El Centro Criptológico Nacional detalla en su ‘Memoria Anual’ los esfuerzos por dotar a la administración de unos terminales robustos frente a ciberataques, entre los que destacan los Samsung
El Centro Criptológico Nacional, más conocido como CCN-CERT y órgano del CNI encargado de la ciberseguridad, pone a disposición de las grandes compañías telefónicas una prueba de choque para estudiar su blindaje frente a ataques. De entre ellos, destaca la robustez que ofrecen los Samsung, que han superado todas las exigencias. Otras compañías que presumen de la seguridad de sus terminales, como Apple, no han solicitado someterse a las pruebas del CCN-CERT.
En su Memoria Anual, el Centro Criptológico Nacional –también conocido como CCN-CERT, el órgano del CNI encargado de la ciberseguridad– detalla sus esfuerzos por determinar qué teléfonos son los más robustos frente a ciberamenazas: “En el año 2019 se ha continuado expandiendo la variedad de dispositivos móviles que el CCN pone a disposición de la Administración Española tras superar el proceso de cualificación o certificación”.
El CCN-CERT destaca la incorporación del Samsung Galaxy S9 en la lista de productos cualificados para la administración. Para formar parte de esta lista, el terminal tuvo que enfrentarse a las “correspondientes pruebas de evaluación” de los servicios de información.
Según fuentes del CNI, son las propias compañías telefónicas las que solicitan sus servicios para someter sus terminales a esas pruebas de estrés para conseguir la correspondiente certificación de producto cualificado. Apple no figura entre los peticionarios de ese servicio del Centro Criptológico Nacional.
El uso de Siri
El CCN-CERT sí hace referencia directa a las aplicaciones del sistema operativo de Apple en otro informe que publicó recientemente. Como contó Vozpópuli, ponía en entredicho la seguridad del asistente de voz de Apple presente en todos sus terminales. “La recomendación de seguridad y privacidad es evitar el uso de Siri en la medida de lo posible”. ¿El motivo? “Fragmentos de grabaciones recibidas en base al uso de Siri han sido accedidos por personal externo, sin que los usuarios afectados fueran conscientes”.
Pero no basta con que los miembros de la administración pública cuenten con terminales móviles seguros. Las mismas fuentes afirman que el CCN-CERT promueve campañas de concienciación para evitar actividades -en su mayoría, de forma inconsciente- que evidencien las vulnerabilidades de los teléfonos. La descarga de archivos corruptos y el acceso a correos electrónicos con troyanos suponen una brecha para acceder a información sensible o confidencial.
Como Huawei
Apple ha cargado siempre sobre sus espaldas el cartel de ser una de las firmas más seguras y estancas frente a ataques y vulnerabilidades, sin embargo, no ha pedido al CNI la pertinente cualificación a ninguno de sus equipos.
En la lista de productos cualificados tampoco figura Huawei. La compañía china, que tampoco ha solicitado la certificación, lleva dos años en el ojo del huracán. Donald Trump ha asegurado en reiteradas ocasiones que la firma con sede en Shenzhen utiliza sus dispositivos móviles para espiar al dictado del régimen dictatorial chino.
De hecho, ha prohibido el despliegue de redes 5G en suelo estadounidense, y hace unos meses mandó a un emisario por toda Europa para hacer lobby en favor de otras empresas «occidentales», como Ericcson o Nokia, dedicadas también al desarrollo de infraestructuras. De momento no hay evidencias claras de espionaje por parte de Huawei.
Hace unas semanas España otorgaba por primera vez una certificación de seguridad a un producto 5G, marchamo que recayó, paradójicamente, sobre Huawei. Por su parte la Unión Europea no ha tomado partido a favor o en contra de la enseña asiática, limitándose a establecer una serie de requisitos –toolbox– que cualquier producto o infraestructura 5G debe cumplir. «El objetivo final es crear un marco sólido y objetivo de medidas de seguridad, que garantizará un nivel adecuado de ciberseguridad de las redes 5G en toda la UE, mediante enfoques coordinados entre los Estados miembros», explican desde Bruselas.
¿Qué es un producto cualificado?
El CNI publica un Listado de Productos Certificados con aquellos dispositivos que cumplan una serie de requisitos en términos de seguridad, y los engloba en tres categorías: Alta, Media y Básica.
«Los productos con clasificación ‘Alta’ podrán emplearse en sistemas clasificados como ENS (Esquema Nacional de Seguridad) categoría Alta, Media o Básica y los productos con clasificación ‘Media’ podrán emplearse en sistemas clasificados como ENS categoría Media o Básica», explica el CNI. El ENS tiene como objetivo establecer la política de seguridad en el uso de medios electrónicos.
De la explicación facilitada por el CNI se extrae que aquellos productos sin la certificación Alta Media o Baja no podrán ser utilizados en sistemas ENS certificados con categoría Alta, Media o Básica.