Iniciativa CpC: Cidadãos pela Cibersegurança

🔍 Segurança Digital nas Câmaras Municipais: Análise, Riscos e Ranking 2025 🏛️🔐

Published by

Rui Martins

on

Dados, Erros e Ranking:
https://docs.google.com/spreadsheets/d/1i-tkwoqrREiTTpLTdU_FT7aHjrNTbooD8rYhweoPWbI/edit?gid=865016022#gid=865016022
(para consultar o Ranking ver o final deste estudo)

As câmaras municipais têm sido notícias nos últimos anos por causa de incidentes de cibersegurança e, em particular, ransomware. Por essa razão têm sido, praticamente desde o início da CpC, um dos nossos focos:
https://cidadaospelaciberseguranca.com/2024/11/15/ataques-ciberneticos-e-falhas-de-seguranca-em-autarquias-portuguesas-riscos-e-repercussoes-os-casos-de-nelas-e-chaves/
https://cidadaospelaciberseguranca.com/2023/07/19/apresentada-a-ar-por-mais-ciberseguranca-nos-equipamentos-dos-gabinetes-dos-ministerios-e-dos-presidentes-de-camara-municipal/
https://cidadaospelaciberseguranca.com/2023/04/11/analise-aos-orcamentos-autarquicos-de-2019-a-2023-investimentos-em-ciberseguranca/
https://cidadaospelaciberseguranca.com/2022/04/14/indice-municipal-de-ciberseguranca-2022/

Por isso, na mesma linha, e em 2025 decidimos analisar os sites das câmaras municipais portuguesas em busca de várias métricas em três vertentes:
1) A qualidade dos seus certificados SSL (https)
2) A adesão e o seu nível de adesão aos regulamentos europeus que regem o uso de Cookies
3) A quantidade de tracking cookies
4) A boa configuração dos registos DNS envolvidos no processamento de email (SPF e DMARC)

1) Certificados SSL:
Quanto aos testes dos certificados SSL nos sites das câmaras municipais usámos o https://www.ssllabs.com/ssltest que realiza uma análise detalhada da configuração de segurança SSL/TLS de um site. Os principais testes são:
Verifica se o certificado SSL/TLS é válido, confiável e está correctamente instalado.
Testa quais versões do TLS (ex.: TLS 1.2, TLS 1.3) são suportadas e se versões inseguras (ex.: TLS 1.0, 1.1) estão habilitadas.
Avalia quais algoritmos de criptografia são usados e se há vulnerabilidades conhecidas.
Detecta problemas como BEAST, POODLE, Heartbleed, ROBOT, entre outros.
Examina o tamanho das chaves de criptografia e a robustez dos algoritmos usados.
Suporte a HTTP Strict Transport Security (HSTS) verificando se a protecção contra ataques de downgrade está ligada.
Testa como diferentes navegadores e sistemas operativos negociam a conexão TLS.
O teste da SSL Labs gera uma pontuação (de A+ a F) para indicar o nível de segurança da configuração SSL/TLS do servidor:
https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide

2) A adesão e o seu nível de adesão aos regulamentos europeus que regem o uso de Cookies:
Esta análise foi feita no https://scan.cookiehub.com/ que identifica e alerta quando o site não está em conformidade: “Your website is not GDPR compliant. Based on the scan, your website sets analytical and/or marketing cookies before consent, or an unknown cookie was detected, making it challenging to verify compliance. This may indicate non-compliance with GDPR, requiring action” e permite o envio por email das cookies que violam essas regras.
As Recomendações 30 e 32 do RGPD estão directamente relacionadas com cookies, dado que os cookies frequentemente envolvem o processamento de dados pessoais, como identificadores online (ex.: endereços IP, IDs de sessão, preferências do utilizador).
Rec. 30: Destaca a necessidade de medidas de segurança adequadas para proteger dados pessoais, o que se aplica ao armazenamento e processamento de cookies, especialmente aqueles que identificam utilizadores.
Rec. 32: Menciona a pseudonimização e criptografia, técnicas que podem ser aplicadas aos dados recolhidos via cookies para minimizar riscos de acessos não autorizados.
Além disso, o uso de cookies deve seguir o princípio da transparência e consentimento exigido pelo RGPD, reforçado pela Diretiva ePrivacy (também conhecida como “Lei dos Cookies”). Isso significa que os sites destas autarquias devem obter consentimento explícito antes de armazenar cookies não essenciais no dispositivo do utilizador.

