La infraestructura TI en el ámbito de la seguridad nacional y la defensa opera bajo restricciones que no tienen equivalente en el sector privado ni en la administración civil. El tratamiento de información clasificada, la necesidad de operar en entornos de amenaza activa, la integración con redes y sistemas de aliados de la OTAN y la exigencia de disponibilidad absoluta en situaciones de crisis definen un conjunto de requisitos técnicos y normativos extraordinariamente exigentes. Esta guía aborda los aspectos técnicos de la protección de infraestructura física en estos entornos, centrándose en los estándares aplicables en España como miembro de la OTAN y en las guías del Centro Criptológico Nacional (CCN).
El marco normativo de seguridad en defensa
La Autoridad Nacional de Seguridad (ANS) y el marco español
En España, la Autoridad Nacional de Seguridad (ANS) es el organismo responsable de coordinar la protección de la información clasificada. La ANS está ejercida por el Secretario de Estado Director del Centro Nacional de Inteligencia (CNI), con el apoyo técnico del Centro Criptológico Nacional (CCN). La ANS es el punto de contacto español con las autoridades de seguridad de la OTAN (NSA, NATO Security Authority) y de los demás aliados.
El marco normativo español para la protección de la información clasificada incluye:
- Ley 9/1968, de 5 de abril, sobre Secretos Oficiales, y su modificación por Ley 48/1978, que establecen las categorías de clasificación (Secreto, Reservado, Confidencial, Difusión Limitada) y las obligaciones generales de protección
- Norma NS/04: Norma de Seguridad del CNI sobre protección de materias clasificadas en instalaciones
- Política de Seguridad de la Información de la Administración General del Estado (PSIGE): aprobada por Real Decreto 3/2010 (ENS) y sus actualizaciones
- Reglamento de Evaluación y Certificación (RECA): procedimiento para la evaluación y certificación de productos y sistemas de seguridad para su uso en entornos clasificados
El Esquema Nacional de Seguridad y la información clasificada
El ENS se aplica a los sistemas de información de las Administraciones Públicas, incluyendo los sistemas que procesan información clasificada DIFUSIÓN LIMITADA (el nivel de clasificación más bajo). Para los sistemas que procesan información clasificada CONFIDENCIAL, RESERVADO o SECRETO, aplican adicionalmente las normas específicas de protección de información clasificada del CNI/ANS y los estándares de la OTAN.
En la práctica, esto significa que un sistema que procesa información clasificada CONFIDENCIAL debe cumplir:
- Los requisitos del ENS para sistemas de categoría Alta (por definición, un sistema clasificado tiene impacto muy alto sobre la confidencialidad)
- Los requisitos adicionales de las normas de seguridad del CNI (NS/04 y siguientes)
- Los requisitos de los estándares OTAN aplicables (si el sistema es parte de una infraestructura interoperable con la Alianza)
Las guías CCN-STIC para entornos de alta seguridad
El CCN publica guías técnicas específicas para la protección de sistemas que procesan información clasificada. Las más relevantes para infraestructura física son:
CCN-STIC-102: Controles de seguridad para entornos con información clasificada — define los controles físicos necesarios según el nivel de clasificación, incluyendo controles ambientales y de alimentación
CCN-STIC-105: Zonas de seguridad en instalaciones — define los tipos de zonas de seguridad (zona de acceso controlado, zona de seguridad, zona de alta seguridad) y los requisitos de protección física de cada una
CCN-STIC-106: Inspección técnica de seguridad — procedimientos para detectar dispositivos de escucha, interferencias electromagnéticas maliciosas y otras amenazas físicas a los sistemas
CCN-STIC-817: Gestión de incidentes en el ENS — aplicable a todos los niveles de clasificación
Familia CCN-STIC-800: ENS — Guías de implementación de los controles del ENS, con orientación específica para entornos de alta seguridad
Estándares OTAN para infraestructura TI
La estructura normativa de la OTAN en materia de seguridad TI
La OTAN ha desarrollado un cuerpo normativo extenso para la protección de la información clasificada que manejan sus miembros. Los documentos de seguridad son en su mayoría clasificados y no accesibles públicamente, pero los más relevantes para infraestructura física incluyen:
NATO AC/35-D/2005: Política de Seguridad de la OTAN — el documento cimero que establece los principios y la estructura del sistema de seguridad de la Alianza
SDIP-27 / AMSG-720: Estándares de emisiones electromagnéticas comprometedoras (TEMPEST) — define los niveles de protección requeridos para los equipos que procesan información clasificada de la OTAN según el nivel de amenaza del entorno
AMSG-788: Requisitos de protección física para instalaciones que procesan información clasificada de la OTAN
IAFC-02: Instrucciones para la Acreditación de Instalaciones CIS — el proceso mediante el cual una instalación TI (incluyendo sus sistemas de soporte, como la alimentación eléctrica) recibe autorización para operar con información clasificada de la OTAN
STANAG 4427: Acuerdo de Estandarización sobre procedimientos para instalaciones de comunicaciones e información seguras
TEMPEST: emisiones electromagnéticas comprometedoras
El concepto TEMPEST (Transient Electromagnetic Pulse Emanation Standard, o en nomenclatura de la OTAN "Compromising Emanations") se refiere a las emisiones electromagnéticas no intencionadas de los equipos electrónicos que procesan información. Estas emisiones pueden ser interceptadas por un adversario y usadas para reconstruir la información que el equipo estaba procesando.
