Centro de ciberseguridad de Huawei en Bruselas
Centro Nacional de Inteligencia El Centro Criptológico Nacional advierte de que sus certificaciones no cubren ataques motivados por Estados
El Centro Criptológico Nacional (CCN) ha recordado en una nota en su página web que los productos y servicios que superan el proceso de cualificación previsto en la norma CCN-STIC-140 cuentan con garantías de seguridad, pero dentro de unos límites concretos. El CCN sale así al paso de un supuesto aval del CNI a decenas de productos de Huawei. El CCN deja claro que la certificación confirma que las soluciones evaluadas implementan las funcionalidades de seguridad exigidas para su familia tecnológica y que ofrecen una robustez adecuada frente a determinados niveles de ataque.
No obstante, el CCN advierte de que estas certificaciones no cubren amenazas avanzadas respaldadas por Estados, ya que el potencial de dichos ataques supera el alcance de las evaluaciones realizadas en el proceso de cualificación.
Asimismo, el organismo subraya que este procedimiento no supone un aval sobre la fiabilidad del fabricante o del proveedor de servicios. Esto cobra especial relevancia en aquellos productos que, por su arquitectura, envían información del usuario a servidores externos gestionados por el propio proveedor. En estos casos, unas prácticas inadecuadas podrían derivar en la divulgación no autorizada de datos o en su uso con fines distintos a los declarados.
El CCN concluye que estos riesgos son inherentes a cada producto o servicio y que corresponde al Responsable de Seguridad del Sistema valorar si resultan asumibles. En caso contrario, será necesario implementar medidas adicionales para mitigarlos.
Información del CCN
«Todos los productos o servicios incluidos en este apartado han superado un proceso de evaluación/certificación en el que se ha comprobado que implementan, con cierto nivel de garantía, las funcionalidades de seguridad requeridas por los Requisitos Fundamentales de Seguridad definidos en la CCN-STIC-140 para la familia o familias a las que pertenecen.
»Esta garantía avala su robustez frente a atacantes con un potencial determinado por el tipo de certificación que presentan, que en ningún caso alcanza el potencial que suelen presentar aquellos ataques motivados por estados.
»Asimismo, el proceso de Cualificación no supone, en ningún caso, un posicionamiento del CCN sobre la fiabilidad del fabricante o proveedor de servicio. Esto tendría impacto en aquellos productos o servicios que, por su arquitectura, envían información de usuario a servidores externos a la organización controlados por el fabricante o proveedor de servicio, cuyas malas prácticas podrían derivar en divulgación no autorizada de datos de usuario o en su utilización con fines no declarados.
»Estos aspectos son riesgos inherentes al producto o servicio que el Responsable de Seguridad del Sistema deberá valorar y, en caso de que resulten inasumibles, mitigar».
Huawei está en el punto de mira de Estados Unidos y sus aliados occidentales por una suma de razones tecnológicas, geopolíticas y de seguridad nacional. El principal temor es que al ser una empresa china con estrechamente ligada al Estado, pueda facilitar al Gobierno chino acceso a redes críticas de telecomunicaciones. Al mismo tiempo, Huawei representa la punta de lanza de China en la carrera por el dominio del 5G y las comunicaciones.
