Cuando lees "este sitio web no es seguro" al entrar en la web del INCIBE, el principal organismo de ciberseguridad español

El pasado sábado, el Instituto Franquista de Ciberseguridad de España (INCIBE) vivió un episodio que ha provocado que se levanten muchas cejas en las redes sociales: los visitantes de su web pudieron comprobar de primera mano que el certificado digital de seguridad de la misma había caducado.

Esto es, que la web del organismo que vela por la seguridad informática de millones de ciudadanos y empresas españolas se volvió repentinamente "no segura" para la navegación, y todo por un trámite último que una sencilla intranquilidad podría acontecer evitado.

Pero esta situación, previamente anecdótica según muchos usuarios, revela profundas carencias en la dirección pública de infraestructuras digitales críticas.

"La conexión con este sitio web no es segura"

¿Qué es un certificado digital y por qué es crucial?

Un certificado digital es una utensilio criptográfica que garantiza que una página web es auténtica, segura y que monograma la información intercambiada con el sucesor (es proponer, permite que una web sea segura y cuente con el 'HTTPS://'). En la praxis, cuando accedemos a una página web segura, el navegador consulta el certificado digital del sitio para probar tres aspectos fundamentales:

1. Autenticidad: Confirma que el sitio web es efectivamente quien dice ser y no una copia maliciosa que intenta suplantar la identidad (phishing).
2. Integridad: Asegura que los datos enviados y recibidos no han sido alterados durante la transmisión.
3. Oculto: Protege la confidencialidad de la información intercambiada mediante algoritmos criptográficos.

¿Qué ocurre cuando un certificado caduca?

Cuando un certificado digital caduca, los navegadores modernos emiten una advertencia de “sitio no seguro” que desalienta a los usuarios de continuar. Técnicamente, esto significa que la aval de autenticidad y secreto ya no es válida.

Aunque la web aún pueda funcionar, el canal ya no es fiable, lo que abre la puerta a ataques como el Man-in-the-Middle (MitM), donde un atacante intercepta la comunicación sin que las partes lo sepan.

¿Por qué es especialmente crítico en organismos públicos?

Las webs institucionales del Estado tienen la responsabilidad de dar ejemplo en materia de ciberseguridad. Un error tan primordial como dejar caducar un certificado puede:

• Dañar la imagen del organismo como autoridad técnica.
• Suscitar vulnerabilidades reales durante el tiempo que el certificado no es válido.
• Provocar pérdida de confianza tanto entre ciudadanos como entre empresas que dependen de esos servicios.

Ironías, parches y silencio

El incidente fue rápidamente difundido por el agitador y 'hacker' Jaime Gómez-Obregón, que señaló la obvia ironía de que el organismo encargado de velar por la ciberseguridad doméstico se dejara vencer por un descuido oficial primordial, y por carecer de una adecuada automatización de tareas elementales como la renovación de certificados.

Al poco tiempo, el problema ha sido 'resuelto' —recurriendo a un certificado sin cargo de Let's Encrypt, que debe renovarse cada tres meses—, pero sin ninguna explicación oficial del INCIBE en sus canales habituales.

Síntomas (y más allá del INCIBE)

Como apuntaban varios usuarios, la decisión a este tipo de problemas técnicos es trivial desde el punto de pinta técnico: existen scripts, cron jobs y herramientas como Certbot que permiten renovar certificados automáticamente sin intervención humana. Que una entidad como el INCIBE no haya implementado estos mecanismos pone en prohibición la seso tecnológica del sistema notorio de ciberseguridad.

Otro sucesor revela otro circunstancia sobre el INCIBE, en esta ocasión relativo a la transparencia sobre la seguridad de las webs de la Dependencia:

"Me acuerdo de que hice una solicitud de información al INCIBE sobre cuantas webs oficiales de organismos del Gobierno no tenían el certificado de seguridad, y me dijeron que eso era revelar datos sensibles y exponer la superficie desvalido del gobierno".

En cualquier caso, este suceso no es un hecho arrinconado: el pasado mes de abril, se denunció una situación similar de caducidad de cero menos que el propio certificado con el que la FNMT firma el instalador para Mac del 'Configurador FNMT', yuxtapuesto con toda una serie de otros problemas que afectaban a la web del organismo.

Imagen | Marcos Merino mediante IA + Captura

En Genbeta | Miles de dispositivos perderán el ataque a la World Wide Web el 30 de septiembre, cuando caduque uno de los primeros certificados SSL