Ciberseguridad en las administraciones locales
En 2025, parece impensable que todavía existan ayuntamientos portugueses sin HTTPS en sus webs , con cookies de seguimiento instaladas antes del consentimiento de los usuarios y sin políticas mínimas de seguridad en los correos electrónicos institucionales. Y, sin embargo, ese es exactamente el escenario que encontré cuando realicé, junto con otros miembros del CpC, uno de los estudios más recientes de la Iniciativa Ciudadana para la Ciberseguridad (CpC), que evaluó 209 sitios web de ayuntamientos portugueses.
Las conclusiones son, de hecho, preocupantes: tres autoridades locales todavía gestionan páginas web sin HTTPS, la base de una navegación segura. Más de un centenar no cumplen con el RGPD y casi 170 no han implementado el protocolo DMARC, imprescindible para proteger sus dominios de correo electrónico contra el phishing y el spoofing. Se trata de fallos que, además de poner en riesgo los datos personales de los ciudadanos, minan la confianza de los ciudadanos en la administración pública local.
Sin embargo, este no es un problema nuevo. Durante años hemos escuchado sobre incidentes de ransomware que paralizan a las autoridades locales, exponen datos y revelan malas prácticas de seguridad digital. Sin embargo, el progreso sigue siendo lento y desigual. Algunos ayuntamientos, como Loures, Ponte de Sôr o Vila Franca do Campo, demuestran que es posible predicar con el ejemplo, cumpliendo con las mejores prácticas de seguridad digital. ¿Pero qué pasa con aquellos que continúan descuidando las medidas básicas?
La ciberseguridad no puede tratarse como un lujo o una prioridad de segundo orden. Es una cuestión de responsabilidad pública, especialmente cuando hablamos de instituciones que procesan datos sensibles de los ciudadanos, desde solicitudes hasta pagos de tasas y servicios en línea.
Existen medidas concretas, bien conocidas y técnicamente accesibles que deben implementarse urgentemente: Adoptar HTTPS en todos los sitios web, con certificados SSL correctamente configurados, actualizados y verificados periódicamente;
Cumplir con el RGPD, con banners de cookies transparentes y posibilidad real de consentimiento (o rechazo);
Reducir o eliminar los rastreadores innecesarios, especialmente aquellos de terceros con fines comerciales;
Configurar correctamente los registros SPF y DMARC en los dominios institucionales, evitando que los correos electrónicos de la cámara sean falsificados.
La ausencia de estas prácticas ya no puede excusarse por ignorancia. Los recursos existen, a menudo gratuitos, y la información está disponible públicamente: el estudio de CpC utiliza herramientas gratuitas y fácilmente utilizables como SSL Labs, CookieHub y escáneres DNS.
Si los ayuntamientos no priorizan la ciberseguridad, dejan la puerta abierta a ataques, comprometen la privacidad de los ciudadanos y desperdician recursos públicos en medidas de reparación que podrían haberse evitado. Además, están incumpliendo su deber de transparencia y confianza.
Este es el momento de actuar. Porque cada web sin HTTPS, cada cookie sin consentimiento, cada email vulnerable… es más que un error técnico: es un riesgo político, ético e institucional.
observador
