Microsoft anunció en rueda de prensa a principios de 2006 que ha obtenido la certificación Common Criteria (CC) para varios productos basados en Windows XP y Windows Server 2003. Common Criteria es un estándar en seguridad (ISO 15408), que en España otorga el Centro Criptológico Nacional (CCN), dependiente del CNI, acrónimo del Centro Nacional de Inteligencia del Ministerio de Defensa español.

Sin dejar de ser importante que productos de Microsoft hayan recibido tan alto reconocimiento, un aspecto llamativo de la rueda de prensa fue el énfasis en la divulgación de los conceptos asociados a Common Criteria. Una de las principales conclusiones del evento es la extraordinaria evolución del sector de la seguridad español, que se presenta como uno de los más avanzados del mundo.

El marco de procedimientos para la evaluación de la seguridad se basa en parámetros aceptados en 22 países de todo el mundo, comenta Luis Jiménez, subdirector del Centro Criptológico Nacional. Además la extensión de las tecnologías de la información a la práctica totalidad de las actividades esenciales ha traído consigo cambios y es necesario generar confianza en los nuevos usos que se ofrezcan, tanto ‘hardware’ como ‘software’, por eso es necesario tener un tercer actor independiente, Common Criteria, que certifique las funciones de seguridad y el nivel.

En la actualidad los laboratorios españoles tienen capacidad para certificar productos conforme al exigente estándar EAL4 (nivel máximo de seguridad para un sistema operativo comercial). En la actualidad el INTA (Instituto Nacional de Técnica Aeroespacial) ya ha alcanzado este reconocimiento y LGAI (dentro de la estructura de Applus) será el próximo laboratorio en lograrlo. Coordinando todos estos esfuerzos, el MAP (Ministerio de Administraciones Públicas) y de forma destacada el CCN están logrando que España se sitúe, junto con Estados Unidos, Canadá, Australia, Francia, Alemania, Reino Unido o Japón entre los países capaces de certificar productos.

En el momento actual, un certificado “Common Criteria” otorgado por uno de los países con capacidad de certificar es automáticamente reconocido por todos los demás participantes en el sistema. El CCN está a punto de finalizar las gestiones para que los certificados expedidos por los laboratorios españoles tengan este reconocimiento mundial, esto quiere decir tener el reconocimiento de los 22 países participantes en el esquema.

En el caso de Microsoft, la certificación se ha llevado a cabo en Estados Unidos, por la proximidad de los desarrolladores respecto a los laboratorios de certificación. Los productos certificados presentados por Microsoft son productos relacionados con la seguridad, como sistemas de base (plataformas de sistema operativo), firewalls, sistemas de correo electrónico y sistemas de certificación electrónica.

Proceso, el de la certificación, largo y caro, y que tiene poco sentido si no se enmarca en un compromiso global de los desarrolladores de la organización hacia la seguridad. Alguna de las conclusiones de los expertos inciden más en la importancia de la evolución estratégica de Microsoft que en el hecho de que algunos de los productos alcancen la certificación.

De hecho, un aspecto significativo, que destaca la prioridad de la seguridad real sobre su eventual efecto publicitario, es que el hecho de aplicar un service pack o un parche que mejore la seguridad de un producto implica que el producto parcheado ha perdido el nivel de certificación recibido, por la muy razonable conclusión de los expertos de que al aplicar un parche se pueden arreglar unas cosas y estropear otras.

Cuando se empleen configurados tal y como se señala en la documentación del sistema (cualquier otra configuración pierde los requisitos utilizados en la certificación) los sistemas son conformes con EAL4 y pueden ser considerados Dispositivos Seguros de Creación de Firma (en relación con la Ley 59/2003 de Firma Electrónica).

Entornos muy exigentes como los de Defensa, Banca y Administraciones Públicas de cualquier país comienzan a exigir certificaciones “Common Criteria“ de determinados niveles (no siempre EAL4) para los productos que adquieren, por lo que la disponibilidad de laboratorios españoles es crucial para la competitividad de nuestra industria nacional de seguridad que, siendo muy competitiva en tecnología y coste, se encontraba con grandes barreras por tener que certificar sus productos en laboratorios de otros paises.

Por último, otro aspecto que llama la atención es la extraordinaria transparencia del CCN dependiendo de un organismo tradicionalmente opaco como el CNI. Así, es público y se puede ver en el web del CNI, que se están certificando en España dispositivos como la tarjeta chip que se usará en el futuro DNI electrónico (ya existe una tarjeta de Microelectrónica certificada para su uso en sistemas de firma electrónica del Ministerio de Defensa) o software de certificación electrónica de SafeLayer, o de Secuware.