La existencia de un agujero de seguridad en una web no es noticia. Lo preocupante es que los responsables de dicha web sean avisados y tarden más de una semana y media en arreglarlo. Si a eso le añadimos que el agujero estaba en una web institucional a la que se ha dotado de un presupuesto de millones de euros (gestión de los dineros de España.es) la cosa si es muy preocupante.

La Asociación de Internautas alertó hace dos semanas de la existencia de un agujero de seguridad en la web del registrador español de los nombres de dominios nic.es. Esta web tenía varios directorios abiertos con información sensible y de la que se podía obtener información, tanto a nivel de operación en la gestión de nic.es incluso para sufrir con un posible ataque a su web.





En un principio, nic.es agradeció el aviso y nos comunico que se ponían manos a la obra para solucionar el problema. Pero lamentablemente solo lo solucionaron parcialmente. Pusieron una página index en el directorio abierto, dejando los directorios dependientes de el (mas lo que no descubrimos) abiertos.

De nuevo nos pusimos en contacto con NIC.ES para avisarles de la no idoneidad del parche que habían aplicado (y con comentarios de como solucionarlo) nos volvieron a agradecer el aviso y asegurándonos que estaban en fase de arreglarlo.

Esa fase ha tardado más de una semana. Claro, que eso no es nada, si lo comparamos con la lentitud de la concesión de los dominios.es.

Asociación de Internautas