Centro Criptológico Nacional. Qué es, Funciones

El ciberdelito está aumentando en todo el mundo, impulsado por la conectividad global y el uso y la dependencia cada vez mayores de los servicios en la nube. A medida que las organizaciones adoptan los servicios en la nube, los controles de seguridad o firewalls locales normales y los procesos de gobierno de datos ya no se aplican, lo que presenta nuevos desafíos para las empresas que desean garantizar la seguridad de sus datos confidenciales. Por ello, se han creado diversos organismos con la misión de regular y controlar las amenazas cibernéticas y asegurar el cumplimiento de las medidas de ciberseguridad necesarias. Uno de ellos es el Centro Criptológico Nacional (CCN) del que vamos a hablar en este artículo.

¿Qué es el Centro Criptológico Nacional?

El Centro Criptológico Nacional (CCN) es la entidad responsable de coordinar la actuación de los distintos organismos de la Administración que usen medios o procedimientos de cifrado, garantizar la seguridad de las Tecnologías de la Información dentro de la administración, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo.

Este órgano se creó en el año 2004, a través del Real Decreto 421/2004, que lo adscribe al Centro Nacional de Inteligencia (CNI). En la Ley 11/2002, reguladora del CNI, se atribuye a dicho Centro el ejercicio de las funciones referentes a la seguridad de las Tecnologías de la Información y de protección de la información clasificada, y se encarga a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico Nacional. Por tanto, el CCN utiliza los mismos medios, procedimientos, normativa y recursos que el CNI.

¿Qué leyes regulan sus actividades?

Su ámbito de competencia está definido por las siguientes normas:

• Ley 11/2002, 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI)
• Real Decreto 421/2004, sobre ámbito y funciones del Centro Criptológico Nacional (CCN).
• Orden Ministerio Presidencia PRE/2740/2007, que regula el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, y que atribuye al CCN la función de ejercer como Organismo de Certificación (OC) de dicho Esquema.
• Real Decreto 03/2010, de desarrollo del Esquema Nacional de Seguridad (ENS), en el que se establecen los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la Administración.
• Comisión Delegada del Gobierno para Asuntos de Inteligencia, que define anualmente los objetivos del CNI mediante la Directiva de Inteligencia, que marca la actividad del Centro.

Además de las leyes anteriores, se han publicado varias normas en los dos últimos años que afectan muy directamente al sector de la ciberseguridad y, por tanto, a la actividad del Centro Criptológico Nacional. Entre otras, podemos citar:

• Real Decreto-ley 14/2019, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones
• La Estrategia Nacional de Ciberseguridad, aprobada en 2019, recoge las previsiones de la Estrategia de Seguridad Nacional de 2017 en el sector de la ciberseguridad.
• Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información.
• Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 sobre las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, también conocida como Directiva NIS. Se trata de la primera directiva comunitaria en materia de ciberseguridad, que entró en vigor el 9 de agosto de 2016 y que debe ser adoptada y publicada en cada uno de los Estados miembros antes del 9 de mayo de 2018.
• Estrategia de Ciberseguridad Nacional y los nueve Planes Derivados del Plan Nacional de Ciberseguridad, que fueron aprobados el 14 de julio de 2015 por el Consejo de Seguridad Nacional y que desarrollan la Estrategia y ordenan la actividad y el esfuerzo del Estado frente a este ámbito.
• Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas.
• Ley 40/2015, de Régimen Jurídico del Sector Público, que amplía el ámbito de aplicación del ENS al sector público institucional y la responsabilidad del CCN.
• Instrucción Técnica de Seguridad (ITS) de conformidad con el Esquema Nacional de Seguridad. Resolución de 13 de octubre de 2016 de la Secretaría de Estado de Administraciones Públicas.
• Instrucción Técnica de Seguridad (ITS) de Informe del Estado de la Seguridad. Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.
• Ley Orgánica 1/2015, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal en materia de delitos de terrorismo incluyendo tipos penales de ciberterrorismo.
• Instrucción Técnica de Seguridad (ITS) de Notificación de Incidentes de Seguridad. Resolución de 13 de abril de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Notificación de Incidentes de Seguridad.
• Instrucción Técnica de Seguridad (ITS) de Auditoría de la Seguridad de los Sistemas de Información. Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.

¿Cuáles son sus principales funciones?

Las principales funciones del CCN son las siguientes:

Gestión de incidentes

El CCN realiza una colaboración con todos los organismos públicos y empresas estratégicas en la detección, notificación, evaluación, respuesta, tratamiento, y aprendizaje de incidentes de seguridad de información o ciberincidentes que puedan sufrir sus sistemas. Proporciona apoyo técnico y operativo, tanto en las etapas de detección, como en la reacción, contención y eliminación.

