La seguridad informática: asunto de Estado

Hace unos años, Microsoft y el Gobierno español, través del Centro Nacional de Inteligencia (CNI), firmaban un acuerdo por el cual nuestro país se adhería al Programa de Seguridad para Gobiernos (GSP, Government Security Program) del fabricante de software, que permite a sus expertos en seguridad acceder al código fuente de Windows. Hoy, el otrora conocido como servicio de inteligencia español cuenta con el denominado Centro Criptológico Nacional, dedicado a la seguridad de las Tecnologías de la Información, que está a punto de convertirse en centro emisor de la certificación Common Criteria, recientemente alcanzada por Microsoft, y de la que su representante en nuestro país, Miguel Bañón, daba más detalles.En este entramado sobre la seguridad de las Tecnologías de la Información (TI) hay que tener en cuenta tres vértices. Por un lado, Microsoft, una de las empresas que se vanagloria de conseguir la acreditación Common Criteria. Por otro lado, los responsables de este sello que pretende normalizar los aspectos relativos a la seguridad informática. La tercera pieza es el Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI). Miguel Bañón es el representante de Common Criteria en nuestro país. Como tal, explicaba que estamos ante una norma reconocida por 22 países a nivel estatal, como es el caso del nuestro. Pero sólo lo pueden emitir Australia, Canadá, Francia, Alemania, Japón, Holanda, Nueva Zelanda, Reino Unido y Estados Unidos. “Para que un país pueda emitir este criterio de certificación”, explica Bañón, “el país debe demostrar a través de la agencia que quiera emitir los certificados que cumple con ellos”. Proceso en el que está inmersa la mencionada agencia dependiente del CNI español y que, si se cumplen las previsiones de los especialistas, podría concluir con éxito antes de que finalice este mismo año.Un papel relevanteSin embargo, y hasta que esto ocurra, estos tres vértices de la seguridad han querido remarcar el papel tan importante que juega España en este entramado. Así, el representante de Commn Criteria en nuestro país asegura que España “juega un papel fundamental en el certificado por su mantenimiento a través del CNI”. De hecho, el Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI) se articula en el ámbito de actuación del Centro Criptológico Nacional y es accesible a través de la página Web www.oc.ccn.cni.es. El subdirector adjunto del Centro Criptológico Nacional, Luis Jiménez, detallaba que, desde el 12 de marzo de 2004 este organismo dependiente del CNI tiene la capacidad de emitir estos certificados en materia de seguridad tecnológica. “El objetivo es garantizar la tecnología dentro de las Administraciones Públicas del Estado”. Pero, como decíamos, todo este trabajo lleva gestándose desde hace muchos años. De hecho, si finalmente se consigue que España llegue a ser un país emisor del certificado Common Criteria se culminará un trabajo de más de tres lustros. Tal y como relataba Jiménez, “se viene trabajando desde 1991 para llegar a ser un centro de certificación técnica, heredando todos los conocimientos de los servicios de defensa e inteligencia”.Sin embargo, cabe señalar que el Centro Criptológico Nacional sí que ha certificado como seguros algunos productos, aunque este sello aún no posee el reconocimiento internacional. Así, entre los trabajos que estos especialistas tienen encima de la mesa se encuentran las solicitudes presentadas por Safelayer para su DNI electrónico, así como otros productos de PKI o sistemas de defensa. Por cierto, cabe señalar que del 19 al 21 de septiembre de este mismo año, Lanzarote acogerá la Séptima Conferencia Internacional de Common Criteria. Unas fechas que, por lo expresado por todos estos responsables, podría coincidir con la designación de España como parte de ese reducido grupo de países capaces de emitir esta norma de seguridad de los productos tecnológicos.Microsoft consigue la certificación Common CriteriaTodos estos datos eran aportados cuanto, y con el objetivo de aportar “objetividad” al discurso de la seguridad en sus productos, Microsoft confirmaba que, tras varios años de trabajo para lograr la certificación Common Criteria, la norma que especifica la seguridad de los productos de Tecnología de la Información, ésta, por fin, era otorgada.“Siempre tenemos que mejorar, pero estamos en el camino correcto”. Héctor Sánchez Montenegro, director de seguridad corporativa de Microsoft, explicaba que el modelo que sigue su compañía para poder desarrollar productos seguros, y que abarca a todo el desarrollo del código, es el “apropiado y por eso seguimos apostando por él”. Para reforzar esta idea, este responsable aportaba unos recientes datos dados a conocer por el CERT, el centro de alertas tecnológicas de Estados Unidos, quien señalaba que, de todas las alertas recibidas en 2005, “sólo” 812 eran relativas a Microsoft frente a las 2.328 de Linux/Unix.Tal y como explicaba Miguel Bañón, responsable de Common Criteria en nuestro país, bajo este nombre se esconde una “norma que especifica la seguridad de los productos de TI, y que está hecha por diferentes países, entre los que se encuentra España”. Aunque reconoce que esta “medalla” garantiza que se cumple con una serie de requerimientos de seguridad, Bañón también explica que en cada uno de los productos Microsoft se detallará los aspectos de seguridad que esta norma certifica y reconoce. Además, Bañón se mostraba mordaz al asegurar que llevar a cabo todo el proceso para conseguir la certificación Common Criteria es muy caro, “por lo que este sello implica no sólo que la empresa es segura, sino que tiene mucho dinero para demostrarlo”.Un poco de historia----------------------------Para entender al cien por cien todos los entresijos y qué hacen los responsables del centro de inteligencia nacional en un asunto de Microsoft, hay que remontarse al acuerdo firmado entre fabricante y el CNI, dependiente del Ministerio de Defensa, hace ya varios años, y que implicaba el acceso de los expertos de seguridad del Centro al código fuente de Windows, así como a formación, comunicación con los desarrolladores del sistema en Redmond y puesta en común con otros grupos de expertos de otros países y organismos (entre ellos la OTAN, Reino Unido, Rusia o Grecia) que también participan en este programa GSP. Según explicaba Rosa García, consejera delegada de Microsoft Ibérica, “este acuerdo se enmarca en la iniciativa Trustworthy Computing o de Informática de Confianza que Microsoft puso en marcha hace años, y nos permitirá trabajar conjuntamente con el Centro Nacional de Inteligencia para crear infraestructuras más seguras”.El acuerdo no comporta, según la compañía, ningún tipo de contrapartida ni obligación de exclusividad de uso del software de Microsoft por parte de la Administración española. Más bien, como explica Rosa García, “responde a una necesidad de proteger la seguridad de los Estados que utilizan nuestros sistemas, una seguridad que es responsabilidad de Microsoft”, añade. Con una duración inicial de tres años, esta relación entre los expertos de seguridad del CNI y Microsoft puede ser punto de partida para la puesta en marcha de proyectos concretos que pueden requerir la modificación de ciertas partes del código de Windows para mejorar su seguridad; modificaciones que posteriormente se incluirían en nuevas versiones de los sistemas de Microsoft, como han confirmado sus responsables.