Este lunes 2 de mayo se ha conocido que los teléfonos del presidente del Gobierno, Pedro Sánchez, y la ministra de Defensa, Margarita Robes, fueron infectados con el software de espionaje Pegasus en mayo de 2021, según dos informes técnicos del Centro Criptológico Nacional (CNN-CERT).

Qué es el Centro Criptológico Nacional y quién lo dirige

El Centro Criptológico Nacional es el "organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo".

Fue creado en el año 2004, a través del Real Decreto 421/2004, adscrito al Centro Nacional de Inteligencia (CNI). En la Ley 11/2002, de 6 de mayo, se encomienda al CNI el ejercicio de las funciones relativas a la seguridad de las Tecnologías de la Información y de protección de la información clasificada. Por tanto, el secretario de Estado - Director del CNI tiene la responsabilidad de dirigir el CCN. Por ello, el CCN comparte con el CNI medios, procedimientos, normativa y recursos.

El CCN-CERT según explica la web del CCN, es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional. Este servicio se creó en el año 2006 como CERT Gubernamental Nacional español.

Las funciones del Centro Criptológico Nacional

El CCN tiene las siguientes funciones, según especifica en su página web:

1. Normativa. Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC (Guías CCN-STIC).
2. Formación. Formar al personal del Sector Público especialista en el campo de la seguridad.
3. Vigilar. Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia.
4. Desarrollo. Coordinar la promoción, desarrollo, obtención, adquisición y puesta en explotación y uso de tecnologías de seguridad.
5. Evaluación. Valorar y acreditar la capacidad de los productos de cifra y de los sistemas para manejar información de forma segura.
6. Certificación. Constituir el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad, de aplicación a productos y sistemas en su ámbito.
7. Ciberseguridad. Contribuir a la mejora de la ciberseguridad española, a través del CCN-CERT, afrontando de forma activa las amenazas que afecten a sistemas del Sector Público, a empresas y organizaciones de interés estratégico para el país, en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y a cualquier sistema TIC que procese información clasificada.
8. Relaciones. Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países, para el desarrollo de las funciones mencionadas.