Primero fueron diversos líderes independentistas, ahora también Pedro Sánchez y Margarita Robles. El Gobierno ha denunciado que el software Pegasus fue utilizado en 2021 para espiar los teléfonos del presidente del Gobierno y la ministra de Defensa. Según Félix Bolaños, titular de la cartera de Presidencia, los dispositivos de todos los miembros del Ejecutivo fueren examinados por el Centro Criptológico Nacional (CCN), un organismo adscrito al Centro Nacional de Inteligencia, que descubrió las "intervenciones ilícitas y externas" a Sánchez y Robles.

Creado en el 2004, el CCN es un organismo que coordina aquellos ámbitos de la Administración que utilizan medios o procedimientos cifrados, con el objetivo de garantizar la seguridad, informar sobre la adquisición coordinada del material criptológico y formar al personal especialista.

Está adscrito al CNI y se le encomienda las funciones de seguridad en todo el tema de las Tecnologías de la Información, así como protección de la información clasificada. El Secretario de Estado Director tiene la responsabilidad de dirigir el CCN, por lo que comparte medios, procedimientos, normativa y recursos con el propio Centro Nacional de Inteligencia.

Objetivos del CCN-CERT

Dentro de este organismo se coordina el CCN-CERT como la capacidad de respuesta a incidentes de seguridad de la información. Se trata de un servicio puesto en marcha en 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas en diversas leyes.

Su misión principal, por tanto, es contribuir a la mejora de la ciberseguridad española. Funciona como centro de alerta y respuesta nacional, con el objetivo de cooperar y dar respuesta a los ciberataques de manera ágil y eficiente. Así, afronta de forma activa todo tipo de ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.

Su fin último es conseguir un ciberespacio más seguro y confiable: preservar la información clasificada y la información sensible, asó como defender el Patrimonio Tecnológico español. Para ello, también forma al personal experto, aplica procedimientos de seguridad y desarrolla las tecnologías más adecuadas a este fin. Es competencia del CCN-CERT la gestión de ciberincidentes que afecten a cualquier organismo o empresa pública.

Decálogo de ciberseguridad

En su propia página web, el CCN publica diez normas para mejorar en materia de ciberseguridad.

  1. Aumentar la capacidad de vigilancia de las redes y los sistemas. Es indispensable contar con el adecuado equipo de ciberseguridad.
  2. Monitorización y correlación de eventos. Uso de herramientas capaces de monitorizar el tráfico de red, usuarios remotos, contraseñas de administración, etc.
  3. Política de Seguridad Corporativa restrictiva. Adecuación progresiva de los permisos de usuario, servicios en la “nube” y la utilización de dispositivos y equipos propiedad del usuario (BYOD).
  4. Configuraciones de seguridad en todos los componentes de la red corporativa. Se incluirán los dispositivos móviles y portátiles.
  5. Uso de productos, equipos y servicios confiables y certificados. Redes y sistemas acreditados para información sensible o clasificada.
  6. Automatizar e incrementar el intercambio de información. Reciprocidad con otras organizaciones y Equipos de Respuesta a Incidentes de Seguridad de la Información (CERTs)
  7. Compromiso de la Dirección con la ciberseguridad. Los cargos directivos deben ser los primeros en aceptar que existen riesgos y promover las políticas de seguridad.
  8. Formación y la Sensibilización de usuarios (eslabón más débil de la cadena). Todos y cada uno de los niveles de la organización (dirección, gestión e implantación) deben ser conscientes de los riesgos y actuar en consecuencia.
  9. Atenerse a la legislación y buenas prácticas. Adecuación a los distintos estándares (en el caso de las Administraciones Públicas al Esquema Nacional de Seguridad -ENS-)
  10. Trabajar como si se estuviese comprometido. Suponer que los sistemas están ya comprometidos o lo estarán pronto y proteger los activos fundamentales.