El siguiente es un artículo publicado en la edición utrerana local de TuPeriódico, el 7 de septiembre de 2019. Los datos contenidos en este artículo se refieren a ese momento y pueden no ser iguales a la actualidad.
Le invitamos a hacer un experimento: escriba en su ordenador utrera.org. Accederá (o debería) a la página del ayuntamiento. Escriba ahora https://utrera.org (sin www) y piense en lo que ve.
Aquí se lo explicamos.
Seguridad
Cualquiera que haya accedido a la página del ayuntamiento se ha percatado del aviso de su navegador de que «el sitio no es seguro» junto con una pequeña explicación del hecho que reza: «la conexión con este sitio no es segura» y que no se debería introducir información confidencial en el sitio web, como por ejemplo contraseñas o tarjetas de crédito porque los atacantes podrían robarla.
Puede no parecer un problema, pues a priori la página del consistorio sirve para informar a la ciudadanía, pero se debe tener en cuenta que es el acceso tanto a la sede electrónica, como al portal de empleados y otras páginas, servicios, todos ellos en el interior del centro de proceso de datos del ayuntamiento de Utrera. Es esos servicios en los que, por un lado, hay que introducir datos personales y, por otro, que son acceso a documentación interna del ayuntamiento, donde la seguridad es cuestionable.
Según todos los manuales de seguridad informática, el acceso a una página segura debe realizarse desde otra página segura. Más aún cuando dichas páginas comparten dominio, como es el caso de la página de la Sede Electrónica y la página del ayuntamiento.
Una de las razones son las cookies, unos pequeños ficheros de texto que toda página web instala en nuestro ordenador para poder funcionar correctamente. Estas cookies sirven, entre otras cosas, para identificar si el visitante ya ha accedido con anterioridad a la página, además de otras informaciones. Un atacante malicioso puede, desde la insegura página del ayuntamiento, capturar la información que la página envía a la cookie y la respuesta que ésta le devuelve, en el proceso de conexión a la sede electrónica y presentarse como el ciudadano legítimo.
Otro de los ataques posibles consiste en infectar la propia página del ayuntamiento de tal forma, que pareciendo verdadera, inyecte contenido para interceptar la comunicación entre el ciudadano y la administración, para virtualmente hacer cualquier cosa, desde robar nuestros datos consultando el contenido de nuestro ordenador, o robar los datos de los ordenadores conectados al servidor de la página web del ayuntamiento, esto es, todos los del ayuntamiento mediante un ataque XSS (Cross-site scripting o inyectado de guion en sitio cruzado, por sus siglas en inglés).
Cabe recordar que el portal web fue remodelado en 2017 por la empresa utrerana Inventtatte por un valor de 15.950 euros tras una licitación en solitario, y que, como puede verse en la información del certificado, fue emitido también en 2017. Dicho certificado sólo cubre la sede electrónica. El resto de páginas del ayuntamiento son inseguras. También la del acceso de empleados y la del portafirmas digital.
El primero da acceso al sistema de recursos humanos del ayuntamiento, mientras que en el segundo se pueden gestionar los documentos que hayan sido remitidos para su firma electrónica, esto puede ser, decretos, bandos y cualquier otro de carácter oficial. De no utilizarse, puesto que no se incluye en el sistema Cl@ve estatal y estaría obsoleto, cabe preguntarse porqué el ayuntamiento sigue conservando un servidor dedicado consumiendo recursos públicos. Tal y como es el modelo de la Red Sara de portafirmas para Entidades Locales, cuanto menos, está muy desactualizado, con todo lo que ello quiere decir en términos de seguridad y funcionalidad.
Tan insegura es que obtiene el grado F, el más bajo, en el análisis de seguridad del Observatorio de Seguridad de la Fundación Mozilla, como se puede comprobar en este enlace. Incluso la Sede Electrónica, en el análisis del certificado, no llegar más que a alcanzar el grado B, lo que no asegura el correcto cifrado de los datos. Por ejemplo, la página de Tu Periódico está asegurada con 8 certificados de grado A.
Velocidad y usabilidad
Aunque puede observarse a simple vista, la web del consitorio se enmarca entre las más lentas no sólo del municipio, también de internet. Según la prueba para velocidad de páginas de Google, la web municipal apenas alcanza un 16 sobre 100 en velocidad. La página más reciente creada por el ayuntamiento, la web del abate Marchena, se sitúa en un 88 sobre 100, aunque Google indica que no tiene suficientes datos a tiempo real sobre la velocidad de esta página. Es decir, que prácticamente no se ha visitado.
El portal municipal de Utrera es una adaptación de un conocido y gratuito sistema de gestión de contenidos, WordPress, que ofrece innumerables soluciones para servir una página de forma rápida y eficaz. El tema principal, Extra, cuya licencia de por vida cuesta 225 euros, es muy adaptable, aunque está pensado para periódicos y magacines digitales.
El análisis de la web además nos indica que no está preparada para personas con discapacidades, algo que es de obligado cumplimiento para toda la administración, de acuerdo con el Real Decreto 1112/2018, por el que toda web del sector público debía cumplir los mínimos exigibles antes del 20/09/2018. No obstante, con anterioridad existían tres leyes estatales (para los sitios web de la administración (56/2007), las sedes electrónicas (11/2007) y los portales de transparencia (19/2013)), así como una autonómica, la Ley 4/2017 de Andalucía.
Ejecución
Volvamos al experimento que les hemos propuesto al principio. Como sabe, la dirección de la sede electrónica es https://sede.utrera.org. Es importante la primera parte, ese https que nos indica que la página es segura. Si le quita la s a la dirección (http://sede.utrera.org), el navegador le mostrará mágicamente la web del año del abate Marchena. Por otra parte, cuando se accede al histórico de la web http://historico.utrera.org, aparece un error de servicio no disponible. Sin embargo, si le pone la s (https://historico.utrera.org) accederá a la página de entrada del correo corporativo del ayuntamiento.
Tanto caos de direcciones y servicios, falta de seguridad, con servicios obsoletos y desactualizados, no es más que una mala planificación y una peor ejecución en un cambio que debía mejorar no tanto estéticamente, como la usabilidad, la accesibilidad y el contenido. ¿Acaso su dinero como contribuyente merece algo inferior?