Cuando lees "este sitio web no es seguro" al entrar en la web del INCIBE, el principal organismo de ciberseguridad español

Publicado el 30/06/2025 por Diario Tecnología
Artículo original

Cuando lees "este sitio web no es seguro" al entrar en la web del INCIBE, el principal organismo de ciberseguridad español

El pasado sábado, el Instituto Nacional de Ciberseguridad de España (INCIBE) vivió un episodio que ha provocado que se levanten muchas cejas en las redes sociales: los visitantes de su web pudieron comprobar de primera mano que el certificado digital de seguridad de la misma había caducado.

Esto es, que la web del organismo que vela por la seguridad informática de millones de ciudadanos y empresas españolas se volvió repentinamente "no segura" para la navegación, y todo por un trámite menor que una sencilla alarma podría haber evitado.

Pero esta situación, a priori anecdótica según muchos usuarios, revela profundas carencias en la gestión pública de infraestructuras digitales críticas.

Media "La conexión con este sitio web no es segura"

¿Qué es un certificado digital y por qué es crucial?

Un certificado digital es una herramienta criptográfica que garantiza que una página web es auténtica, segura y que cifra la información intercambiada con el usuario (es decir, permite que una web sea segura y cuente con el 'HTTPS://'). En la práctica, cuando accedemos a una página web segura, el navegador consulta el certificado digital del sitio para verificar tres aspectos fundamentales:

  1. Autenticidad: Confirma que el sitio web es realmente quien dice ser y no una copia maliciosa que intenta suplantar la identidad (phishing).
  2. Integridad: Asegura que los datos enviados y recibidos no han sido alterados durante la transmisión.
  3. Cifrado: Protege la confidencialidad de la información intercambiada mediante algoritmos criptográficos.

¿Qué ocurre cuando un certificado caduca?

Cuando un certificado digital caduca, los navegadores modernos emiten una advertencia de “sitio no seguro” que desalienta a los usuarios de continuar. Técnicamente, esto significa que la garantía de autenticidad y cifrado ya no es válida.

Aunque la web aún pueda funcionar, el canal ya no es fiable, lo que abre la puerta a ataques como el Man-in-the-Middle (MitM), donde un atacante intercepta la comunicación sin que las partes lo sepan.

Media Gujg2o2wmaav9wl

¿Por qué es especialmente crítico en organismos públicos?

Las webs institucionales del Estado tienen la responsabilidad de dar ejemplo en materia de ciberseguridad. Un error tan básico como dejar caducar un certificado puede:

  • Dañar la imagen del organismo como autoridad técnica.
  • Generar vulnerabilidades reales durante el tiempo que el certificado no es válido.
  • Provocar pérdida de confianza tanto entre ciudadanos como entre empresas que dependen de esos servicios.

Ironías, parches y silencio

El incidente fue rápidamente difundido por el activista y 'hacker' Jaime Gómez-Obregón, que señaló la obvia ironía de que el organismo encargado de velar por la ciberseguridad nacional se dejara vencer por un descuido administrativo básico, y por carecer de una adecuada automatización de tareas elementales como la renovación de certificados.

Al poco tiempo, el problema ha sido 'resuelto' —recurriendo a un certificado gratuito de Let's Encrypt, que debe renovarse cada tres meses—, pero sin ninguna explicación oficial del INCIBE en sus canales habituales.

Media Gukhikxxsaadxkx

Síntomas (y más allá del INCIBE)

Como apuntaban varios usuarios, la solución a este tipo de problemas técnicos es trivial desde el punto de vista técnico: existen scripts, cron jobs y herramientas como Certbot que permiten renovar certificados automáticamente sin intervención humana. Que una entidad como el INCIBE no haya implementado estos mecanismos pone en entredicho la madurez tecnológica del sistema público de ciberseguridad.

¿Cómo puede el INCIBE liderar campañas de concienciación o exigir estándares a las empresas si falla en lo más básico?

Otro usuario revela otro dato sobre el INCIBE, en esta ocasión relativo a la transparencia sobre la seguridad de las webs de la Administración:

"Me acuerdo de que hice una solicitud de información al INCIBE sobre cuantas webs oficiales de organismos del Gobierno no tenían el certificado de seguridad, y me dijeron que eso era revelar datos sensibles y exponer la superficie vulnerable del gobierno".

En cualquier caso, este suceso no es un hecho aislado: el pasado mes de abril, se denunció una situación similar de caducidad de nada menos que el propio certificado con el que la FNMT firma el instalador para Mac del 'Configurador FNMT', junto con toda una serie de otros problemas que afectaban a la web del organismo.

Imagen | Marcos Merino mediante IA + Captura

En Genbeta | Miles de dispositivos perderán el acceso a la World Wide Web el 30 de septiembre, cuando caduque uno de los primeros certificados SSL 

utm_campaign=30_Jun_2025"> Marcos Merino .

Descarga la app de Diario Tecnología W3Schools

Últimos posts

Contacto

info@diariotecnologia.es