A los abogados españoles se nos proporciona un correo electrónico inseguro por defecto, enviándonos la contraseña en texto plano y con una configuración inicial que desvela el contenido de todas las conversaciones con nuestros clientes. Lo proporciona el Consejo General de la Abogacía Española, a través de las webs de muchos de los colegios de abogados españoles, como el ICAM.
Actualización (31/10/2014): Reporto las incidencias al ICAM por escrito a través del canal privado del colegiado. Sin respuesta.
Actualización (3/11/2014 a las 2pm): acabo de recibir una llamada del CGAE. Me indican que ellos lo hacen bien y que el sistema es seguro, ya que permite accesos http o https, siendo responsabilidad de los colegios el facilitar una u otra opción por defecto y siendo responsabilidad del abogado elegir una u otra para su uso.
Actualización (5/11/2014): Detecto que ICAM guarda en claro las contraseñas de todos los abogados con cuenta de correo @icam.es. Reporto el fallo al ICAM y actualizo este post con el hallazgo.
Actualización (7/11/2014): Reporto las incidencias al ICAM por escrito a través del canal privado del colegiado. Sin respuesta.
Actualización (08/11/2014 a las 8pm): Tras crear una petición en Change.org (aquí) dirigida al ICAM para que arregle los fallos de seguridad, el Colegio de Abogados cambia el acceso por defecto al correo solo desde su web principal para que sea https bajo cifrados SSL (aquí su nota de prensa por Twitter), manteniendo inseguros los demás accesos. El problema es que han olvidado cambiar el resto de enlaces (por ejemplo, los que ofrecen en el área privada para abogados, que siguen dirigiendo a http). El ICAM decide no responder a la la pregunta pública que les he hecho para saber si sus técnicos trabajan para solucionar el resto.
Actualización (13/11/2014): El caso, que ya salió en la prensa, vuelve a copar portadas por segunda vez (El Colegio de Abogados de Madrid, una casa con grietas). El ICAM no reacciona, a pesar de que también otros abogados e ingenieros publican posts sobre ello: ¿Por qué el servicio de correo de los Colegios de Abogados no es adecuado?, etc
Actualización (25/02/2015): Una persona del área de comunicación del ICAM filtra correos personales míos a la prensa durante lo que han llamado «una cena de amigos». Me entero gracias a un periodista al que le ha llegado uno de mis e-mails impresos.
Actualización (25/03/2015): Reporto las incidencias al ICAM por escrito a través del canal privado del colegiado (imagen). Sin respuesta.
Quede claro que:
- El servicio de correo electrónico que ofrece el CGAE a los abogados cumple una finalidad básica: envia correos sin cifrar y permite su cifrado.
- Existe la vía de acceso https (aquí), aunque no es la que el ICAM (por poner un ejemplo) ofrece por defecto a través de su web. La que ofrece por defecto es http://mail.icam.es/pronto/
Hace unos días (30/10/2014) presenté el Informe sobre la necesidad legal de cifrar información y datos personales en España, que acabamos de elaborar en Abanlex para una empresa de cifrado (que aparece en la portada del informe). Uno de los puntos más destacados del informe es el de la obligación de cifrar datos que pesa sobre todos los abogados: Los abogados estamos obligados a cifrar.
Los abogados tratamos datos que deben ser cifrados. No tienen por qué ser los que merecen ser protegidos con medidas de nivel alto según la LOPD, pero que nos obligan a cifrar tanto la información almacenada como las comunicaciones que realizamos con ellos. Envié este informe a varios medios de comunicación recibiendo respuestas de interés de casi todos ellos. El más interesado fue El Confidencial: especialistas contactados por el medio habían auditado el servicio de correo electrónico que se ofrece en la web del ICAM para cerciorarse de que los abogados podemos fiarnos de las herramientas que nos proporcionan los Colegios y había obtenido interesantes resultados: el correo del ICAM es inseguro por defecto.
