ella (o derivada de dicho fallo de seguridad)
Un experto en seguridad informática detectó una situación de alta vulnerabilidad que afectaba a la Generalitat y denuncia que sus correos fueron espiados por responsables del organismo cuando informaba de ello a altos cargos del Govern.

Imagen que provendría de una intrusión en el sistema de gestión de recursos humanos del Institut Català de la Salut
Un consultor externo que trabajó para el Centro de Seguridad de la Información de Catalunya (Cesicat) presentó el pasado julio una denuncia penal contra los responsables del organismo, a los que acusa de interceptar sus comunicaciones personales con altos cargos de la Generalitat –los consellers Felip Puig y Ramon Espadaler– y con otra trabajadora de la administración. En estos correos, el experto en seguridad informática, que prefiere mantenerse en el anonimato, denunciaba la situación de alta inseguridad que había detectado en la Generalitat como un hecho grave al que había que dar respuesta.

Según explica, se trataba de una botnet que habría permitido a “ciber-criminales” capturar más de 2.000 credenciales de la Generalitat de Catalunya con las que podrían acceder a sus recursos y aplicaciones, comprometer datos personales, suplantar identidades o incluso “realizar ciertos ataques contundentes “, dice. En términos prácticos, esto implicaría que quien tuviera acceso a estos datos podría, por ejemplo, modificar el historial médico o un registro de ayuda económica de un ciudadano. Sin embargo, desde el Cesicat insisten que, a pesar de la acusación, las redes de la Generalitat son seguras y no ha habido ninguna intrusión.
La falta de respuesta a la denuncia interna en Cesicat, le llevó a apelar a los responsables políticos para denunciar “la inseguridad y malversación” al conseller de Empresa y Empleo Felip Puig, a altos cargos de Convergencia y, finalmente, a los diferentes grupos parlamentarios. A pesar de la gravedad de la inseguridad denunciada, la única formación que mostró interés por su denuncia fue la CUP.

Intervención de correos electrónicos
En este proceso detectó que los correos que enviaba a trabajadores y altos cargos de la Generalitat eran interceptados en diferentes ocasiones, según mostrarían las pruebas que aporta con la denuncia, por Xavier Panadero, trabajador del Cesicat, por Carles Flamerich, director general de Telecomunicaciones y Sociedad de la Información de la Generalitat y máximo responsable del organismo, y por una dirección de correo creada con este propósito. Desde el Cesicat, explican que están pendientes de si el juez decide o no abrir este caso para pronunciarse al respecto, pero admiten que el denunciante era un colaborador de la institución.

En caso de que se probaran estos hechos, se trataría de un delito contra la intimidad, como recoge el artículo 197 del Código Penal, por el que se contemplan penas de prisión de hasta cuatro años. Las pruebas se habrían conseguido, según explica la denuncia, se consiguieron mediante un sencillo procedimiento. El remitente envió los correos solicitando notificación que se habían recibido y, contra lo que sería de esperar, recibió confirmaciones de direcciones a las que no había dirigido los mensajes.

El denunciante señala la gravedad de estos hechos y explica que el procedimiento que se habría aplicado para interceptar sus correos, de probarse, se podría dar con cualquier comunicación que pase por los servidores de correo de la Generalitat. Por ello, en la denuncia pide que una investigación policial determine si se trata de una práctica generalizada en los sistemas de la Generalitat. Añade, además, que debería correr a cargo de la Policía Nacional y la Guardia Civil, y no de los Mossos d’Esquadra.

Ante estos hechos, el consultor presentó una solicitud a la Autoridad Catalana de Protección de Datos para ejercer el derecho de acceso a sus datos personales que estuvieran tratados por la Generalitat, pero denuncia que no obtuvo respuesta en el plazo de un mes que marca la ley, ni tampoco la ha recibido posteriormente.

Adjudicaciones a empresas cercanas a Convergencia
En declaraciones a Catalunya Plural, este experto en seguridad informática asegura que “nunca habrá seguridad si los proveedores y el personal se evalúan en base a relaciones más allá de lo profesional, como parece ser el caso de Incita Security”. Incita Security (antes llamada TB Security, la empresa que habría el elaborado los informes de seguimiento de activistas atribuidos al CESICAT) tiene como responsable territorial de ventas a Marc Lapuente, que según esta fuente sería miembro del secretariado de la sectorial TIC de Convergencia.

El Cesicat ha otorgado este año el contrato de servicio derivado del Acuerdo Marco de Servicios TIC a Incita Security y PricewaterhouseCoopers, cuya creciente relación con la Generalitat desde el cambio de gobierno se señalaba en el último anuario Mèdia.cat. La adjudicación ha sido por un valor de un millón y medio de euros en el caso de la primera y 2,7 millones en el caso de la segunda.

El grupo Incita ha protagonizado recientemente un importante conflicto laboral y ha cerrado todas las empresas menos Incita Security. El administrador de todas las empresas del grupo es Gorka Jiménez, que fue galardonado empresario del año 2011 y ahora afronta el cierre de sus empresas con deudas con administraciones públicas y con los trabajadores, que plegaron en agosto tras cuatro meses sin cobrar.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies