La portada de mañana
Acceder
Mazón adjudica 3,9 millones a dedo a un constructor de Gürtel para obras de la DANA
Populares y socialistas tratan de sortear los vetos a Ribera y el candidato de Meloni
¿Mazón no tiene problemas de conciencia? Opina Esther Palomera

Cómo se eligen los programas que utilizan los ministros para hablar

Whatsapp y Messenger, ambas propiedad de Facebook, parecen ser las aplicaciones de mensajería instantánea más seguras, al menos según el último informe de Amnistía Internacional que analiza las medidas para garantizar la privacidad que integran este tipo de herramientas. Sus nombres encabeza la lista de la ONG, seguidos de cerca por iMessenger de Apple.

Tanto los de Cupertino como el equipo de Jan Koum emplean cifrado de extremo a extremo por defecto para proteger la información (Facebook Messenger lo ofrece solo como una opción en su “chat privado”). Sin embargo, estas medidas no son suficientes cuando se trata de conversaciones delicadas. Cuando los usuarios que intercambian mensajes son ciertos miembros del Gobierno o la Administración, las exigencias se endurecen. Políticos y altos cargos usan servicios que cumplen rigurosas medidas de seguridad y requisitos técnicos. Pero, ¿quién decide cuáles son los más adecuados?

“Actualmente hay aprobados productos de cifra que permiten enviar mensajes instantáneos para información de difusión limitada y confidencial”, explican a HojaDeRouter.com los responsables de Productos y Tecnologías del Centro Criptológico Nacional (CCN). La institución se encarga de elaborar guías y recomendaciones para garantizar la seguridad de los sistemas de comunicación de la Administración, asesorar a los diferentes organismos sobre la tecnología idónea y coordinar su desarrollo.

El centro confecciona, además, el Catálogo de Productos de Certificación Criptológica, donde figuran tanto cifradores (de datos, de voz, de IP…) como las soluciones informáticas certificadas para intercambiar información nacional clasificada. Según su grado de confidencialidad —de difusión limitada, confidencial, reservado o secreto—, el 'software' deberá garantizar una seguridad distinta. 

Mientras que pueden utilizarse ciertas ‘apps’ de las convencionales para las categorías más bajas, “actualmente no existe ninguna aplicación de mensajería instantánea aprobada para el nivel de secreto”, aclaran desde el CCN. Tampoco pueden hacer llamadas de voz a través del móvil si la conversación tiene carácter reservado o secreto; en estos casos, deben efectuarse “sobre un sistema cifrado de telefonía fija”.

En cuanto a las técnicas de seguridad que aplican las herramientas, afirman no poder dar detalles “debido a la delicadeza del tema”, pero en general “se emplean algoritmos de clave pública hasta nivel confidencial y de clave secreta [privada] para los niveles reservado y secreto”. El primer tipo se basa en la utilización de dos claves, una pública (que el remitente conoce: sirve para enviar) y otra privada (que solo conoce el destinatario: sirve para descifrar). Un ejemplo conocido es PGP, muy común para correo electrónico. El segundo tipo debe su fortaleza al uso de una sola clave, privada o secreta, que deben conocer tanto emisor como receptor. Así funciona, por ejemplo, el sistema de WhatsApp (el Advanced Encryption Standard o AES, un estándar muy robusto que está por todas partes).

Siguiendo las pistas

Aunque solo los responsables de las instituciones pueden acceder al catálogo del CCN, en el último Informe de Actividades del organismo figuran algunos ejemplos de productos examinados y certificados durante el 2013 y el 2014. Además de varios cifradores –como el EP430GN, anteriormente certificado por la OTAN para procesar información clasificada–, aparece el teléfono seguro Färist Mobile, desarrollado por la empresa sueca TutusFärist Mobile, aprobado para proteger información clasificada hasta el grado de difusión limitada. Este se completa con el cifrador Secvoice, que permite hacer llamadas seguras en móviles Android utilizando el protocolo SCIP.

El texto cita además el sistema COMSec de Indra, el mismo que protagoniza una de las últimas investigaciones del caso del pequeño Nicolás, la destinada a encontrar a los responsables de grabar (ilegalmente) a policías y agentes del CNI mientras discutían cómo ocultar ciertas pruebas en poder del joven. Después de que los investigadores hayan analizado el móvil del excomisario de Asuntos Internos Marcelino Martín-Blas, el dispositivo que supuestamente registró las voces, el juez ha pedido varias veces a la Policía Nacional que compruebe si la aplicación, instalada en el teléfono, pudo ser utilizada para espiar la conversación.