Me personé a las pocas horas en el ICAM para advertir a mi Colegio de que El Confidencial iba a publicar al día siguiente una interesante noticia que desvelaba los fallos del correo electrónico que proporciona el ICAM a los abogados. A las pocas horas, El Confidencial mantuvo reuniones telefónicas con miembros del Colegio y del Consejo, por lo que mi visita igual no fue muy necesaria, pero creí conveniente hacerla. Me atendió la gente de comunicación del Colegio, que demostró inquietud y ganas de conocer qué es lo que realmente nos están dando a los colegiados.
Para estar seguro de que lo que iba a publicar El Confidencial era cierto y poder ayudar a mi Colegio en lo que hiciera falta, hice averiguaciones antes de ir al ICAM y trabajé con un auditor especializado en cifrados, a quien di acceso temporal y supervisado a mi cuenta del ICAM para que pudiéramos comprobar juntos las afirmaciones. Aquí el detalle:
¿El ICAM envía la contraseña en claro?
Dice el Consejo en su comunicado (ver aquí):
«Ni el Consejo General de la Abogacía Española ni el Colegio de Abogados de Madrid han remitido a los abogados los datos de usuario y contraseña en texto plano para su alta en los servicios telemáticos. El envío cifrado o encriptado garantiza la seguridad de la información y de los datos de acceso a los servicios de la abogacía»
Vamos a comprobar cómo miente el Consejo General de la Abogacía Española (CGAE):
Solicito una cuenta de e-mail @icam.es a través de la sección privada para abogados de ICAM. Para acceder a esta sección, ICAM me solicita identificarme con un certificado electrónico. Uso el certificado obtenido gratuitamente en la FNMT para persona física. A continuación, ICAM me solicita un usuario y contraseña únicos, que solo pude obtener acreditando en el Colegio mi condición de abogado. Accedo al área privada y remito mi solicitud enviando mis datos bajo cifrado SSL (https). En todo el proceso, la seguridad es máxima.
A las pocas horas, abro mi correo electrónico y recibo esto (tal cual se ve en la imagen):
El ICAM me envía el usuario y la contrasela en claro, junto con un enlace de acceso no cifrado. No me preocupé por que la contraseña estuviera en claro, porque el remitente es icam.es (supuse que enviaba los mensajes por canales cifrados) y porque mi correo solo opera bajo SSL. El envío de una contraseña en claro en estas condiciones que imaginé no es alarmante. No es el mejor sistema, pero podría ser suficiente.
El servicio del ICAM no me exige ni sugiere cambiar la contraseña enviada en claro. Como parte del experimento, estuve usando la misma contraseña inciial durante varios días y luego la cambié sin problemas por esta: «123456».
Comprobé el original del e-mail, del que he borrado algunas líneas personales y quitado una IP, y descubrí que no hay ni ápice de aplicación de cifrado alguno:
Return-Path: <correo@icam.es> Received: from mail.redabogacia.org (mail.redabogacia.org. [XXX.XXX.XXXX.XXX]) From: "Correo ICAM" <correo@icam.es> To: <pablo@prestadorloquesea.com> Subject: SOLICITUD CUENTA DE CORREO MIME-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable X-Mailer: Microsoft Outlook Express 6.00.2900.5931 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157 Su cuenta de correo: pablo@icam.es ha sido Activada, acceda a la = p=E1gina web http://mail.icam.es/pronto/ Usuario=3Dpablo y = Contrase=F1a=3DQSsj4075. Consulte instrucciones en la web del ICAM.
Para enviarme la contraseña, el ICAM aparentemente usa Microsoft Outlook Express 6, una versión de cliente de correo electrónico diseñada para Windows XP y que dejó de estar operativa en 2009.
Hablando con el CGAE, me revelan que no son ellos los que envían la contraseña de acceso en claro sino el Colegio de Abogados (ICAM en mi caso). Cabe la posibilidad de que la hayan enviado desde un SSL.
