CENTRO CRIPTOLÓGICO NACIONAL CCN

Hasta hace poco este organismo era secreto y desconocido, ahora ha salido a la luz y a través de su pagina www.ccn.cni.es, se puede acceder a herramientas de seguridad y la lista de productos certificados, se cree que existe con ese nombre desde 1985 en el antiguo CESID, al que ya se le asignaban funciones en la materia través de un Real Decreto de 1985: "Criptoanalizar y descriptar por procedimientos manuales, medios electrónicos y criptofonía, así como realizar investigaciones tecnológico-criptográficas y formar al personal especializado en criptología."

A partir de la creación del CNI ha salido a la luz publica, en parte por que es necesario para el cumplimiento de algunas de sus funciones, recientemente (Marzo de 2004), ha sido regulado legalmente a través del Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.

Aunque el decreto se centra en la protección y seguridad de las tecnologías de la información, es evidente que el CCN tiene también dentro de sus funciones la ruptura de códigos (por ejemplo el cifrado de un ordenador incautado a un comando terrorista), o el acceso a sistemas o comunicaciones de terceros, algo lógico siendo una de las funciones principales de un servicio de inteligencia la obtención de información.

España no ha creado una agencia independiente, sino que sigue el modelo de países como Brasil o Grecia, estando integrada y siendo responsabilidad del principal servicio de inteligencia la seguridad de las comunicaciones nacionales, sus funciones son similares al SCSSI Frances (Service central de la sécurité des systèmes d'informations), o al BSI Aleman (Bundesamt für Sicherheit in der Informationstechnik).

El Director del CNI, es el Director y máximo responsable del CCN, si bien quien lo dirige realmente es un funcionario con rango de subdirector apoyado por un subdirector adjunto, al director del CNI le corresponde:

a) Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración. Las acciones derivadas del desarrollo de esta función serán proporcionales a los riesgos a los que esté sometida la información procesada, almacenada o transmitida por los sistemas.

b) Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la información y las comunicaciones.

c) Constituir el organismo de certificación del Esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información, de aplicación a productos y sistemas en su ámbito.

d) Valorar y acreditar la capacidad de los productos de cifra y de los sistemas de las tecnologías de la información, que incluyan medios de cifra, para procesar, almacenar o transmitir información de forma segura.

e) Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los sistemas antes mencionados.

En este sentido, hay que destacar el Programa Nacional de Seguridad enmarcado en el periodo 2004-2007, que establece las prioridades de seguridad en el campo de las TI:

PROGRAMA NACIONAL DE SEGURIDAD

Acción Estratégica sobre Seguridad y confianza en los sistemas de información, las comunicaciones y los servicios de la sociedad de la Información.

Las nuevas tecnologías, particularmente las referidas a la información y las comunicaciones, tienen planteado un desafío técnico, social y económico en el fortalecimiento de su seguridad y la mejora de la fiabilidad de la información y las infraestructuras. No solo es necesario mejorar la seguridad real de los sistemas de información, sino también la seguridad percibida, de modo que aumente el grado de confianza de ciudadanos, empresas y administraciones en estas tecnologías, pieza fundamental de las infraestructuras básicas de un país.

Las tecnologías objeto de esta actuación incluyen aquellas cuya finalidad es garantizar la confidencialidad, privacidad, disponibilidad de la información, así como aquellas necesarias para la autenticación.

Algunas tecnologías de especial interés dentro de esta actuación son: tecnologías de criptografía más rápidas y con menor consumo para su empleo en comunicaciones móviles, tecnologías biométricas, seguridad en comunicaciones inalámbricas, herramientas para el modelado y pruebas de seguridad.

Las medidas y desarrollos de seguridad de los sistemas para la Administración deberán realizarse conforme a los estándares de certificación del Centro Nacional de Inteligencia (CNI), responsable de garantizar la seguridad de los sistemas de información de la Administración. Debe favorecerse la existencia de estándares semejantes para su uso en el tejido empresarial.

Las tecnologías aquí implicadas son objeto de estudio preferente en otros Programas Nacionales del Plan Nacional de I+D+I, especialmente en aquellos pertenecientes al área de Tecnologías de la Información y Comunicaciones. La asignación de una actuación concreta a esta Acción Estratégica exige una clara orientación aplicada de la investigación a realizar, valorándose positivamente la existencia de empresa, entidad o usuario final que pueda incorporar los resultados del proyecto.

Líneas temáticas correspondientes a los objetivos científico-técnicos prioritarios:

1. Tecnologías para la identificación personal fácil y fiable.

1.1 Sistemas de reconocimiento biométrico, huellas dactilares, reconocimiento de rasgos y formas, patrones de habla, análisis de iris, etc.