Los estándares TEMPEST de la OTAN (SDIP-27) definen tres niveles de protección:
- Nivel A (NATO SDIP-27 Level A): el nivel más exigente, para entornos donde se asume que el adversario puede colocar equipos de interceptación muy cerca del objetivo. Aplicable a instalaciones de muy alta seguridad.
- Nivel B (NATO SDIP-27 Level B): nivel intermedio, para entornos con protección perimetral significativa pero donde no puede descartarse totalmente la proximidad del adversario.
- Nivel C (NATO SDIP-27 Level C / AMSG-784): el nivel básico, para instalaciones con protección perimetral adecuada. Es el más habitual en instalaciones militares convencionales y organismos de seguridad.
Implicaciones TEMPEST para la infraestructura de alimentación eléctrica
Los SAIs y los sistemas de alimentación eléctrica son fuentes potenciales de emisiones comprometedoras, y también pueden actuar como vías de propagación de las emisiones de los equipos TI a través del cableado. Los requisitos TEMPEST para sistemas de alimentación incluyen:
- Filtrado de la línea de alimentación (filtros EMI) para prevenir la propagación de señales comprometedoras desde los equipos TI hacia la red eléctrica
- Blindaje del cableado de alimentación dentro de las zonas de seguridad
- Separación física adecuada entre el cableado de alimentación y el cableado de señal
- En entornos de nivel A: SAIs con certificación TEMPEST propia
Los SAIs convencionales de gama comercial no tienen certificación TEMPEST, pero pueden ser conformes con los requisitos de los niveles B y C cuando se complementan con filtros EMI certificados y con la instalación adecuada en el contexto de una Zona de Seguridad debidamente diseñada. Para el nivel A, son necesarios equipos con certificación TEMPEST específica.
Zonas de seguridad en instalaciones de defensa
El concepto de "Zona de Seguridad" (Security Area en la normativa OTAN) es central en el diseño de instalaciones que procesan información clasificada. La OTAN distingue entre:
Zona Administrativa (Administrative Area): áreas con control de acceso pero sin tratamiento de información clasificada. No se requieren controles especiales de infraestructura eléctrica más allá de los del ENS.
Zona de Seguridad Clase I (Class I Security Area): para el tratamiento de información clasificada hasta CONFIDENTIAL/NS. Requiere control de acceso, registros de visitantes, protección física del perímetro y controles ambientales básicos. Los SAIs deben ser de topología VFI y la climatización debe ser de precisión con monitorización continua.
Zona de Seguridad Clase II (Class II Security Area): para información clasificada SECRET/NS. Requiere control de acceso biométrico, registros detallados, blindaje del perímetro (puede incluir jaula Faraday parcial), y todos los controles de infraestructura de la Clase I más los controles TEMPEST básicos. Los cables de alimentación eléctrica deben estar blindados y separados de los cables de señal.