El valor de la información:
Un ‘caballero’ (con nombre y de una institución) me dijo un día antes de la publicación del artículo en El Confidencial: «Nosotros jamás enviamos la contraseña en claro. Además, la contraseña es de un solo uso. Y en el e-mail decimos que es obligatorio cambiarla».
Pues, querido ‘caballero’: Me habéis enviado la contraseña en claro. Llevo usando la misma todo este tiempo, para hacer pruebas, sin cambiarla. Y no me habéis informado de que es obligatorio cambiarla.
Dando vueltas al tema, veo que, ya que no cifran podrían haber usado la clave pública PGP que tengo en Red Iris (y que aprendí a usar gracias a Luis Delgado), y todos felices, pero no. De todas formas, si el CGAE envía el usuario y la contraseña desde un webmail o un servicio que cifra bajo SSL, todo perfecto. Pero… no parece que haya sido así. Lo explico en el siguiente punto.
A los pocos días decido cambiar mi contraseña de acceso a la siguiente: 123456. Se puede. Ningún sistema de seguridad me impide elegir una contraseña insegura.
http://mail.RedAbogacia.org opera sin cifrado SSL
Accedo a la portada que da acceso al servicio de correo electrónico del Consejo General de la Abogacía Española (mail.redabogacia.org).
Lo que encuentro es un servicio webmail sin cifrados SSL que corre en un servidor que el Consejo ha contratado a la sociedad Jazz Telecom, S.A. (o a un proveedor que usa sus servicios) y cuyas máquinas, ciertamente, están en Madrid, según la localización de su IP. Cierto es que existe una versión «https», pero si se usa la http, todoas los datos vuelan si cifrar.
El valor de la información:
El ‘caballero’ de antes me dijo también: «Si Microsoft me envía las contraseñas en claro, no entiendo por qué nosotros no podemos».
A ver: No sé si Microsoft hace eso, pero, si lo hiciera, lo haría usando conductos cifrados SSL, asegurando la confianza sobre el envío de los datos entregados. Además, Microsoft no es un Colegio de Abogados, ni ofrece herramientas preconfiguradas para el ejercicio de la abogacía en España. Es más, en EE.UU. (de donde es Microsoft), no hay una ley de protección de datos equivalente a la que hay en España y es posible que el servicio del que me habla sea para uso personal o privado.
De todas formas, aún no tengo por qué preocuparme. Hay servicios de correo electrónico basados en tecnologías que ofuscan los datos en origen y permiten su recepción clara en destino. Vamos a comprobar si este es el caso, en el punto siguiente.
Entrando en http://mail.ICAM.es desvelas tu contraseña
Abro la página de acceso al webmail del ICAM. El servicio tiene dos vías de acceso: una en html (mail.icam.es) y otra con un webmail en flash (mail.icam.es/pronto) pero las dos en http básico. El ICAM no lo dice en ningún lado, pero existe una versión oculta con SSL (aquí). Me decido por la flash que ofrece por defecto a través de su web, optando por la única opción con posibilidades de salvarse. El CGAE, en la reunión telefónica que he mantenido con ellos, me dice que no recomiendan la versión flash (cosa de la que me entero por teléfono porque no hay lugar que haya encontrado en el que el ICAM ni el CGAE lo digan). Veamos:
Antes de pulsar el botón «Entrar» pido a mi compañero auditor que haga un simple captura de los datos de autenticación. Es decir, le pido que me diga qué ve un cualquiera que esté enganchado buscada o casualmente a mi conexión. El resultado alucinante lo explico debajo del código.
Resultado: Al pulsar el botón «ENVIAR», mi contraseña de estrellitas (********) se convierte en texto plano (QSsj4075) y queda a disposición de cualquier persona conectada a mi red. Si me conecto a una red wifi cuyo router no he configurado yo personalmente (bares, restaurantes, aeropuertos, piñas…) debo llamar a mi cliente para pedirle que se despida de sus secretos, ya que yo he renunciado sin saberlo a mi deber de confidencialidad. Poca o ninguna confianza me genera un proveedor que me obliga a revelar en claro mi contraseña en cada acceso.