1.2 Certificados y firmas electrónicas.

1.3 Protocolos para garantizar identidad y autenticidad en redes de comunicaciones.

1.4 Infraestructuras, procedimientos y protocolos de gestión de claves.

1.5 Tecnologías para almacenamiento seguro de claves: tarjetas inteligentes, tokens, seguros, módulos de software, etc.

2. Tecnologías para control de accesos.

2.1 Protección de sistemas de información: control de accesos a recursos, cortafuegos, trampas lógicas, detección de intrusiones, etc.

2.2 Protección de perímetros físicos: salas, edificios, fronteras, espacios aéreos, etc.

2.3 Protección de recintos virtuales: redes privadas virtuales, extranets, teletrabajo, etc.

3. Tecnologías para incrementar la confianza en sistemas de información y comunicaciones.

3.1 Mecanismos para incrementar la confianza en productos lógicos: firma digital, etc

3.2 Tecnologías para incrementar la seguridad en el almacenamiento de información: centros de respaldo, tecnologías seguras, etc.

3.3 Tecnologías para mejorar la disponibilidad de sistemas de información y comunicaciones en caso de emergencia.

3.4 Mecanismos de protección frente ataques de denegación de servicios.

3.5 Mecanismos de alerta temprana, corrección y respuesta frente ataques generalizados.

3.6 Herramientas para formular objetivos de protección de sistemas y/o negociar mecanismos de seguridad multilaterales.

3.7 "Trusted computing".

3.8 Mecanismos de protección de comunicaciones: redes de usuario personalizadas, redes privadas virtuales, Ipv6, etc.

3.9 Mecanismos de alerta, corrección y respuesta segura en circuitos y sistemas electrónicos en ambientes de alto riesgo: bio-implantes, espacio, etc.

3.10 Mecanismos de protección contra perturbaciones ambientales (defectos, calentamiento, ruido, ..) en circuitos y sistemas electrónicos.

4. Tecnologías para la certificación homologación de la seguridad.

4.1 Desarrollo de estándares y metodologías de seguridad.

4.2 Bancos y sistemas de verificación de estándares de seguridad física y lógica.

4.3 Sistemas de agresión controlada para la evaluación de seguridad.

4.4 Herramientas de auditoria de seguridad y análisis de vulnerabilidad.

5. Tecnologías para la protección de la privacidad y de datos de carácter personal.

5.1 Mecanismos de anonimato, inobservabilidad e imposibilidad de vinculación sin comprometer la integridad, disponibilidad y responsabilidad.

5.2 Sistemas de aislamiento, interferencia e inhibición electromagnética.

5.3 Cifrado y secrafonía.

5.4 Protocolos de comunicaciones para garantizar la confidencialidad.

5.5 Mecanismos de filtrado de contenidos para niños y detección de contenidos ilegales.

5.6 Sistemas y herramientas para facilitar la puesta en práctica y evaluar el cumplimiento .de los requisitos de la Ley Orgánica de Protección de Datos de Carácter Personal.

6. Tecnologías para la protección de la propiedad intelectual y de protección contra fraudes.

6.1 Criptografía y esteganografía.

6.2 Huellas digitales, marcado y etiquetado electrónico.

6.3 Mecanismos de protección de software y otras creaciones digitales.

6.4 Gestión de derechos digitales (DRM).

6.5 Mecanismos de protección contra fraudes en productos físicos: traspondedores para la identificación, códigos electro-ópticos, seguridad documental, etc.

6.6 Mecanismos de protección contra copia de circuitos integrados y microsistemas.

7. Tecnologías para la protección y seguimiento de las transacciones.

7.1 Tecnologías de pago electrónico sobre redes de comunicaciones fijas o móviles.

7.2 Tecnologías para la trazabilidad de las transacciones físicas (alimentos, monedas, medicinas, ... ) y de servicios.

7.3 Protocolos de comunicaciones para asegurar y trazar transacciones electrónicas impidiendo el repudio de las partes.

7.4 Herramientas de auditoría y trazado de accesos.

7.5 Tecnologías de terceras partes de confianza

7.6 Tecnologías de sellado de tiempo.

f) Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia.

g) Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países, para el desarrollo de las funciones mencionadas.

En 2003 el CCN no había aumentado ni su presupuesto ni su personal según su propio director, a pesar de las funciones que tenia encomendadas por ley, se estima que en el periodo 1990 - 2000 se dedico un 5% del presupuesto del entonces CESID al Centro Criptológico al que habría que sumar otras partidas.

Si bien el CCN dispone de personal propio este se encuentra sometido al estatuto de personal del CNI a todos los efectos, se integra en el Centro Nacional de Inteligencia con el que comparte medios, procedimientos, normativa y recursos.

Hay que destacar el acuerdo con Microsoft por el que los especialistas del CCN tendrán acceso al código fuente de Windows: información técnica confidencial y acceso a herramientas de revisión del código específicas para encontrar lo que buscan en las líneas de código de Windows.