Una empresa de condones deja en ridículo la 'ciberseguridad' de las webs de Interior

En casa del herrero... condones. Un error de los responsables del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), el organismo del Ministerio del Interior encargado de prevenir ataques a los centros estratégicos del Estado, ha permitido que desde comienzos de noviembre una empresa especializada en comercializar preservativos, lencería y juguetes sexuales coloque de manera totalmente legal un enlace de su sitio web de ventas 'online' en un dominio de este departamento entre textos oficiales. El fallo fue descubierto el pasado martes por los propios responsables del CNPIC, según han confirmado a Vozpópuli fuentes del organismo. Desde el Ministerio, donde también se reconoce el error, sin embargo, se resta importancia al suceso. "En ningún momento ha supuesto un problema de ciberseguridad, aunque sí de imagen", admiten.

La dirección de Internet ahora utilizada para comercializar condones es www.cnpic-es.es, un dominio en el que se explicaba en qué consistía este organismo de ciberseguridad dependiente de la Secretaría de Estado de Seguridad y donde también se recogía la participación del propio titular del departamento, Jorge Fernández Díaz, y su 'número 2', Francisco Martínez, en actos relacionados con la protección de las infraestructuras críticas de nuestro país. Precisamente, en una de las fechas recogidas en esa agenda de actividades, en concreto en la del 9 de julio de 2014, se hace referencia a "información relativa a estructuras online" junto a un enlace a la página 'Condonia.com', de la que es titular una empresa barcelonesa del mismo nombre especializada en organizar reuniones de 'tuppersex' y en la venta a través de Internet de condones. "Te ofrecemos los preservativos más sexys del mercado, las mejores marcas y nuestros surtidos especiales", ofrecen en su web. 

Carlos Martínez, el gerente de la compañía, admitía este miércoles en conversación telefónica con Vozpópuli que Condonia SL es la dueña del dominio del CNPIC desde hace sólo unos días. En concreto, desde el pasado 2 de noviembre, según aparece reflejado en la página del Ministerio de Industria, Energía y Turismo. "Lo pudimos comprar porque sus anteriores titulares, que no sabíamos quiénes eran, habían dejado expirar su propiedad y a nosotros nos interesaba porque estaba 'bien posicionado' en Google, lo que nos permite 'situar' nuestro sitio mejor en los buscadores simplemente con colocar un enlace de Condonia", asegura. Martínez también detalla que lo adquirieron en una subasta y que tuvieron que pagar entre 100 y 1.000 euros por la misma, "un precio alto para un dominio, pero la web lo valía porque había tenido mucho tráfico de visitas".

Contenidos reales recuperados

El contenido utilizado en la misma lo recuperaron de modo automático, "sin mirar de qué se trataba exactamente", a través de una página llamada www.archive.org, en la que se almacenan textos e imágenes de la páginas que dejan de existir. "Es algo que se hace habitualmente y que hasta ahora no nos había causado ningún problema. Nosotros tenemos numerosas páginas con otras temáticas en funcionamiento del mismo modo y en las que situamos también nuestro enlace a Condonia para poder estar 'arriba' en los buscadores, que es de lo que se trata", recalca Carlos Martínez. Durante la conversación con este diario, el gerente de la empresa barcelonesa, visiblemente nervioso, anunció que iba a dar de baja inmediatamente la web www.cnpic-es.es "para no tener problemas. No sabíamos que pertenecía al Ministerio del Interior". Minutos después ya era imposible acceder a la misma, aunque el dominio será suyo durante un año, según se refleja en el registro de Industria.

Desde Interior muestran a este diario su sorpresa por el error, pero aseguran que todo había sido un problema de plazos y de burocracia. "Se debía renovar la propiedad del dominio, pero la empresa encargada de ello enviaba sus avisos a unos 'email' del CNPIC que ya no estaban operativos porque hace poco que se cambiaron", se justifican. Cuando se dieron cuenta de que había que renovar la titularidad, ya no dio tiempo. "La Administración tiene unos plazos para poder hacer determinados gastos y en esta ocasión se nos pasaron", reconocen. No obstante, aseguran que barajan ponerse en contacto con la empresa barcelonesa para recuperar el dominio. "Ya no se utilizaba, es cierto, pero muchos organismos que trabajan con nosotros lo siguen tecleando porque fue el primero que tuvimos y desde éste se redirecciona al actual, www.cnpic.es", añaden.

No obstante, el portavoz del departamento de Fernández Díaz insiste en que todo ha sido un fallo "menor" ya que, recalca, "en ningún momento ha supuesto un problema de ciberseguridad ni para la web principal ni para ningún organismo". Pese a ello, muestran su sorpresa porque el contenido utilizado por la compañía de preservativos para mantener operativo el sitio fueran textos oficiales aunque el diseño fuese totalmente distinto. "Está claro que sí ha podido producirse una mala imagen para la institución, pero nada más".

Una opinión muy distinta tienen algunos miembros del propio CNPIC consultados por este periódico. Integrantes de este organismo, en el que trabajan medio centenar de policías y guardias civiles bajo las órdenes de un mando del Instituto armado, señalan que "el error se veía venir y, sin embargo, quien debía evitarlo no lo ha hecho". Estas fuentes señalan como supuesto causante del mismo al responsable del área de ciberseguridad del Centro, un oficial de la Guardia Civil. Siempre según estas fuentes, el fallo "había empezado a afectar ya a la web de la institución y a otras que tienen enlace con la misma, entre ellas la del Instituto Nacional de Tecnologías de la Comunicación [dependiente del Ministerio de Industria]. Se han podido 'caer' en cualquier momento", aseguran. "Es inaceptable vender ciberseguridad con el CNPIC y que éste no sea ciberseguro", concluyen.

QUÉ ES EL CNPIC 

Creado en 2007, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es un órgano dependiente de la Secretaría de Estado de Seguridad que se encarga de "impulsar, coordinar y supervisar todas las actividades [...] en relación con la proteción de las infraestructuras críticas españolas", cifradas actualmente en unas 3.500. Encuadrado dentro del Consejo de Seguridad Nacional, que preside Mariano Rajoy, el CNPIC comparte trabajo con el CNI, con el Instituto Nacional de Tecnologías de la Comunicación, dependiente del Ministerio de Industria, y con el Mando de Ciberdefensa, creado recientemente por el departamento de Pedro Morenés. En concreto, el órgano de Interior se ocupa de la seguridad de las redes informáticas que garantizan servicios esenciales para el funcionamiento del país, como la electricidad, el agua y los transportes.

En su actual sitio web, www.cnpic.es, sus responsables presumen de fomentar "la participación de todos y cada uno de los agentes del sistema en sus correspondientes ámbitos competenciales. Mediante la integración de todos estos esfuerzos, se pretende fomentar un modelo de seguridad basado en la confianza mutua, creando una asociación público-privada que permita minimizar las vulnerabilidades de las infraestructuras críticas ubicadas en el territorio nacional", añaden. Entre los instrumentos que destacan para alcanzar este objetivo citan al Equipo de Respuesta a Incidentes de Seguridad, responsable de hacer frente, precisamente, a ataques cibernéticos que puedan suponer "la parada o inutilización de servicios tecnológicos, acceso a información privilegiada, alteración de información para manipular de forma fraudulenta los sistemas tecnológicos y la información que manejan, etc". De preservativos y juguetes sexuales, ni una palabra.