Me dice mi compañero auditor que «lo que hemos visto es el payload, es decir, la carga de los paquetes. La captura en sí es:»
Otros saben mi contraseña y yo jamás tendré constancia de ello. Puedo usar el correo de ICAM durante años y un tercero puede ver todo lo que envío y recibo. El Colegio quizá saque un comunicado diciendo que ellos no envían la contraseña en texto plano sino que es el abogado el que la envía de esa forma al pulsar el botón enviar. O que si no quiere que pase esto, puede entrar en https en lugar de usar la opción por defecto sin cifrar. En fin…
Es igual. Aún no estoy suficientemente preocupado. Continúo con la prueba.
Por defecto, http://mail.ICAM.es envía sin cifrar
Entro en el webmail y comienzo a redactar un e-mail para un cliente que se está jugando la cárcel. Afortunadamente, me ha enviado todas las pruebas a mi correo electrónico. ¡Es culpable! pero voy a usar el Derecho (y el artículo 24 de la Constitución) para salvarlo.
Voy a suponer que soy un abogado normal que confía en que la plataforma que me ofrece ICAM (por defecto en html) está preparada para este tipo de envíos. ¡Es impensable que un colegio de abogados entregue herramientas que permiten el envío de información sin cifrar! ¿O es pensable?
Pues, efectivamente, es pensable. De esta forma que he seguido, toda la información que envío desde mail.ICAM.es se transfiere en claro, sin cifrar y a disposición de cualquiera. ¡Hola mundo: he aquí que mi cliente es culpable! La prueba, en lugar de hacerla con un texto tan largo, la hicimos con una sola palabra en el subject («prueba»), captando sin querer los datos de la transmisión y obteniendo este resultado:
Estas fueron las palabras de mi colaborador:
Como bien te percataste, va todo en TEXTO CLARO, SIN CIFRAR. Como luego carga un applet en flash, podría ocurrir que este cifrase, pero NO es el caso.
Vemos los campos:
– “To”, “CC”, “BCC” à a quién/quiénes envié el mail
– “subject” à de qué trata
– “body” à el contenido
– Etc…
Por tanto, como se puede ver, este servicio de email está COMPLETAMENTE en CLARO, cualquiera, esnifando paquetes, puede obtener credenciales, emails (enviados y visualizados), etc…
Ahora mis ganas de usar el servicio de correo electrónico que me ha dado ICAM son cercanas a cero.
He tratado de usar la aplicación instalable del servicio de correo del CGAE, por si esta soluciona el problema. Pero, simplemente, no funciona. La he instalado en Windows 7 y 8, pero el ejecutable no muestra la herramienta, a pesar de estar corriendo en segundo plano. La única opción es desistir y usar el webmail inseguro.
Vamos a suponer que nadie nos capta la contraseña en el proceso de autenticación. ¿Cómo se debe usar el servicio de correo electrónico que nos ofrece el CGAE, a través de los colegios de abogados? Lo vemos a continuación.
El ICAM almacena las contraseñas en claro
La práctica más peligrosa que puede realizar un prestador de servicio de correo electrónico es guardar la contraseña en claro en su servidor. En cuestión de minutos y por medio de una inyección de SQL, un hacker malo puede obtener todas las contraseñas de todos los correos electrónicos de todos los abogados que usen el servicio de correo del ICAM.
Para comprobar que realmente el ICAM guarda las contraseñas en claro, en lugar de un hash de estas, realicé la siguiente prueba: solicité que me recordaran la contraseña.
Lo lógico habría sido recibir un enlace para crear una nueva contraseña. En cambio, recibí mi contraseña. Epic fail merecedor de un face palm.