Instalación de Comunicaciones e Información Segura (Secure CIS Facility): el nivel más alto, para información COSMIC TOP SECRET. El diseño de la instalación, incluyendo todos los sistemas de soporte (alimentación, climatización, detección de incendios), debe ser aprobado por la autoridad de acreditación OTAN o nacional antes de comenzar el tratamiento de información.
Arquitectura de infraestructura física para instalaciones clasificadas
Principios de diseño para alta seguridad
El diseño de la infraestructura física de una instalación clasificada debe seguir principios adicionales a los de un CPD convencional:
Principio de mínima exposición: todos los sistemas de soporte —SAIs, climatización, sistemas de monitorización— deben estar ubicados dentro de las zonas de seguridad o con acceso controlado equivalente. No deben existir puntos de acceso no controlado a sistemas que puedan ser usados para introducir hardware malicioso (implantes) o como vías de exfiltración de información.
Principio de separación y segmentación: los sistemas de alimentación eléctrica de las zonas clasificadas deben estar eléctricamente separados de los sistemas de alimentación de las zonas no clasificadas. Esto implica transformadores de aislamiento, SAIs dedicados y cuadros eléctricos independientes para cada zona de seguridad.
Principio de continuidad bajo ataque: a diferencia de un CPD corporativo, una instalación de defensa debe ser capaz de operar ante amenazas activas, incluyendo la degradación o el corte intencional del suministro eléctrico externo. Esto implica mayor autonomía de baterías (mínimo 30-60 minutos, frente a los 10-15 minutos habituales en CPDs corporativos) y grupos electrógenos con depósitos de combustible para operación autónoma prolongada (24-72 horas o más, según la criticidad).
Principio de auditoría y trazabilidad total: todos los eventos de la infraestructura deben registrarse con marca temporal verificable y los registros deben conservarse de forma segura e inalterable. Los SAIs deben exportar sus registros a sistemas de logging centralizados protegidos.
Dimensionamiento de la autonomía para instalaciones clasificadas
Los objetivos de autonomía en instalaciones de defensa y seguridad nacional son significativamente más exigentes que en entornos civiles:
| Tipo de instalación | Autonomía SAI (baterías) | Autonomía total (con generador) | |--------------------|------------------------|--------------------------------| | Puesto de mando táctico | 60-120 minutos | 72-120 horas (combustible propio) | | Centro de comunicaciones estratégico | 30-60 minutos | Indefinida (suministro externo + reserva 72h) | | Instalación de inteligencia | 60 minutos | 72-96 horas | | Zona de seguridad en sede ministerial | 30 minutos | 8-24 horas | | Nodo de red clasificada en sede OTAN | 30 minutos | 24-48 horas |
La autonomía del SAI debe ser suficiente para absorber el arranque del generador (hasta 30 segundos) más un margen de seguridad ante arranques fallidos (típicamente, se dimensiona para 2-3 intentos de arranque), más un tiempo adicional para completar el checkpointing de los sistemas críticos si el generador no arranca.
Climatización en zonas clasificadas
La climatización de zonas clasificadas tiene implicaciones TEMPEST y de seguridad que van más allá de las puramente técnicas:
Canalizaciones de aire: los conductos de climatización que atraviesan el perímetro de una zona de seguridad son potenciales canales de escucha acústica. Las instalaciones de nivel más alto (Clase II, Instalaciones Seguras) deben incluir mecanismos de protección en los puntos de paso: registros de inspección, trampas acústicas, o sistemas activos de cancelación de sonido.
Acceso para mantenimiento: el personal de mantenimiento de los sistemas de climatización que accede a zonas clasificadas debe estar acreditado al nivel correspondiente o estar escoltado en todo momento. El diseño de la instalación debe permitir el mantenimiento de los equipos sin comprometer las medidas de seguridad (acceso a los equipos de refrigeración desde el exterior de la zona segura cuando sea posible).
Fluidos refrigerantes y cableado: los circuitos de fluido refrigerante y el cableado eléctrico de los equipos de climatización que pasan por zonas de distinta clasificación deben gestionarse con cuidado para evitar que constituyan canales de exfiltración (acústica, eléctrica o de otro tipo).