3) A quantidade de tracking cookies
Ter um grande número de cookies de rastreamento num site de uma Câmara Municipal é problemático por várias razões:
a. Os sites das câmaras municipais são usados por cidadãos para aceder a serviços públicos, muitas vezes partilhando dados pessoais sensíveis (por exemplo, pedidos de documentos, pagamento de taxas, reclamações).
Os cookies de rastreamento podem recolher informações sobre o comportamento do utilizador e partilhá-las com terceiros, muitas vezes sem o seu conhecimento ou consentimento explícito.
b. Na União Europeia, o RGPD exige que os utilizadores sejam informados e consintam explicitamente antes de serem rastreados. Se um site da câmara municipal não pedir permissão clara para a utilização de cookies ou utilizar rastreamento desnecessário, pode estar a violar a lei e sujeitar-se a multas.
c. Os cidadãos esperam transparência dos serviços públicos. Se descobrirem que os seus dados estão a ser rastreados para fins comerciais ou publicitários, podem perder a confiança na câmara municipal.
d. Alguns cookies de terceiros podem ser usados para rastrear utilizadores entre diferentes sites, criando perfis detalhados que podem ser explorados por hackers ou empresas mal-intencionadas e se os serviços de rastreamento forem comprometidos, podem ser usados para ataques de phishing ou para injectar conteúdos maliciosos no site da câmara.
e. Um número elevado de cookies de rastreamento pode tornar o site mais lento, pois cada cookie envia dados para servidores externos. Isto pode prejudicar a experiência do utilizador, especialmente para pessoas com ligações de internet mais lentas ou que usam dispositivos antigos.

O que deve fazer uma Câmara Municipal?
a. minimizar o uso de cookies de rastreamento e usar apenas os essenciais para o funcionamento do site.
b. informar claramente os utilizadores sobre os cookies usados e dar-lhes a opção de recusar.
c. garantir que qualquer cookie não essencial requer consentimento explícito (RGPD).
d. Utilizar alternativas controladas pelo governo: preferir ferramentas de análise sem rastreamento excessivo, como o Matomo em vez do Google Analytics

A presença de tracking cookies de terceiros pode representar um risco de segurança para o site. Cookies maliciosas podem ser explorados por terceiros para ataques, comprometendo a segurança do site e dos dados dos seus utilizadores. Nenhuma destas, felizmente, foi encontrada em nenhum site de uma câmara municipal.

De notar que praticamente todas as câmaras municipais enviam os dados de navegação nos seus sites para a Google através de várias Tracking Cookies. Apenas 12 em 309 câmaras não usam tracking cookies.

4) A boa configuração dos registos DNS envolvidos no processamento de email (SPF e DMARC)

Ter registos SPF corretamente formatados e um DMARC configurado é essencial para garantir a autenticidade dos e-mails enviados pelo domínio DNS e evitar problemas como spoofing, phishing e rejeição de e-mails legítimos. Aqui está a importância de cada um:
SPF (Sender Policy Framework)
O SPF define quais servidores estão autorizados a enviar e-mails em nome do domínio. É importante porque:
Evita spoofing e impede que remetentes maliciosos enviem e-mails falsificados do seu domínio.
E-mails enviados por servidores autorizados têm menos possibilidades de serem marcados somo spam.
Reduz riscos de phishing ao proteger os destinatários contra fraudes que utilizam o seu domínio.
Fornecedores de e-mail podem rejeitar e-mails enviados sem um SPF válido.

Exemplo de um SPF correcto:
v=spf1 ip4:192.168.1.1 include:_spf.google.com -all
O domínio autoriza o IP 192.168.1.1 e os servidores do Google a enviar emails.
O -all indica que qualquer outro servidor deve ser rejeitado.
Erros comuns:
Ter muitos registos SPF (deve haver apenas um por domínio mas duas câmaras tinham mais do que um SPF).

Exceder o limite de 10 “lookups” (o que pode invalidar o SPF).
Não incluir todos os serviços de envio de e-mail usados (ex: G Suite, Microsoft 365, etc.). Quatro câmaras municipais estão nesta situação.