Este error en el servicio de correo del ICAM es uno de los más graves que se pueden cometer en Internet. Según describe Yago Jesús en SBD (aquí), servicios como este son dignos del «muro de la vergüenza de la gestión de contraseñas«; es decir, son dignos de entrar en Password Fail. Si son admitos a esta web, cosa difícil porque necesitan probar el sistema y no son abogados del ICAM, una vez el Colegio solucione el error épico aparecerá en la web como servicio seguro, motivo de orgullo.
El 7/11/2014 reporté el fallo directamente al servicio informático del ICAM a través del área privada del Colegio para abogados.
Los abogados estamos obligados a cifrar
La explicación de por qué los abogados estamos obligados a cifrar, la encontramos en el Informe que hemos elaborado al respecto en Abanlex (descárgalo desde aquí) y del que me siento orgulloso. Es el primero que se ha hecho de este tipo y el primero de otros que vendrán, ya que faltan sectores afectados (como el de la prensa por su deber de secreto profesional y por ciertos datos que tratan). El informe se puede reutilizar gratis, incluso con fines comerciales 😉
Cómo se debe usar mail.ICAM.es
Lo primero de todo: no debes usar mail.icam.es en http sin SSL por todo lo que ya he dicho hasta aquí. Si te animas a usarlo es que no valoras en absoluto la confianza que tus clientes han depositado en ti, porque el ICAM almacena tu contraseña en claro y queda a disposición de «hackers malos». De todas formas, como hay gente para todo, vamos a ello.
Si te arriesgas, necesitarás instrucciones:
- El mail que envía ICAM dice: «Consulte instrucciones en la web del ICAM»
- ¿Dónde están esas instrucciones? No están. Solo encontrarás esto:
- Manual para configurar Outlook: Antes el ICAM prestaba un buen servicio de correo electrónico basado en la solución Google Apps. Ahora, que si por la NSA y que si por Snowden, no lo usan. Pero ahí sigue el manual antiguo.
- Condiciones de utilización del servicio de correo del ICAM: Nos comprometemos a no enviar SPAM. ¿Y las instrucciones?
- Guía práctica de adecuación de despachos jurídicos: Se encuentra en la sección privada para abogados. No dice nada sobre cómo cifrar. Y, de cualquier forma, no recomiendo usar esta guía porque está desactualizada desde 2011.
- Manual CommuniGate Pro: Buscando en Bing (¡¿quién usa Bing?! usé Google) encuentro el manual del programa de ordenador, en inglés, del que se puede sacar algo de información.
Quiero que mi webmail corra siempre bajo https. ¿Cómo lo configuro? Entrando siempre únicamente en https://mail.icam.es
Quiero cifrar mis comunicaciones. ¿Cómo lo hago? Sigue estos pasos:
1) Pulsa en «preferencias» y selecciona «Correo Seguro». Introduce una contraseña segura. Ojo: ¡Esto no convierte tu correo en seguro! Solo te genera un certificado de firma avanzada s/MIME.
2) Exporta la llave y el certificado de seguridad. Guarda el archivo en un lugar seguro y, por supuesto, no pongas como título su contraseña.
3) Haz la prueba de enviar un correo firmado electrónicamente con tu certificado avanzado. Si intentas enviar un mensaje cifrado sin haber seguido todos los pasos, te dará error.
4) Convence a tu cliente para que instale un certificado de firma avanzada en su gestor de correos electrónicos y te envíe un correo electrónico firmado electrónicamente. Solo de esa forma, tendrás acceso a su clave pública y podrás enviarle, en respuesta un correo electrónico cifrado.
Si no tiene certificado válido, puede probar uno de alguno de estos proveedores: Secorio, InstantSSL / Comodo o StartCom.
Yo hice la prueba con el certificado que ofrece la FNMT (sin éxito) y con el que ofrece Comodo (con éxito). El proceso es el siguiente:
- Accede a Comodo, entrega tus preciados datos personales, lee los términos (jeje), acéptalos y recibe en tu correo electrónico un enlace que te lleva a una página desde la que se descarga e instala un certificado en tu navegador. Expórtalo y guárdalo en un lugar seguro.
