El Centro Criptológico Nacional (CCN) cumple 20 años
El Centro Criptológico Nacional del Centro Nacional de Inteligencia cumple 20 años de existencia en este 2024. Su fundación se debe al Real Decreto 421/2004 que establecía el ámbito de actuación y las funciones del primer organismo español con competencias en materia de ciberseguridad.
El CCN se creó hace dos décadas como un organismo dedicado a la protección y defensa de la ciberseguridad de España
Según señala el ente, en aquella época ya se hacía necesaria la participación de un organismo que, partiendo de un conocimiento de las tecnologías de la información y de las amenazas y vulnerabilidades existentes, proporcionara una garantía razonable sobre la seguridad de productos y sistemas. Para dar respuesta a esta demanda y con el objetivo de afrontar los nuevos retos del escenario nacional e internacional, se constituyó el Centro Criptológico Nacional en el seno del Centro Nacional de Inteligencia (CNI).
El Real Decreto establecía las funciones y responsabilidades que el CCN ha llevado a cabo durante 20 años con un firme compromiso: proteger, defender y fortalecer la ciberseguridad de España ante ciberamenazas que puedan atentar contra la seguridad nacional, el Estado de derecho, la prosperidad económica y el normal funcionamiento de la sociedad y de las administraciones públicas.
Evolución
El Centro Criptológico Nacional ha sido testigo de la evolución del panorama de ciberamenazas nacionales e internacionales, y ha ido adecuando su actividad a esta realidad para mantener la infraestructura y los sistemas de información del sector público español y de las empresas de interés estratégico para el país con unos niveles óptimos de seguridad.
La prioridad del Centro Criptológico Nacional ha sido proteger la información y el patrimonio tecnológico de España. Para ello, ha elaborado el marco legal oportuno al objeto de evitar que la evolución de las amenazas y de los nuevos vectores de ataque tuvieran impacto en una sociedad tan hiperconectada como lo es la sociedad española.
De hecho, ha sido esencial su contribución al desarrollo de las dos Estrategias Nacionales de Ciberseguridad existentes hasta la fecha (la primera publicada en el año 2013; y la segunda, en 2019), su participación en el desarrollo e implantación del Esquema Nacional de Seguridad (una legislación única en Europa, convertida en un marco normativo de referencia), o el trabajo realizado en la trasposición de la Directivas NIS al ordenamiento jurídico español.
En cumplimiento de las misiones encomendadas en el Real Decreto 421/2004, a lo largo de las dos últimas décadas, el CCN ha potenciado las acciones de prevención, detección y respuesta a los ciberataques, que en estos 20 años han experimentado un notable incremento tanto en volumen y frecuencia como en sofisticación, con agentes de la amenaza cada vez más capacitados a nivel técnico y operativo.
Así, en 2006 el Centro Criptológico Nacional creó el CCN-CERT, su Capacidad de Respuesta a Incidentes de Seguridad con responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas del sector público y de empresas y organizaciones de interés estratégico para el país. Durante 2023, el CCN-CERT gestionó 107.777 incidentes. De ellos, el 34% fueron clasificados con un nivel de peligrosidad alto, muy alto o crítico. Desde su creación, el CCN-CERT ha gestionado más de 500.000 ciberincidentes.
Precisamente, esta experiencia adquirida en la respuesta a ciberamenazas, ha llevado al CCN a liderar la Red Nacional de SOC, proyecto pionero en Europa para coordinar la colaboración y el intercambio de información entre este tipo de centros en España. Un paso más en esta línea será la futura integración con otros foros nacionales como CSIRT.es (también promovido por el CCN desde 2008) o internacionales como la Red Europea de SOC (ENSOC).
Las actividades desempeñadas en estos 20 años han contribuido a mejorar la ciberseguridad de España. Entre otras acciones, el CCN colabora con los organismos públicos en la implantación del ENS, en la formación y capacitación de personal especialista en el campo de la seguridad de los sistemas de las tecnologías de la información y la comunicación, y en la acreditación y auditoría de sistemas. Ha publicado y compartido centenares de normas, instrucciones, informes, y recomendaciones, con más de 550 Guías CCN-STIC publicadas.
El CCN constituye el organismo de certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, de aplicación a productos y sistemas en su ámbito. Con el objetivo de impulsar el empleo de tecnologías de seguridad confiables, lidera la promoción y desarrollo de productos TIC confiables, verifica y acredita la seguridad de dichos productos, valora y acredita la capacidad de los productos de cifra para procesar, almacenar o transmitir información de forma segura, y desde 2017 elabora el Catálogo de Productos y Servicios STIC en el que se recoge un listado en constante actualización de productos y servicios de seguridad TIC con unas garantías contrastadas por el propio CCN.
Además, cabe destacar su impulso al desarrollo de nuevas herramientas tecnológicas, entre las que destacan sus 23 soluciones de seguridad (LUCIA, REYES, IRIS, microCLAUDIA, OLVIDO, INES, ÁNGELES, entre otras); el Sistema de Alerta Temprana para la detección en tiempo real de amenazas, que a día de hoy cuenta con más de 500 sondas desplegadas en la Administración; o el desarrollo de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.