También realiza una política preventiva, en la que un equipo de expertos se encarga de investigar sobre técnicas empleadas, tendencias, soluciones y procedimientos más adecuados para hacerles frente, incluyendo metodologías para recopilar y analizar datos y eventos, procedimientos de tipificación de su peligrosidad y priorización de los mismos.

Sistema de alerta temprana de incidentes

Con ello se pretende actuar antes de que ocurra un incidente o, por lo menos, detectarlo en un primer momento para reducir su impacto y alcance. Este Sistema de Alerta Temprana (SAT) para la detección rápida de incidentes y anomalías dentro de la Administración y de las empresas de interés estratégico, se enmarca dentro de las acciones preventivas, correctivas y de contención realizadas por el CCN.

Existe un portal de informes al que pueden acceder los responsables de seguridad autorizados para consultar en tiempo real eventos de seguridad y para generar informes a medida.

Formación y sensibilización

El Plan de Formación del Centro Criptológico Nacional proporciona un completo programa de cursos de formación, adaptado a las necesidades planteadas. La oferta formativa del CCN, con un diseño flexible, se crea para ofrecer una respuesta eficaz a los retos del siglo XXI.

Tiene un enorme catálogo de cursos en materia de seguridad de las tecnologías de la información y la comunicación desarrollados por el Instituto Nacional de Administración Pública (INAP), en colaboración con el Centro Criptológico Nacional. También ofrece un catálogo de cursos online, según el perfil del usuario.

Por último, la solución VANESA, del CCN-CERT, es una plataforma de retransmisión de sesiones formativas en directo. Conserva las grabaciones y el material empleado, de manera que se permita su posterior visionado.

Guías de seguridad

Se trata de normas, instrucciones, guías y recomendaciones realizadas por el Centro Criptológico Nacional para mejorar el grado de ciberseguridad de las organizaciones. Periódicamente son actualizadas y completadas con otras nuevas, en función de las amenazas y vulnerabilidades detectadas por el CCN-CERT.

Se dirigen al personal de las Administraciones Públicas y empresas y organizaciones de interés estratégico y otras son de difusión pública para todos los usuarios.

Informes de ciberseguridad

Realiza informes sobre Código dañino, amenazas, actualidad, recomendaciones y buenas prácticas en materia de ciberseguridad.

Soluciones de ciberseguridad

El Centro Criptológico Nacional tiene la función de coordinar, promover y desarrollar soluciones que garanticen la seguridad de los sistemas, sirvan para mejorar la gestión de la ciberseguridad en cualquier organización y permitan una mejor defensa frente a los ciberataques.

Dentro de estas soluciones están:

• ADA: Plataforma de análisis avanzado de malware
• AMPARO: Implantación de seguridad y conformidad del ENS
• ANA: Automatización y normalización de auditorías
• CARLA: Protección y trazabilidad del dato
• CARMEN: Defensa de ataques avanzados/APT
• CCNDroid: Seguridad para Android
• CLARA: Auditoría de Cumplimiento ENS/STIC en Sistemas Windows
• CLAUDIA: Herramienta para la detección de amenazas complejas en el puesto de usuario
• ELENA: Simulador de Técnicas de Cibervigilancia
• EMMA: Visibilidad y control sobre la red
• GLORIA: Gestor de logs para responder ante incidentes y amenazas
• INES: Informe de Estado de Seguridad en el ENS
• LORETO: Almacenamiento en la nube
• MARIA: Plataforma Multiantivirus en tiempo real
• MARTA: Análisis avanzados de ficheros
• MONICA: Gestión de eventos e información de seguridad
• PILAR: Análisis y Gestión de Riesgos
• REYES: Intercambio de Información de Ciberamenazas
• ROCIO: Inspección de Operación. Auditoría de configuraciones de dispositivos de red

Cumplimiento del ENS

El CCN tiene la misión de asegurar el cumplimiento del Esquema Nacional de Seguridad.

Además, le corresponden las funciones de Auditorías Web y tiene capacidad forense y de ingeniería inversa.

¿Qué tipo de certificaciones realiza?

Dentro de las certificaciones realizadas por el CCN están las siguientes:

Funcional

El Organismo de Certificación (OC) certifica la seguridad de productos y sistemas de Tecnologías de la Información, según lo establecido en el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información y Comunicaciones y tras considerar, las pruebas de la instrucción del procedimiento, los informes de evaluación emitidos por los laboratorios acreditados y realizados conforme a los criterios, métodos y normas de evaluación de la seguridad indicados en el propio Reglamento.

