Sitio Web de la Presidencia Española (2009-2010)

De ingenio2010
Saltar a: navegación, buscar

Resumen

La presidencia de turno española puso a disposición de los ciudadanos de la UE una aplicación web. Este proyecto ha recibido diversas críticas por los elevados costes de ciertos servicios facilitados.

Estas críticas arreciaron a raíz de la detección de una vulnerabilidad que en proyectos de mucho menor coste ya hubiera resultado intolerable.[1] La cara de Mister Bean aparecio inyectada en la página web de forma que cualquier usuario podía reproducir el fallo introduciendo un texto en la casilla de búsqueda o pulsando un link que hacía alusión al dominio de la presidencia europea.

Historia

1 Enero 2010

La página del Congreso de los Diputados está inaccesible tras el paso a producción. [2].

Entre otras noticias leemos la siguiente:

[...] el Ejecutivo abonará a Telefónica y Telefónica Móviles un total de 11,9 millones de euros por prestar asistencia técnica y seguridad a la web de la presidencia española [...] [3]

3 Enero 2010

Mediante meneame.net se hace público el ataque mediante inyección de código, una deficiencia pasable en proyectos privados o de PYMES pero inaceptable en proyectos de ámbito internacional con un presupuesto millonario. De hecho madrid.org tiene agujeros de este tipo, pero no es un proyecto de ámbito internacional y a casi nadie le ha importado.

Enero-Febrero 2010

Se produce una batalla en los foros y blogs sobre el proyecto: por un lado los que defienden que es mucho dinero por un software deficiente, puntual e innecesario por otro lado los que defienden que no es para tanto.

Numerosos anónimos y otras personas que dicen trabajar en la empresa concesionaria del proyecto defienden la calidad del trabajo elaborado y critican el hecho de que se critique el fallo de la web, en una aparente maniobra de lobbying.

Las críticas dan lugar a que se analice el porque de semejante presupuesto: la partida de traducción era de 180.000 euros, un coste según muchos expertos muy elevado para semejante labor [4]

Detalle del caso

Responsable del desarrollo

En el enésimo ejemplo de la falta de transparencia en proyectos públicos resulta difícil saber quien fue adjudicataria del proyecto, cuando el caso salió a la luz se hablo de Telefónica y después de IECISA (EL Corte Ingles). [5].

Por lo visto varias empresas recibieron partes de todo el presupuesto destinado a la presidencia.

Análisis del caso

Mucho se ha escrito sobre la vulnerabilidad XSS que permitió colar a Mr. Bean en la página web de la Presidencia europea, indudablemente era un agujero de seguridad y como decía un informático en un foro:

Habrá quien diga que en una web donde el usuario no tiene que autenticarse, esto no es peligroso. A lo sumo, vale para gastar bromas a los amigos. A mí se me ocurren, usando XSS, cosas muy feas que hacerle a una web donde se van a publicar notas de prensa.

Obviamente la vulnerabilidad existía y teniendo en cuenta la relevancia del proyecto y su presupuesto es totalmente razonable exigir un mayor nivel de seguridad en el proyecto online.

Potenciales malas prácticas

Ingenio2010 está documentando internamente si se ha producido alguna de las siguientes prácticas inapropiadas en el desarrollo del sistema. Esto obviamente no constituye una acusación formal o una auditoría interna, es solo un estudio independiente a los participantes en el proyecto.

Falta de transparencia sobre el proyecto

Falta de seguridad

Referencias

  1. http://www.elconfidencial.com/espana/hacker-web-presidencia-espanola-foto_mrbean_20100104.html
  2. http://www.elpais.com/articulo/espana/Espana/asume/presidencia/UE/reto/impulsar/salida/crisis/elpepuesp/20100101elpepunac_2/Tes
  3. http://ecodiario.eleconomista.es/economia/noticias/1808775/01/10/Telefonica-recibe-12-millones-de-Moncloa-para-mantener-la-web-de-la-presidencia-europea.html
  4. http://www.securitybydefault.com/2010/01/eu2010es-el-fail-es-para.html
  5. http://www.hispanidad.com/noticia.aspx?ID=133371