Multas por software obsoleto al gestionar una tienda web

Una empresa de Baja Sajonia ha sido multada recientemente con 65.500 euros por gestionar una tienda web con software obsoleto. Las vulnerabilidades de seguridad causadas por la antigua versión del software permitían calcular las contraseñas de los usuarios con poco esfuerzo.

La acusación

La autoridad de control competente aprovechó una notificación de la empresa a la autoridad debido a un incidente de protección de datos para comprobar la tienda web de la empresa.

Resultados de la investigación

Resultó que el sitio web utilizaba la aplicación de tienda web xt:Commerce versión 3.0.4 SP2.1. Esto ha sido obsoleto desde al menos 2004 y, en consecuencia, no hay más actualizaciones de seguridad disponibles. El fabricante llegó a desaconsejar el uso de esta versión debido a las considerables lagunas de seguridad, entre otras cosas por la posibilidad de ataques de inyección SQL.

Las contraseñas almacenadas en la base de datos se protegían con la función hash criptográfica "MD5", pero este procedimiento criptográfico ya no estaba a la última y, por tanto, ya no se diseñaba para su uso con contraseñas. Por tanto, era posible romper el antiguo procedimiento de cifrado de contraseñas.

Además, no se utilizó ninguna "sal", lo que habría dificultado mucho el cálculo sistemático al alargar la contraseña.

Ataques de inyección SQL

Con su ayuda, los atacantes pueden acceder a los datos de todas las personas registradas en la aplicación y a otros datos de la base de datos. Las vulnerabilidades de seguridad de este tipo surgen cuando no toda la entrada que puede ser modificada por el usuario final se enmascara para que no sea entendida como un comando por la base de datos. Si falta este enmascaramiento, cada comando es ejecutado por la base de datos como un comando con sus propios derechos. Las consecuencias son que toda la tabla de la base de datos puede salir, borrarse o modificarse.

La multa

La autoridad de control consideró que las medidas técnicas utilizadas por el responsable del tratamiento eran inadecuadas en el sentido del artículo 25 del RGPD y, por tanto, constató una infracción del artículo 32 I del RGPD.

A la hora de evaluar la multa, se tuvieron en cuenta los atenuantes de que la empresa informó a tiempo a las personas afectadas y recomendó establecer una nueva contraseña.

La empresa aceptó la multa de 65.500 euros.

Recomendación

A menudo, el uso de software actualizado y con parches es suficiente para evitar brechas de seguridad y hacer funcionar las aplicaciones web de conformidad con la normativa de protección de datos. El uso de procedimientos criptográficos actualizados es esencial y sólo requiere un pequeño esfuerzo. Las brechas de seguridad existentes se eliminan de forma sencilla y oportuna mediante actualizaciones del fabricante.

Además de las actualizaciones, realizamos periódicamente análisis de vulnerabilidades en todos nuestros clientes, tanto externos como internos, con el fin de encontrar las últimas lagunas técnicas de seguridad y vulnerabilidades en los sistemas informáticos del cliente.

En el sitio web de la Oficina Federal de Seguridad de la Información (BSI) y en la correspondiente directriz técnica "Kryptographische Verfahren: Recomendaciones y longitudes de clave" (BSI TR-02102-1).

En casos individuales, siempre es aconsejable el asesoramiento profesional sobre la solución más adecuada.