Cuando hablamos de certificación o cualificación de productos, servicios o sistemas en España, es muy habitual escuchar frases como “he hablado con el CCN”, “quiero entrar en el catálogo del CCN” o “tengo que certificar mi producto en el CCN”.
Sin embargo, esta forma de hablar simplifica demasiado la realidad.
Dentro del Centro Criptológico Nacional (CCN) existen varias entidades distintas, cada una con una función muy concreta. No entender esta estructura es uno de los errores más habituales en proyectos de certificación, y suele traducirse en retrasos, sobrecostes o decisiones estratégicas poco acertadas.
Si eres fabricante, desarrollador, integrador o responsable de seguridad, comprender cómo encajan estas piezas es fundamental para entender qué está ocurriendo realmente durante un proceso de certificación.
Si prefieres verlo en formato vídeo, aquí tienes la explicación completa:
Las tres piezas clave del ecosistema
De forma simplificada, el modelo se apoya en tres grandes áreas: el Organismo Certificador, el CPSTIC y la parte normativa, responsable del Esquema Nacional de Seguridad.
Aunque suelen mencionarse como un todo, cada una cumple un papel distinto y complementario.
El Organismo Certificador: quién emite el certificado
El Organismo Certificador es el responsable de emitir certificados de seguridad para productos evaluados bajo metodologías como Common Criteria o LINCE.
Un punto clave que conviene aclarar desde el principio es que el Organismo Certificador no realiza la evaluación técnica del producto. Esa labor recae en laboratorios independientes que han sido previamente acreditados y que cuentan con los medios, el conocimiento y los procedimientos necesarios para evaluar soluciones de seguridad.
El proceso, simplificado, comienza con una revisión de la certificabilidad del producto, donde se analiza, entre otros aspectos, la Declaración de Seguridad (Security Target). Este documento define qué problema de seguridad resuelve el producto, qué funciones implementa y en qué entorno se espera que opere. Una vez validado este punto y el laboratorio encargado de la evaluación, se inicia el trabajo técnico.
El laboratorio lleva a cabo la evaluación y genera el correspondiente informe técnico, el conocido ETR. Este informe es revisado por el Organismo Certificador, que, si todo es conforme, emite el certificado.
Aquí aparece una de las ideas más importantes de todo el proceso: en certificación no se certifica un producto de forma genérica, sino una versión concreta, con una configuración específica y bajo unas condiciones determinadas. Ignorar esto suele generar problemas cuando el producto evoluciona.
CPSTIC: quién cualifica los productos
Una vez entendido el papel del Organismo Certificador, es más fácil comprender la función del CPSTIC.
El CPSTIC es el responsable del catálogo oficial de productos y servicios de seguridad utilizados en el ámbito público. Su función no es certificar, sino cualificar, es decir, determinar qué productos son aptos para ser utilizados en sistemas que deben cumplir el ENS.
El proceso de cualificación es especialmente relevante en sistemas de nivel medio y alto dentro del Esquema Nacional de Seguridad, donde se exige que los productos de seguridad estén incluidos en dicho catálogo.
Además, el CPSTIC organiza los productos en distintas familias —como firewalls, sistemas de detección de intrusiones o soluciones de gestión de identidades— y define para cada una de ellas los requisitos de seguridad que deben cumplirse. También establece los procedimientos de cualificación y mantiene actualizado el catálogo.
Certificación y cualificación: dos procesos distintos pero conectados
Uno de los puntos que más confusión genera es la relación entre certificación y cualificación.
El Organismo Certificador emite certificados. El CPSTIC utiliza, en muchos casos, esas certificaciones como base para cualificar productos e incluirlos en el catálogo. Son, por tanto, procesos distintos, aunque estrechamente relacionados.
En un escenario ideal, un fabricante obtiene una certificación —por ejemplo, bajo Common Criteria o LINCE— que cubre las funcionalidades de seguridad relevantes. A partir de ahí, el CPSTIC utiliza esa certificación para cualificar el producto.
Sin embargo, la realidad no siempre sigue ese camino lineal.
La realidad del mercado: más allá del modelo teórico
Las certificaciones tradicionales son procesos rigurosos, largos y ligados a versiones muy concretas de producto evaluadas en entornos controlados. El mercado, sin embargo, evoluciona rápidamente: aparecen nuevas versiones, cambios en hardware o despliegues en entornos cloud.
Para adaptarse a esta dinámica, el CPSTIC contempla distintos mecanismos de cualificación que van más allá de la certificación clásica. En muchos casos, es posible extender la cualificación a nuevas versiones mediante análisis diferenciales, revisiones documentales o pruebas adicionales, sin necesidad de repetir una certificación completa.
Esto permite mantener el equilibrio entre rigor técnico y agilidad, pero también introduce complejidad a la hora de definir la estrategia adecuada.
Escenarios habituales en proyectos reales
Cuando se aterriza este modelo en casos reales, aparecen distintos escenarios bastante comunes.
Por ejemplo, una empresa puede buscar una certificación bajo Common Criteria con el objetivo de obtener reconocimiento internacional, sin necesidad de operar en el sector público español. En ese caso, la interacción se produce principalmente con el Organismo Certificador y el CPSTIC no entra en juego.
En cambio, si el objetivo es que el producto pueda utilizarse en sistemas que deben cumplir el ENS, la entrada en el CPSTIC se vuelve imprescindible. Aquí lo habitual es comenzar definiendo requisitos con el catálogo y, en paralelo o posteriormente, abordar la certificación.
Un tercer escenario muy frecuente es el de productos que ya están cualificados pero evolucionan. En estos casos, el proceso suele centrarse en el CPSTIC y puede no requerir una nueva certificación completa, dependiendo del impacto de los cambios.
ENS: el marco que lo conecta todo
La tercera pieza es la normativa, representada por el Esquema Nacional de Seguridad.
El ENS no certifica productos, sino que define los requisitos de seguridad que deben cumplir los sistemas y cómo deben ser auditados. Las certificaciones ENS son realizadas por entidades privadas que auditan a las organizaciones conforme a este marco.
Durante estas auditorías, uno de los aspectos que se revisa es que los productos de seguridad utilizados estén cualificados en el CPSTIC, lo que cierra el círculo entre normativa, catálogo y certificación.
Conclusión
Cuando se observa el sistema en su conjunto, la estructura resulta coherente: la normativa define las reglas, el CPSTIC establece qué productos son aceptables y el Organismo Certificador valida técnicamente esos productos.
Entender esta relación no solo ayuda a interpretar el proceso, sino que permite tomar mejores decisiones desde el inicio. En un entorno donde los tiempos, los costes y la complejidad son elevados, contar con una estrategia clara marca una diferencia significativa.
¿Necesitas ayuda con tu certificación?
En Digital Cubes ayudamos a fabricantes y desarrolladores a definir y ejecutar estrategias de certificación alineadas con sus objetivos, ya sea a nivel internacional o dentro del ecosistema ENS.
Si estás trabajando en la certificación de un producto o quieres entender cuál es el mejor enfoque en tu caso, podemos ayudarte a recorrer el camino de forma eficiente y sin sorpresas.
