CCN, 20 años velando por nuestra seguridad

La ciberseguridad se ha convertido es una cuestión central en el mundo digitalizado y conectado. Pero esto no es nada nuevo. Los ciberincidentes siempre han ido de la mano de la informática. Ya en 1971, cuando los ordenadores todavía se circunscribían al ámbito militar, corporativo o de la Administración, apareció el virus ‘Creeper’, considerado el primer virus informático de la historia.

La llegada de las computadoras a los hogares y, sobre todo, la irrupción de internet, extendieron la ciberamenaza a toda la sociedad.

En 2004, la mitad de los hogares españoles contaba ya con un ordenador, según los datos del Instituto Nacional de Estadística (INE). Y casi cinco millones de hogares, alrededor de un tercio del total, disponían de conexión a internet.

Así pues, era evidente la necesidad de contar con algún organismo público experto en tecnologías de la información y ciberseguridad que protegiera a la ciudadanía, las empresas, las instituciones y las administraciones ante ciberamenazas que pudieran atentar contra la seguridad nacional.

La respuesta a esa demanda se concretó en la creación del Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), que este año celebra su 20º aniversario.

“El CCN, que ahora cumple 20 años, ha desplegado una serie de servicios de prevención, detección y respuesta que facilita a los organismos públicos unos niveles de ciberseguridad que les permiten convertirse en objetivos difíciles de atacar. Desde el CCN creemos que la transformación digital hace que cambie nuestra percepción de los activos importantes en un organismo o una empresa. Así, los sistemas y la información que contienen pasan a ser uno de los activos más valiosos a proteger”, declara su subdirector general, Luis Jiménez.

Además, hace hincapié en que “esta transformación digital nos lleva a un perímetro cada vez menos definido, donde se tiene que proteger toda la cadena y en la que el nivel de ciberseguridad lo establece el eslabón más débil”. “A la protección tradicional de la red corporativa, y sobre todo tras la pandemia, se añade la necesidad de protección de los accesos remotos de usuarios y otras empresas u organizaciones; las redes de control industrial —incluyendo domótica, dispositivos de seguridad física, control de edificios…—; los dispositivos móviles, claves para esta transformación; y el uso cada vez más extendido de nubes públicas que dan servicios de almacenamiento, computación, correo electrónico o mensajería instantánea”, especifica.

“Por ello, en estos años de cambios acelerados, se considera que la ciberseguridad debe acompañar a la transformación digital para que las mejoras que nos permiten ser más eficientes en nuestro trabajo diario no introduzcan riesgos innecesarios para nuestra información, para los servicios que proporcionamos y para la información de las empresas y de los ciudadanos que debemos custodiar”, expone.

Principales hitos del CCN

El CCN tomó forma tras la publicación del Real Decreto 421/2004, recibiendo sus primeras funciones. En sus comienzos, todos sus cometidos eran de carácter preventivo, como la formación del personal especialista en cifra, la elaboración de guías, la protección de información clasificada, la certificación de la seguridad de productos o la realización de auditorías previas dentro de los procesos de evaluación de sistemas que manejan información clasificada.

En sus 20 años de historia, el CCN ha ido creciendo, aumentando sus funciones y consolidándose como un elemento indispensable ante el incremento del volumen, la frecuencia, el alcance y la sofisticación de las ciberamenazas.

Apenas dos años después de echar a andar, en 2006, se creó el CCN-CERT (Computer Emergency Response Team). “Con el desarrollo de la Administración electrónica, los ataques se incrementan y se ordena al CCN que sea más proactivo en la defensa de las redes gubernamentales. Para ejecutar esta misión se crea el CCN-CERT —CERT Gubernamental Nacional en su origen—, con la misión de mejorar la ciberseguridad nacional”, explica Jiménez.

Así nació el centro de alerta y respuesta nacional ante ciberamenazas dirigidas contra sistemas clasificados, sistemas del sector público y empresas y organizaciones de sectores estratégicos para nuestro país, en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).

Al año siguiente, empezó a desempeñar sus labores como organismo de certificación. “La adquisición de un producto de seguridad TIC que maneja información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación de que los mecanismos de seguridad implementados en el producto son adecuados. De hecho, la evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. En España, esta responsabilidad está asignada al CCN”, reseña su subdirector general.

El despliegue de los Sistemas de Alerta Temprana (SAT) del CCN-CERT llegó un año después, “con el objetivo de ser capaz de detectar ciberataques a organismos públicos y empresas”. “En un primer momento, se inició el desarrollo del SAT de la Red SARA de la Administración. Y en 2010, comenzó la implantación de este servicio en los organismos públicos que decidieron adherirse. Estos sistemas han tenido un crecimiento exponencial, contando ahora con más de 500 sensores en más de 500 organismos y empresas”, destaca Jiménez.