Criptológica

El Centro Criptológico Nacional (CCN) es el órgano responsable de elaborar el Catálogo de Productos con Certificación Criptológica que incluye los productos capaces de proteger la información nacional clasificada. Obtendrá la certificación criptológica el equipo de cifrado que ha sido evaluado y ha obtenido dicha certificación del CCN. Se dispone de distinto tipos de cifradores: IP (Internet Protocol), de datos, coz, fax, PKI (Public Key Infraestructure), generadores de números aleatorios, centros de gestión, etc.

La evaluación criptológica se encarga de verificar el funcionamiento, la implementación y el análisis de los algoritmos utilizados, los mecanismos de seguridad y el correcto funcionamiento del equipo. Se les asigna un nivel de clasificación de la información para el que se encuentra autorizado a procesar según su fortaleza criptológica.

TEMPEST

El concepto alude a las investigaciones y estudios de emanaciones comprometedoras relativas a la información clasificada que se transmite, recibe, maneja o procesa por equipos o sistemas electrónicos. Estas emanaciones no intencionadas, al ser detectadas y analizadas, pueden dar lugar a la obtención de la información. Además, el término TEMPEST se refiere también a las medidas aplicadas para protegerse contra esas emanaciones comprometedoras.

El Centro Criptológico Nacional, como autoridad de certificación de seguridad TIC en el ámbito EMSEC (Seguridad de las emanaciones), tiene la función de desarrollar normativa Nacional en este campo, evaluar y certificar a equipos, sistemas e instalaciones, así como participar y asesorar en diferentes foros.

La norma TEMPEST se aplica a la información clasificada como confidencial. Por tanto, afecta a equipos, sistemas e instalaciones, tanto fijas como móviles en las que se genera o procesa esta información.

Listado de Guías CCN-STIC

El CCN tiene también la función de elaborar y publicar normas, instrucciones, guías y recomendaciones que garanticen la seguridad de los sistemas TIC. Esa función se materializa en las llamadas Guías CCN-STIC, un conjunto de documentos que se amplían y actualizan continuamente compuestos de diez series, en función de su temática: políticas, procedimientos, normas, instrucciones técnicas, guías generales, entornos Windows, otros entornos, Esquema Nacional de Seguridad, informes técnicos y procedimientos de empleo seguro.

Series CCN-STIC:

• Guías CCN-STIC de acceso público
• 000 Políticas
• 100 Procedimientos
• 200 Normas
• 300 Instrucciones técnicas
• 400 Guías generales
• 500 Entornos Windows
• 600 Otros entornos
• 800 Esquema Nacional de Seguridad
• 900 Informes Técnicos
• 1000 Procedimientos de empleo seguro
• 2000 Organismo de Certificación
• Guías sin soporte

800 Guías Esquema Nacional de Seguridad:

• 887E Guía de configuración segura Amazon WorkSpaces
• 887D Guía de configuración segura Multi-Cuenta AWS
• 887C Guía de configuración segura de conectividad híbrida en AWS
• 809 Declaración, certificación y aprobación provisional de conformidad con el ENS y distintivos de cumplimiento
• 887 Perfil de cumplimiento específico para AWS Servicio de Cloud Corporativo
• 887A Guía de configuración segura AWS
• 887B Guía rápida de Prowler
• 845A LUCIA. Manual de Usuario
• 845B LUCIA. Manual de Usuario con Sistema de Alerta Temprana (SAT)
• 845C LUCIA. Manual Instalación Organismo
• 845D LUCIA. Manual de Administrador
• 857 Requisitos de seguridad para Aplicaciones de Cibersalud en el contexto del ENS
• 823 Utilización de servicios en la nube
• 858 Implantación de sistemas SaaS en modo local (on-premise)
• 806 Plan de Adecuación al ENS
• 852 Aplicación del ENS en organismos pagadores
• 883 Guía de implantación del ENS para Entidades Locales
• 803 Valoración de Sistemas en el ENS
• 824 Información del Estado de Seguridad
• 844 Manual de usuario de INES
• 817 Esquema Nacional de Seguridad. Gestión de Ciberincidentes
• 885D Guía de configuración segura para Microsoft Teams
• 885C Guía de configuración segura para Exchange Online
• 885B Guía de configuración segura para Sharepoint Online

Glosario de términos:

• 401 Glosario y Abreviaturas
• 401 Glosario y Abreviaturas (HTML)

¿Cómo contactar con el Centro Criptológico Nacional?

Si quieres contactar con el CCN, puedes hacerlo por correo electrónico, por carta o por teléfono.

Email:

• Información general: info@ccn.cni.es
• CCN-CERT Global: info@ccn-cert.cni.es
• Organismo de Certificación: organismo.certificacion@cni.es

Dirección:

Centro Nacional de Inteligencia
C/Argentona, 30
28023 MADRID

Teléfono: 91 372 50 00