Apple se queda fuera. A pesar de sus esfuerzos por aparentar un blindaje total en sus teléfonos móviles, el CNI lo descarta de entre los terminales más seguros. Por el contrario, destaca la robustez que ofrecen los Samsung. ¿Qué motivo justifica la exclusión de la compañía fundada por Steve Jobs? Los servicios de información advertían en un informe reciente de una brecha de seguridad en Siri: personal ajeno a Apple accedía a las grabaciones de este asistente de voz.
En su Memoria Anual, el Centro Criptológico Nacional -también conocido como CCN-CERT, el órgano del CNI encargado de la ciberseguridad- detalla sus esfuerzos por determinar qué teléfonos son los más robustos frente a ciberamenazas: “En el año 2019 se ha continuado expandiendo la variedad de dispositivos móviles que el CCN pone a disposición de la Administración Española tras superar el proceso de cualificación o certificación”.
El CCN-CERT destaca la incorporación del Samsung Galaxy S9 en la lista de productos cualificados para la administración. Para formar parte de esta lista, el terminal tuvo que enfrentarse a las “correspondientes pruebas de evaluación” de los servicios de información. Unas pruebas que los terminales de Apple -iPhone y iPad- no fueron capaces de superar, a tenor de la lista de productos seguros que destaca el centro.
El uso de Siri
Fuentes de seguridad consultadas por Vozpópuli recuerdan otro informe reciente del CCN-CERT en el que se ponía en entredicho la seguridad del asistente de voz de Apple presente en todos sus terminales. “La recomendación de seguridad y privacidad es evitar el uso de Siri en la medida de lo posible”. ¿El motivo? “Fragmentos de grabaciones recibidas en base al uso de Siri han sido accedidos por personal externo, sin que los usuarios afectados fueran conscientes”.
Pero no basta con que los miembros de la administración pública cuenten con terminales móviles seguros. Las mismas fuentes afirman que el CCN-CERT promueve campañas de concienciación para evitar actividades -en su mayoría, de forma inconsciente- que evidencien las vulnerabilidades de los teléfonos. La descarga de archivos corruptos y el acceso a correos electrónicos con troyanos suponen una brecha para acceder a información sensible o confidencial.
Al nivel de Huawei
Apple ha cargado siempre sobre sus espaldas el cartel de ser una de las firmas más seguras y estancas frente a ataques y vulnerabilidades, sin embargo, el CNI no le ha otorgado la pertinente cualificación a ninguno de sus equipos.
Tampoco ha incluido a Huawei. La compañía china lleva dos años en el ojo del huracán. Donald Trump ha asegurado en reiteradas ocasiones que la firma con sede en Shenzhen utiliza sus dispositivos móviles para espiar al dictado del régimen dictatorial chino.
De hecho, ha prohibido el despliegue de redes 5G en suelo estadounidense, y hace unos meses mandó a un emisario por toda Europa para hacer lobby en favor de otras empresas "occidentales", como Ericcson o Nokia, dedicadas también al desarrollo de infraestructuras.
Hace unas semanas España otorgaba por primera vez una certificación de seguridad a un producto 5G, marchamo que recayó, paradójicamente, sobre Huawei. Por su parte la Unión Europea no ha tomado partido a favor o en contra de la enseña asiática, limitándose a establecer una serie de requisitos -toolbox- que cualquier producto o infraestructura 5G debe cumplir. "El objetivo final es crear un marco sólido y objetivo de medidas de seguridad, que garantizará un nivel adecuado de ciberseguridad de las redes 5G en toda la UE, mediante enfoques coordinados entre los Estados miembros", explican desde Bruselas.
¿Qué es un producto cualificado?
El CNI publica un Listado de Productos Certificados con aquellos dispositivos que cumplan una serie de requisitos en términos de seguridad, y los engloba en tres categorías: Alta, Media y Básica.
"Los productos con clasificación 'Alta' podrán emplearse en sistemas clasificados como ENS (Esquema Nacional de Seguridad) categoría Alta, Media o Básica y los productos con clasificación 'Media' podrán emplearse en sistemas clasificados como ENS categoría Media o Básica", explica el CNI. El ENS tiene como objetivo establecer la política de seguridad en el uso de medios electrónicos.
De la explicación facilitada por el CNI se extrae que aquellos productos sin la certificación Alta Media o Baja no podrán ser utilizados en sistemas ENS certificados con categoría Alta, Media o Básica.