«Los ciberataques se producen en mayor medida por vulnerabilidades en la tecnología. Si conseguimos que la tecnología sea cada vez menos vulnerable, estaremos más seguros». Así explicaba Luis Jiménez, subdirector general del Centro Criptológico Nacional, la importancia de que los dispositivos y equipos informáticos que usamos diariamente cuenten con unos mínimos requisitos de seguridad que actualmente «deja mucho que desear en demasiados casos». Jiménez ha destacado la importancia de la tecnología segura, y lo ha hecho en el anuncio de los dos primeros smartphones que han sido certificados con la cualificación de seguridad del CCN. Samsung Galaxy S8 y S8 Plus han obtenido este «sello de ciberseguridad» que los convierte en válidos para manejar información en sistemas categorizados como de Nivel Alto en la Administración Pública.
«La seguridad absoluta existe, pero tiene un coste infinito», ha afirmado el responsable del CCN, quien ha explicado que su misión es «evitar que la tecnología sea vulnerable». Y es que, las amenazas de ciberseguridad están presentes en todo tipo de dispositivos, y se hacen cada vez más necesarias las normativas y certificaciones que ayuden a aumentar no solo la seguridad, sino también la concienciación de que ésta es necesaria. Especialmente en la Administración Pública. El CCN es un organismo adscrito al Centro Nacional de Inteligencia (CNI), que tiene como misión garantizar la seguridad de las tecnologías de la información y las comunicaciones en la Administración Española.
Estos dos dispositivos de Samsung han sido añadidos al catálogo de productos y servicios que han sido aprobados por el CCN para «el manejo de información clasificada de la Administración Pública». Es decir, productos que tienen una garantías de seguridad contrastadas para ser utilizadas por trabajadores del sector público y proteger así la información que contienen.
Para llegar a la certificación, el propio CCN realiza una serie de pruebas, complementadas por las de un laboratorio externo.
Necesaria su configuración
El Galaxy S8 y Galaxy S8+ de Samsung han recibido esta certificación del CCN, sin embargo esto no es suficiente para que un dispositivo cumpla con ella. Es necesario que cada uno de los terminales sea configurado según lo determina la propia organización. Para ello se puede consultar la guía CCN-STIC-1601 Configuración segura de Samsung Galaxy S8. El manual se compone de 121 páginas con indicaciones sobre la eliminación de los datos de los usuarios, configuración de Samsung Knox o la del VPN. Puede parecer una odisea para cualquier usuario, sin embargo desde el CCN explican que estas cualificaciones no están pensadas para un uso por parte de consumidores, sino que «son configuraciones ideadas para dispositivos propiedad de una corporación o de la Administración, que son usados por los empleados también fuera del entorno laborar».
Por su parte, Samsung ha expresado sentirse «muy orgullosa de recibir esta certificación oficial«. David Alonso, Director del área de empresas de Samsung España, ha señalado que aunque no estén certificados por el CCN, ya que «no han sido sujetos del análisi, esta configuración sería aplicable a otros modelos, como Samsung Galaxy S6 o Samsung Galaxy S7 con Android 7«.
La marca coreana ha sido la primera en certificarse, pero Luis Jiménez anima al resto a certificarse: «el proceso está abierto al resto de los fabricantes», ha dicho el subdirector del CCN, lamentando que «a día de hoy no se está exigiendo esa certificación en niveles altos», lo que aumentaría la protección de los datos y los usuarios, señalando que «hay que concienciar a la sociedad para que lo demande».