DMARC (Domain-based Message Authentication, Reporting & Conformance):
O DMARC usa SPF e DKIM (DomainKeys Identified Mail) para definir políticas sobre como os e-mails não autenticados devem ser tratados. É importante porque:
E-mails sem SPF ou DKIM válido podem ser rejeitados.
Impede que terceiros enviem e-mails maliciosos no seu nome.
Envia relatórios sobre quem está enviando e-mails em nome do domínio.
Reduz a probabilidade dos emails legítimos irem para spam.

Exemplo de DMARC correcto:
v=DMARC1; p=quarantine; rua=mailto:relatorios@seudominio.com; ruf=mailto:fraudes@seudominio.com; adkim=s; aspf=s
p=quarantine: e-mails suspeitos serão colocados na quarentena.
rua: envia relatórios de actividades gerais.
ruf: envia alertas sobre possíveis fraudes.
adkim=s e aspf=s: aplicam validação rigorosa para DKIM e SPF.

Políticas do DMARC:
p=none – Apenas monitoriza os envios e não bloqueia nada.
p=quarantine – Emails suspeitos vão para a quarentena (spam).
p=reject – Emails suspeitos são rejeitados imediatamente.
Erros comuns:
Começar com “p=reject” sem testes (use primeiro p=none para monitorizar).
Não configurar relatórios (rua e ruf) mas sem os mesmos, não se sabe se há problemas.
Não alinhar SPF e DKIM corretamente: O DMARC só é eficaz se pelo menos um for validado.

Em suma:
O SPF define quais servidores podem enviar e-mails pelo seu domínio.
O DMARC reforça a autenticação e fornece relatórios sobre tentativas de uso indevido.
Ter ambos bem configurados aumenta a segurança e a entregabilidade dos e-mails.

Análise do Ranking dos Sites das Câmaras Municipais de Portugal

Este ranking avalia a segurança e conformidade digital dos sites das câmaras municipais de Portugal, considerando factores como certificação SSL, implementação de protocolos de segurança de e-mail (SPF e DMARC), conformidade com o RGPD e presença de trackers de cookies.

Os sites e domínios DNS de 209 câmaras municipais foram avaliados pela CpC: Iniciativa Cidadãos pela Cibersegurança em 6 métricas usando dados públicos e ao alcance de qualquer utilizador na Internet.

Em primeiro lugar, ex-aequo, estão – em 2025 – Loures, Ponte de Sôr e Vila Franca do Campo. Seguidas, em 2º, por Viseu, Espinho, Graciosa, Vila do Bispo e Póvoa do Varzim. Em 3º temos Castelo Branco e Vila do Porto.

Todas as 8 câmaras mais bem classificadas têm certificados https da mais alta qualidade (no teste da SSL Labs): A+, todas têm sites https, e têm os seus domínios de email devidamente configurados contra apropriações (SPF e DMARC). Respeitam, também – todos – as regras de Cookies impostas pelo RGPD e possuem uma baixa quantidade de tracking cookies. Esta avaliação é o produto da fórmula:
=IF(B2=”T”; -3500;
IF(B2=”A+”;550;
IF(B2=”A”;500;
IF(B2=”A-“;450;
IF(B2=”B+”;350;
IF(B2=”B”;300;
IF(B2=”B-“;200;
IF(B2=”C+”;20;
IF(B2=”C”;-300;
IF(B2=”C-“;-350;
IF(B2=”D+”;-460;
IF(B2=”D”;-580;
IF(B2=”D-“;-690;
IF(B2=”E+”;-720;
IF(B2=”E”;-880;
IF(B2=”E-“;-960;
IF(B2=”F+”;-1090;
IF(B2=”F”;-1890;
IF(B2=”F-“;-2090;0)))))))))))))))))))
+ IF(D2=0;-3500;0)
+ IF(E2=0;-950;IF(E2=3;-800;0))
+ IF(F2=1;250;IF(F2=0;-100;0))
+ IF(G2=0;-500;IF(G2=1;250;0))
+ IF(H2=0;10;IF(AND(H2>=1;H2<=2);8;IF(AND(H2>=3;H2<=11);5;IF(AND(H2>=12;H2<=15);2;1))))

Que valoriza – de forma diferente – diversos componentes desta avaliação, penalizando os domínios de email que não têm SPF (uma lacuna difícil de compreender nos dias de hoje), não respeitam as regras de cookies do RGPD (o que pode levar a pesadas multas). A fórmula premeia os sites e domains melhor configurados.