Ese mismo año se produjo otro hito importante: la definición del Esquema Nacional de Seguridad (ENS). “El CCN-CERT empezó a operar y, en paralelo, se empezó a trabajar en un esquema de ciberseguridad que estableciera unos requisitos mínimos para los organismos públicos que les permitiera alcanzar unos niveles adecuados de ciberseguridad”, apunta Jiménez.

“Este esquema consta de 7 principios básicos, 15 requisitos mínimos y 73 medidas de protección. Su cumplimiento se gradúa en tres niveles y en sus últimas versiones permite una gran flexibilidad de aplicación con el empleo de los perfiles de cumplimiento. En este esquema se amplían las funciones del CCN para realizar actividades de detección y respuesta, destacando como misión principal actuar con la máxima celeridad ante cualquier agresión recibida”, detalla.

En 2017 se produjeron otros dos acontecimientos importantes en el desarrollo del CCN. El primero de ello fue la creación del CSIRT.es, que posteriormente evolucionaría hacia una Red Nacional de SOC (RNS). “Tras el incidente de WannaCry, se detecta la necesidad de habilitar espacios donde compartir la información sobre ciberataques entre sector público y privado. Por ello, el CCN-CERT activa el grupo CSIRT.es (Equipos de Respuesta a Incidentes de Seguridad, por sus siglas en inglés), que ahora mismo cuenta con más de 70 miembros. Posteriormente, en 2022, para alentar e incrementar este intercambio, se hace evolucionar este modelo hacia una Red Nacional de SOC que aglutina las capacidades de ciberseguridad públicas y privadas. Ahora mismo son 158 las organizaciones adheridas”, puntualiza el subdirector general del CCN-CERT.

El segundo hito de ese año fue la presentación del Catálogo de Productos y Servicios de Seguridad TIC (CPSTIC). “El departamento de Productos y Tecnologías del CCN (PYTEC) elabora este catálogo, en el que ofrece un listado de productos de seguridad TIC con unas garantías de seguridad contrastadas por el propio Centro. El CPSTIC facilita a los organismos de la Administración pública o entidades privadas que dan servicio a éstos la adquisición de productos y servicios de seguridad confiables para su despliegue en sistemas TIC bajo el Esquema Nacional de Seguridad o sistemas que manejen Información Clasificada”, aclara Jiménez.

Por último, nos detenemos en 2021, año en el que se puso en marcha la Plataforma Nacional de Seguimiento y Notificación de Ciberincidentes (PNNSSC). “Con la transposición de la Directiva de seguridad en redes de la Unión Europea, y para ser más eficientes en la gestión de ciberincidentes y la difusión de ciberinteligencia, se ordena al CCN-CERT el desarrollo de esta plataforma. Se desarrolla en coordinación con los otros CSIRT de referencia (Mando Conjunto del Ciberespacio e INCIBE) y permite, fundamentalmente, el intercambio ágil de información relacionada con ciberataques”, comenta.

Un futuro con muchos retos

Todos los pasos que ha dado el CCN en estas dos décadas han sentado las bases para afrontar los desafíos que tenemos por delante. “Los retos para el CCN en los próximos años son muchos. A medida que las tecnologías van evolucionando, se tienen que abordar más frentes”, admite el subdirector general del organismo.

Por ejemplo, destaca que uno de los principales desafíos que habrá de afrontar es el análisis y mitigación del riesgo que comporta el uso de la inteligencia artificial para mejorar el éxito de los ciberataques.

Igualmente, remarca que será preciso “desarrollar algoritmos de cifra resistentes a la computación cuántica y adaptar los equipos de cifra en servicio para hacerlos resistentes a la misma”.

También indica que habrá que “desarrollar y adaptar los requisitos provenientes de la Unión Europea sobre identidad digital y establecer las mejores prácticas en identificación biométrica”.

Asimismo, reseña que será necesario “establecer los requisitos de ciberseguridad de uso de los servicios en nube impulsando los conceptos de soberanía nacional en el uso y gestión de la información en nube”.

Por otra parte, apunta que el CCN tendrá que “impulsar la implantación del Esquema Nacional de Seguridad incrementando las certificaciones de conformidad en el ENS e impulsar el intercambio de información de ciberataques mediante la RNS y la PNNSC”.

Además, señala que “tras delegar gran parte de la capacidad de detección en las estructuras de ciberseguridad en la Administración General del Estado, las comunidades autónomas y las entidades locales, se abordarán servicios de ciberseguridad comunes muy específicos para detener los ciberataques que más impacto están teniendo en el sector púbico”. Este conjunto de iniciativas se concreta en las Medidas de Ciberdefensa Activa.