Los sistemas de climatización de precisión Vertiv Liebert DSE (24 y 35 kW) son especialmente adecuados para instalaciones clasificadas gracias a su diseño compacto (que facilita la instalación en espacios confinados como salas de servidores blindadas), su capacidad de operación sin conexión a red de agua (versiones de expansión directa), y su sistema de monitorización integrado que puede conectarse a plataformas de gestión seguras.
Cadena de suministro y seguridad en hardware de defensa
El riesgo de la cadena de suministro
Una de las amenazas más serias para las infraestructuras de seguridad y defensa en la actualidad es la manipulación de hardware durante la fabricación o distribución. El implante de circuitos electrónicos adicionales o la modificación del firmware de equipos de infraestructura (SAIs, switches de red, PDUs, sistemas de climatización) puede proporcionar a un adversario acceso no autorizado a sistemas clasificados o la capacidad de interrumpir el funcionamiento de infraestructuras críticas.
Los estándares OTAN y las guías CCN abordan este riesgo a través de:
-
Evaluación y certificación de productos: el RECA (Reglamento de Evaluación y Certificación del CCN) establece el procedimiento para evaluar y certificar productos TI para su uso en sistemas clasificados. Los laboratorios acreditados por el CCN (LAADs) realizan evaluaciones conforme a los Criterios Comunes (ISO 15408) y al Esquema de Evaluación de la Seguridad de las TIC (LINCE para niveles básicos).
-
Lista de productos cualificados: el CCN mantiene una lista de productos TI cualificados para su uso en sistemas del ENS de categoría Alta y en sistemas clasificados. Los productos de infraestructura física (SAIs, sistemas de control ambiental) pueden aparecer en esta lista si han superado el proceso de evaluación.
-
Proveedores de confianza: los contratos de suministro de infraestructura para instalaciones clasificadas deben incluir garantías sobre la cadena de suministro: origen de los componentes, trazabilidad de la fabricación, mecanismos de verificación de integridad antes de la instalación.
-
Inspección pre-instalación: para instalaciones de máxima seguridad, los equipos son inspeccionados por personal técnico autorizado antes de su introducción en las zonas de seguridad. Esta inspección incluye verificación del número de serie, comprobación del estado físico (sin evidencias de manipulación) y, en algunos casos, análisis de radiaciones electromagnéticas del equipo.
Actualizaciones de firmware y gestión remota
La gestión remota de los sistemas de infraestructura (actualizaciones de firmware, configuración remota, monitorización) plantea un dilema en entornos clasificados: la conectividad de red necesaria para la gestión remota es también una potencial vía de ataque.
Las soluciones para entornos clasificados incluyen:
Red de gestión dedicada y aislada: los sistemas de infraestructura (SAIs, PDUs, climatización) se conectan a una red de gestión específica, completamente separada de la red que maneja información clasificada, con acceso controlado y monitorizados.
Gestión local: en los entornos de mayor seguridad, la gestión de los sistemas de infraestructura se realiza exclusivamente de forma local (acceso físico directo al equipo), sin conectividad de red alguna. Esto elimina el riesgo de ataque remoto pero aumenta el coste de gestión.
Diodos de datos (Data Diodes): dispositivos hardware que permiten el flujo de datos en un único sentido (de la red de gestión de infraestructura hacia la red de monitorización), sin posibilidad de retorno. Permiten exportar datos de monitorización sin abrir una vía de entrada a las redes de gestión.
Acreditación y procesos de aprobación
El proceso de acreditación de sistemas clasificados en España
Para que un sistema TI pueda procesar información clasificada en España, debe pasar por un proceso de acreditación gestionado por la Autoridad de Acreditación competente (el propio CNI/CCN para sistemas nacionales, o la NSA de la OTAN para sistemas que tratan información clasificada de la Alianza).
El proceso de acreditación incluye:
-
Definición del sistema: descripción técnica completa del sistema, incluyendo hardware, software, configuración y todos los sistemas de soporte (alimentación, climatización, control de acceso)
-
Análisis de riesgos: identificación de las amenazas relevantes (incluyendo amenazas físicas sobre la infraestructura) y evaluación de los controles propuestos
-
Documentación de seguridad: elaboración del Plan de Seguridad del Sistema (SSP, System Security Plan) que describe todos los controles implementados, incluyendo los controles físicos de la infraestructura
-
Inspección técnica: verificación in situ por parte de la autoridad de acreditación de que los controles documentados están efectivamente implementados
-
Autorización de operación: una vez superada la inspección, se emite la autorización de operación (TA, Technical Acceptance) que permite al sistema procesar información del nivel de clasificación correspondiente
La infraestructura de alimentación eléctrica y climatización es parte integral del proceso de acreditación: debe estar documentada, debe cumplir los requisitos técnicos del nivel de clasificación y debe ser inspeccionada físicamente.
