El usuario es el mayor riesgo en el ámbito de ciberseguridad móvil, es decir su laxitud y falta de conciencia sobre los peligros que le acechan. Un resumen que vale para los usuarios particulares, los corporativos y las instituciones de la administración y la política. Esta sería la conclusión a la que llega un panel de expertos reunido por Ametic y Samsung para analizar la cuestión desde puntos de vista de la administración pública, la banca, la fabricación de dispositivos y la seguridad del Estado.

“Hay que mejorar cosas. Hace falta que el usuario pida la seguridad”, especifica José Miguel Loste, responsable del departamento de Productos y Tecnologías de Seguridad del Centro Criptológico Nacional. El CCN es el organismo, adscrito al CNI, responsable de coordinar la acción de los organismos de la Administración que utilicen medios o procedimientos de cifrado para garantizar la seguridad TI.

Loste habla desde un departamento especialmente sensible, cuyos funcionarios utilizan sus móviles a través de un nodo de interconexión que crea una red privada virtual con comunicaciones cifradas de extremo a extremo. “Una sóla puerta hacia fuera”, que limita los usos a través del administrador y aporta un servidor interno con sistema propio de mensajería instantánea. “No se puede poner Wahtsapp”.

Loste explica que la tarea del CCN es conocer las necesidades de los usuarios, en la función pública, para la búsqueda y desarrollo de las soluciones, lo cual incluye la certificación de seguridad de productos y procedimientos, elaborando el catálogo CCN-STIC.

Un listado en el que, por cierto, sólo hay dos smartphones certificados, “ambos, terminales de Samsung”. El CCN no revisa sólo teléfonos, “hay 38 familias de dispositivos”, incluyendo routers, sistemas de transmisión, IoT y otros relacionados con la seguridad en movilidad. Su objetivo es “actuar sobre cada elemento de la cadena”.

Miembros de su equipo aclaran a INNOVADORES que, en relación con la gran polémica sobre el 5G, todavía no hay equipos sometidos a control. Por el momento no existe una normativa común de la Unión Europea para especificar los requisitos exigibles esta tecnología, el Common Criteria, que reconocen todos los Estados miembros, incluso aceptando la certificación emitida por otro miembro de la UE.

La aclaración viene a cuento por el caso de Huawei, que por ahora, “no ha sometido a certificación ningún móvil”, pero sí “ha solicitado meter otros productos en el catálogo”.

Loste aclara también que en el CCN, “para creer tenemos que ver”. El Centro tiene sus propios laboratorios y expertos, para dos niveles de certificación. En el primero, “el fabricante presenta una declaración de especificaciones, las que le parece oportuno, y verificamos si lo que dice es verdad”. Pero sí eso no cubre los requerimientos que plantean los criterios de seguridad, el CCN hace su propia verificación “con trabajos internos”.

Con la máxima cautela sobre las preguntas relacionadas con Huawei, Loste puntualiza, hablando en general, que un producto “puede tener defectos por un mal diseño o de manera intencionada… los primeros se dan mucho por la prisa de los fabricantes por llegar al mercado”.

En ese punto coincide el INCIBE (Instituto Nacional de Ciberseguridad desde 2014), que trata de ofrecer apoyo y asesoramiento a empresas, particulares y protección al menor. Marco Lozano, responsable de empresas y profesionales, pone el acento en “los errores que cometen los usuarios” y en el “error de contexto de las pymes y microempresas de pensar que no son objeto de ataques”. En su opinión, la movilidad genera “problemas por la inmediatez de los servicios” y el IoT. “Uno de los retos más importantes son los coches que van a venir, con la llamada automática al 112”.

Desde el punto de vista de la banca, expuesto por Alejandro Figueroa, CISO de BBVA, la movilidad abarca desde el smartphone y los relojes inteligentes al IoT y los altavoces “parlantes en casa”. Y eso plantea la identificación, la verificación de que está “hablando con su cliente y no con un suplantador” como eje de su tarea, “sin hacerle perder en la experiencia”.

Samsung, lisonjeado como el único fabricante que ahora mismo tiene móviles certificados para el uso hasta del mismísimo CNI, la clave “es poner las herramientas de seguridad”, señala David Alonso. “Con el Galaxy S3 lanzamos hace siete años la plataforma NOX [almacenamiento interno de datos con seguridad], que ha sido considerada por Gartner la más segura del mercado”. Pero, “si las herramientas no se utilizan, no valen para nada”.