Todas as câmaras terão uma semana para alterar estas situações (receberam um email) e – a ocorrer – essa alteração irá reflectir-se neste ranking.

No final deste ranking temos 4 câmaras municipais a quem apelamos – veementemente – para que corrijam os casos apontados (demos pistas sobre como podem fazer: com relativa facilidade):

Do fim para o princípio da lista estão:
Sernancelhe: cujo site não tem https (!) nem respeita as regras de cookies do RGPD, Penacova também não tem https, nem Freixo de Espada à Cinta. O Entrocamento já tem https mas tem erros graves no seu registo SPF o que deve interferir com o normal fluxo de email levando a perdas de mensagens. Embora não estejam tão mal classificados (devido a outras métricas) Vimioso, Marvão, Alcobaça e até Cascais têm SPFs com erro (para detalhes ver o Google Spreadsheet).

O ranking revela avanços significativos na segurança digital de algumas câmaras municipais, mas também expõe desafios como a falta de conformidade com o RGPD e vulnerabilidades nos protocolos de email. Melhorias na implementação de SPF/DMARC, reforço da segurança SSL e maior transparência na gestão de cookies são medidas necessárias para garantir a proteção dos dados dos cidadãos.

A distribuição das pontuações mostra uma grande variação:
Máxima: 1058 pontos
Média: -19.55 pontos
Mínima: -7599 pontos
Mediana: 255 pontos

Isto indica que algumas câmaras estão bem classificadas, mas muitas têm falhas graves.

Os principais problemas identificados entre as câmaras municipais são:
3 câmaras sem HTTPS: Indica uma falta de segurança básica.
106 câmaras não conformes com o RGPD.
36 câmaras com mais de 10 rastreadores o que pode violar a privacidade.
168 câmaras sem DMARC o que aumenta o risco de phishing via e-mail.
22 câmaras com SSL fraco com vulnerabilidade a ataques cibernéticos.
24 câmaras sem SPF ou com problemas o que leva a um risco de spoofing nos emails.

Recomendações de melhoria para os sites e domains das câmaras municipais:
1. Implementar HTTPS e reforçar a segurança do SSL: Garantir certificados atualizados e bem configurados.
2. Garantir conformidade com o RGPD: Rever políticas de cookies e garantir consentimento explícito.
3. Reduzir rastreadores no site: Evitar cookies desnecessários de terceiros.
4. Configurar SPF e DMARC corretamente:Melhorar a segurança dos e-mails institucionais

1. Implementar HTTPS e reforçar a segurança do SSL
Sites sem HTTPS permitem ataques como “man-in-the-middle” e exposição de dados dos utilizadores.
Ações recomendadas:
Adquirir e instalar certificados SSL de uma autoridade confiável (ex: Let’s Encrypt, GlobalSign).
Configurar o HSTS (HTTP Strict Transport Security) para obrigar a conexão segura.
Verificar a força da configuração SSL em SSL Labs.
Actualizar os protocolos de segurança para desativar TLS 1.0 e 1.1, mantendo apenas TLS 1.2 ou superior.

2. Garantir conformidade com o RGPD
A recolha inadequada de dados pode resultar em multas elevadas da CNPD (Comissão Nacional de Proteção de Dados).
Acções recomendadas:
Implementar um banner de consentimento de cookies que permita recusar ou aceitar cookies opcionais.
Criar uma Política de Privacidade clara, explicando como os dados são tratados.
Anonimizar IPs no Google Analytics e outras ferramentas de tracking.
Realizar auditorias regulares ao website para garantir a conformidade.
Utilizar CookieHub Scanner para verificar se há cookies não autorizados.

3. Reduzir rastreadores no site
Pode comprometer a privacidade dos utilizadores e violar o RGPD.
Acções recomendadas:
Eliminar rastreadores desnecessários, especialmente de terceiros como Facebook Pixel e trackers publicitários.
Usar Google Tag Manager para um melhor controlo sobre os scripts de tracking.
Testar o site com a extensão EFF Privacy Badger para verificar a presença de rastreadores.

4. Melhorar segurança dos e-mails institucionais (SPF & DMARC)
Sem SPF e DMARC, os e-mails da câmara podem ser falsificados e usados em phishing.
Ações recomendadas:
(ver acima)

Deixe um comentário

Previous Post
Next Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.