Preguntas frecuentes
¿Qué diferencia hay entre los requisitos ENS de categoría Alta y los requisitos de sistemas clasificados?
El ENS de categoría Alta es el marco de referencia para los sistemas que tratan información cuya comprensión podría causar un daño "muy grave" a los intereses nacionales, organizativos o individuales. Los sistemas que tratan información clasificada (Confidencial, Reservado, Secreto) deben cumplir el ENS como mínimo (para Difusión Limitada) o los requisitos adicionales del CNI/ANS (para niveles superiores). Los requisitos de los sistemas clasificados son más exigentes en aspectos de seguridad física (TEMPEST, zonas de seguridad), cadena de suministro y procedimientos operativos. No todos los sistemas de categoría Alta del ENS son clasificados, pero todos los sistemas clasificados son de categoría Alta del ENS.
¿Pueden usarse SAIs comerciales en instalaciones clasificadas?
Depende del nivel de clasificación y del entorno. Para sistemas de Difusión Limitada (el nivel más bajo) y entornos con Zona de Seguridad Clase I, los SAIs comerciales de calidad profesional (que cumplen ENS categoría Alta) son generalmente aceptables, complementados con los filtros EMI adecuados y con la instalación correcta en la zona de seguridad. Para niveles superiores y entornos de Zona de Seguridad Clase II, se requieren SAIs con características especiales (filtrado TEMPEST, blindaje mejorado) o con certificación específica. Los detalles concretos deben consultarse con la autoridad de acreditación competente para cada instalación específica.
¿Qué es el proceso de "inscripción" de una instalación OTAN en España?
Para que una instalación española pueda albergar y procesar información clasificada de la OTAN (NATO SECRET y superiores), debe ser "inscrita" (enrolled) en el sistema de seguridad de la Alianza. Esto implica un proceso formal de inspección y aprobación por parte de la NSA (NATO Security Authority) o de la ANS española actuando en su nombre. La instalación debe cumplir con todos los requisitos de AMSG-788 y los estándares de seguridad física de la OTAN, incluyendo los requisitos de infraestructura de soporte (alimentación, climatización, control ambiental). La inscripción es obligatoria para cualquier instalación española que maneje material NATO CONFIDENTIAL o superior.
¿Cómo se gestiona el mantenimiento de la infraestructura en zonas clasificadas?
El mantenimiento de sistemas de infraestructura en zonas clasificadas requiere que el personal técnico tenga la habilitación de seguridad apropiada para el nivel de clasificación de la zona (o que sea escoltado en todo momento por personal habilitado). Para los sistemas de infraestructura comercial (SAIs, climatización), esto implica habitualmente la obtención de la habilitación de seguridad por parte del personal técnico de los proveedores o distribuidores que realicen el mantenimiento. El procedimiento de habilitación del personal del sector privado para acceso a zonas clasificadas está regulado por la Autoridad Delegada para Material Clasificado (ADMC) del CNI. Los contratos de mantenimiento de infraestructura en instalaciones clasificadas deben prever estos requisitos y establecer los procedimientos de coordinación con el responsable de seguridad de la instalación.
¿Existe en España algún catálogo oficial de productos TI aprobados para sistemas clasificados?
El CCN mantiene el Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC), que incluye productos evaluados y certificados para su uso en sistemas del ENS y en sistemas clasificados. Para la infraestructura de alimentación eléctrica y climatización, los productos en el CPSTIC son limitados; es más frecuente que la aprobación de estos equipos se haga caso a caso en el marco del proceso de acreditación de cada instalación. Las guías CCN-STIC proporcionan criterios técnicos que los equipos deben cumplir, y la autoridad de acreditación evalúa si los equipos propuestos son conformes con esos criterios.