- Instala Thunderbird (no hagas el moñas usando Outlook 6) y configúralo con tu correo electrónico personal. Importa el certificado obtenido en Comodo. Marca la opción de firmar por defecto con el certificado importado y agrégalo también para realizar cifrados.
- Envía un correo electrónico firmado a tu cuenta de @icam.es
- Responde a este correo electrónico marcando las opciones firmado y cifrado. Envía y listo.
Así de sencillo es usar correctamente el sistema de cifrado con la herramienta profesional que provee el ICAM a sus abogados. ¡Creando confianza! Todo correo electrónico que envíes a tus clientes de otra forma es una potencial causa de ilicitud. De todas formas, por el comunicado del CGAE, a quién le importa. Según lo que leo en el comunicado del Consejo, el abogado que use esta herramienta de endiablada dificultad es culpable de hacerlo mal.
Hablando con el CGAE me dicen que el sistema de cifrado es sencillísimo. Sí, ¿verdad?
Fui al ICAM a avisarles y colaborar con ellos porque creo en el Derecho. Creo en dar herramientas profesionales útiles a aquellos que las necesitan. Y me encuentro publicada una respuesta esquiva en la que aquellos que nos deben proteger se exculpan de su ineptitud y descargan su responsabilidad en el abogado que confía en ellos, sin mostrar un ápice de intención de arreglar el desaguisado que han montado.
Si el CGAE ofrece este servicio a los Colegios para que lo presten a los abogados, debe también velar por que esa prestación se haga de forma correcta. No puede consentir que se muestre por defecto la opción sin cifrar, que usen herramientas de correo como Outlook 6, que usen la versión flash que no recomiendan, que no tengan instrucciones de uso claras para los abogados, que permitan que las contraseñas en el proceso de identificación se envíen en claro… El CGAE debe velar por la confianza de los abogados en sus colegios o, por lo menos, manifestarse preocupado por ello.
Todos hacemos cosas mal. Suficientemente ciega es la Justicia como para que también lo sea el CGAE.
8 thoughts on “Estos son los fallos de seguridad en el servicio de email que el Consejo presta a los abogados españoles”
Comments are closed.
En caso de que deje un comentario, sus datos serán tratados por Pablo Fernández Burgueño con la finalidad de mantener publicado su mensaje hasta que decida suprimirlo. Tiene derecho a acceder, suprimir, rectificar los datos y otros derechos, como se explica en la política de privacidad
Haciendo amigos! jeje
Por desgracia es así en la mayor parte de los servicios ofrecidos, quizás este sea más sangrante por los temas que pueden tratarse o poner al descubierto. Por suerte poco a poco ya se empiezan a ver muestras de sensibilización en todas las partes y cada vez son más los servicios ofrecidos a través de protocolos cifrados, que es lo menos.
Excelente artículo, como siempre.
Posts como este son los que cambian el mundo y los que hacen que internet sea, con todos sus peligros y limitaciones, una herramienta maravillosa. Puede parecer algo trivial, pero que una persona sea capaz de hacer cambiar el servicio que ofrece una institución tan grande como el CGAE no es un hecho aislado, sino una de las grandes diferencias entre el siglo XXI y el XX. ¡Enhorabuena! 🙂
Muy buen artículo y de lo más util que he leido en el 2014..
Lamentablemente todo esto no es del todo conocido por todos los colegas.
Y afortunadamente tampoco es conocido por los clientes.
Muchas gracias por tu labor.
Yo llevo intentando AÑOS que el Colegio me conteste a por qué no aplican SSL en el correo para poder entrar con seguridad desde gestores de correo y NO CONTESTAN.
¿Cómo podemos dar a conocer esto a los colegas? ¿Se podría llevar a la próxima Junta General?