En abril de 2019, la Online Trust Alliance de Internet Society publicó su 10.ª auditoría anual de Confianza en la Red y Cuadro de Honor. La auditoría analiza las prácticas de seguridad y privacidad de más de 1.000 sitios web punteros de Internet, desde plataformas comerciales hasta sedes electrónicas gubernamentales. En esta entrada vamos a proyectar una mirada larga y profunda al sector del gobierno federal de Estados Unidos analizado en la auditoría. El sector gubernamental está formado por los 100 mejores sitios del gobierno federal de Estados Unidos por volumen de tráfico (según la clasificación de Alexa). Dada la naturaleza del gobierno de Estados Unidos en comparación con las empresas, esta muestra tiene algunas peculiaridades, como, por ejemplo, la seguridad del sitio.
El aspecto más evidente en el que destaca el gobierno es en el terreno del cifrado. Esto se debe en gran parte a un mandato del Departamento de Seguridad Nacional, en virtud del cual todas las sedes electrónicas del gobierno de Estados Unidos deben cifrarse, pero todos los sitios deben seguir el mismo estándar. En otras palabras, el resto de los sectores de la auditoría no tienen excusa para ir rezagados en materia de seguridad.
En seguridad del sitio, el sector gubernamental sacó la mejor puntuación con una adopción del 100 % de las medidas de seguridad “Always-On Secure Socket Layer” (AOSSL) y/o “HTTP Strict Transport Security” (HSTS), en comparación con el 91 % de sitios en general. El sector de la salud fue el que sacó peor nota, en el que solo un 82 % de los sitios usa estas tecnologías. Ambas tecnologías aseguran que el tráfico del sitio web esté cifrado.
Casi todos los sitios de la auditoría sacaron una buena nota en estos temas, pero el sector gubernamental fue el único con una adopción del 100 % de dichas tecnologías. Desde el punto de vista de la OTA, todos los sitios deben adoptar estas tecnologías, y si bien resulta alentador que todas las sedes electrónicas del gobierno federal de Estados Unidos (o al menos las 100 mejores sedes) las usen, no lo es tanto que todos los demás sectores no las adopten al 100 % también.
Además, el sector gubernamental ha mejorado con el paso del tiempo. Todos los sectores mejoraron de algún modo, pero el gobierno federal fue el único que llegó a la meta. Una vez más, debemos reiterar que el gobierno federal tiene algunas particularidades que lo hacen único en algunos aspectos. El Departamento de Seguridad Nacional puede ordenar que se cifren los sitios y así se hace. Es posible que las empresas y otro tipo de organizaciones no sean tan directas, pero esto no debe ser una excusa para no ponerse manos a la obra para llegar al cifrado total.
En 2017, el 91 % de los sitios del gobierno federal estaba cifrado y ha subido hasta el 100 % este año, como se ha mencionado anteriormente. Otros sectores también mejoraron. Los sitios de ISP/alojamiento pasaron del 70 % en 2017 al 91 % en 2018. Los bancos, un sector en el que el tráfico cifrado del sitio web es particularmente importante por el tipo de datos que se transmiten en esos sitios, también experimentaron un mejora considerable. En 2017 solo el 76 % de los bancos cifraban sus sitios. En 2018, esa cifra subió al 91 %.
A pesar de las mejoras generales en el cifrado de sitios, los bancos son un buen ejemplo de avances insuficientes en algunos aspectos. El sector gubernamental fija la norma. La lección que pueden aprender todas las organizaciones a partir del éxito del gobierno federal de Estados Unidos es sencilla. Se pueden cifrar rápidamente grandes cantidades de sitios, y a cualquier organización le interesa hacerlo.
¿Qué resultado sacaría tu organización en la auditoría? Lee el informe para detectar tus vulnerabilidades y úsalo para mejorar la seguridad y privacidad de tu sitio. ¡Después mira la infografía o ve el vídeo resumen para obtener más información!