Certificados de la FNMT caducados desde 2024 y webs con fallos. A veces lo público no se distingue bien de las estafas
Publicado el 10/04/2025 por Diario Tecnología Artículo original
Hace un par de días, en un hilo de X, el activista y tecnólogo cántabro Jaime Gómez-Obregón (de quien ya hemos hablado aquí en ocasiones anteriores) ha puesto en evidencia una serie de fallos en los servicios digitales de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda. El mensaje, concretamente, iba dirigido al equipo de CERES, el departamento de la FNMT encargado de los certificados electrónicos.
Un certificado caducado que compromete la confianza
En su hilo, Gómez-Obregón señalaba que el certificado con el que la FNMT firma el paquete para Mac de su «Configurador FNMT» estaba caducado. Esta situación genera una advertencia de seguridad en el sistema operativo, que alerta al usuario de que el software "puede que no sea auténtico".
Errores visuales y fallos de usabilidad
El segundo punto denunciado por Gómez-Obregón estaba relacionado con la experiencia de usuario: según muestra en un vídeo, al navegar por la web de CERES con el navegador Safari, se produce un 'bug' al pasar el cursor sobre determinadas zonas de la interfaz. Aunque algo aparentemente simple, pone de manifiesto una falta de pruebas de calidad en los entornos de usuario.
Lenguaje institucional incoherente
Dejando a un lado lo técnico, el hilo también entra en el terreno de la comunicación institucional: Gómez-Obregón destaca inconsistencias ortográficas y estilísticas en los textos del sitio web de la FNMT, entre ellas el uso alternante de tratamiento de tú y usted, el uso errático de mayúsculas y la escritura numérica incorrecta según las recomendaciones de la RAE.
"Si la Administración no escribe bien y hace las cosas bien, entonces, ¿quién lo hará?", se pregunta él.
Nosotros nos preguntamos otra cosa: si constantemente los cuerpos de seguridad del Estado mencionan los errores ortográficos como indicador de potenciales ciberestafas, ¿en qué lugar queda la Administración cuando cae en esos mismos errores?
El usuario ya no sabe a qué carta quedarse
Una de las respuestas al hilo sirve de ejemplo de lo que muchos usuarios experimentan cada vez que la Administración mete la pata en cuestiones digitales: temor frente a advertencias de ciberseguridad que no saben interpretar y que, en el mejor de los casos, les hacen pensar en las múltiples alertas que lanzan las propias instituciones sobre estafas online.
Y es que, si el certificado de una entidad tan reconocida como la FNMT aparece como caducado, el ciudadano medio no puede saber si se trata de un fallo administrativo o de un ataque malicioso, en un contexto donde proliferan campañas de suplantación de identidad, como de la que advierte en el tuit el enlace a la web del INCIBE.
"Detectada campaña de suplantación a la FNMT y a la AEAT con la intención de infectar tu dispositivo con un ransomware", rezaba este aviso.
El hecho de que una usuaria identificara un aviso oficial del INCIBE sobre campañas de suplantación vinculadas precisamente a la FNMT y la Agencia Tributaria demuestra cómo los criterios para distinguir entre lo legítimo y lo fraudulento se desdibujan peligrosamente cuando la Administración no hace sus deberes.
La Administración responde
La crítica de Gómez-Obregón no cayó en saco roto. Raquel Poncela, directora de Servicios Digitales e Innovación en FNMT, respondió dos días después, agradeciendo las observaciones y confirmando que el certificado caducado ya había sido renovado, a la espera de que las cachés de la red Akamai se actualizasen.
Imagen | Marcos Merino mediante IA
utm_campaign=10_Apr_2025"> Marcos Merino .