Los ministros e incluso el mismo Mariano Rajoy utilizarían también el programa de Indra, que permite enviar mensajes, compartir datos y realizar videoconferencias de manera segura. El sistema COMSec Admin, la versión destinada a asegurar la confidencialidad de las llamadas y mensajes de miembros de la Administración, fue revisado en el 2014 por el CCN para verificar su funcionamiento y mecanismos de seguridad. Según el informe, habían mejorado la seguridad de la aplicación y comenzaba el desarrollo de una nueva versión basada en certificados digitales.

La herramienta comercial del sistema, COMSec VIP, destinada a empresarios y personal de la Administración, es compatible con los sistemas operativos Windows Phone, Android e iOS y aplica el cifrado de extremo a extremo AES-256.

Los exámenes hay que aprobarlos

Para que un producto entre a formar parte del catálogo elaborado por el CCN, ya sea un dispositivo de 'hardware' o una aplicación, debe obtener “una aprobación para manejar información nacional clasificada por productos para seguridad de las TIC”, explican desde la institución. El visto bueno llega solo después de superar varias evaluaciones.

La conocida como “funcional” corre a cargo de uno de los tres laboratorios externos acreditados para ello por la ENAC, mientras que el CCN actúa como organismo de certificación. Este examen, basado en estándares internacionales (los ‘Common Criteria for Information Technology Security Evaluation’ y los ‘Information Technology Evaluation Criteria’) consiste en comprobar que el sistema o producto “realiza correcta y eficazmente la funcionalidad de seguridad que describe en su documentación”.

El propio CCN lleva a cabo el resto de evaluaciones —la criptológica y la conocida como TEMPESTTEMPEST—, además de emitir sendas certificaciones. En la primera se analizan los algoritmos de cifrado, los mecanismos de seguridad y el funcionamiento del equipo, mientras que la segunda incluye investigaciones y estudios de las “emanaciones comprometedoras”, es decir, examina los sistemas de blindaje que reducen las ondas electromagnéticas y eléctricas emitidas por los sistemas de comunicación, que ponen en riesgo la seguridad de los datos.

Las ‘apps’ de mensajería instantánea o de llamadas no necesitan pasar esta última prueba, aunque sí las dos primeras. Según los resultados que obtengan, “se determina cuál es el máximo nivel de información nacional clasificada que pueden procesar” y podrán ser utilizadas tanto en esa categoría como en las menos exigentes. “Que un producto esté aprobado para un determinado nivel de clasificación no depende solo de la criptología utilizada”, advierten desde el CCN. Esta debe funcionar correctamente y “el producto debe tener unas medidas de seguridad adecuadas y seguir las guías de configuración y de uso”.

En el caso de las aplicaciones, además, “se deberá securizar la plataforma o el sistema en el que se ejecuten estas herramientas”, señalan las fuentes del CCN, al que auditan anualmente tanto el CNI como la ENAC para verificar que las certificaciones cumplen con las normas y procedimientos.

Por último, “la ejecución del procedimiento de acreditación nacional se lleva a cabo bajo la dirección de la Autoridad de Acreditación de Seguridad”, indican desde el organismo, una denominación que corresponde al director del CNI.

La Unión Europea también elabora su propia Lista de Productos Cifrados Aprobados (LACP, por sus siglas en inglés). Para figurar en ella, un aparato o programa tiene que haber obtenido antes la aprobación de un país miembro y superado una segunda evaluación criptológica realizada por una nación AQUA –los estados ‘Appropiately QUalified Authority’ de la UE son Francia, Reino Unido, Italia, Alemania, Suecia y Holanda–. Al igual que a nivel nacional, los hay para información de difusión limitada (restringida), confidencial y secreta.  En esta última categoría se encuentra, por ejemplo, el teléfono Tiger 7401 de la empresa sueca Sectra CommunicationsTiger 7401, que aplica cifrado de extremo a extremo.

El actual catálogo elaborado por el CCN se considera “clasificado”, pero desde el organismo aseguran estar elaborando otro documento, un Catálogo de Productos de Seguridad de las TIC, que no tendrá este nivel de seguridad. Por suerte o por desgracia, por mucho que se protejan las comunicaciones entre gobernantes, algunas de sus conversaciones, ya sea por voz o por mensajes de texto, continuarán saliendo a la luz.

-------------------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Ministerio TIC Colombia, Håkan Dahlström, IndraCristina Cifuentes y European People's Party