CCN-CERT: Guias STIC y Herramientas
Guia completa del CCN-CERT y sus recursos para profesionales de ciberseguridad. Guias STIC (serie 800), herramientas como LUCIA, PILAR, CARMEN y microCLAUDIA, y como usarlas para cumplir el ENS.
El CCN-CERT en el ecosistema de ciberseguridad espanol
El CCN-CERT es el equipo de respuesta ante incidentes de seguridad del Centro Criptologico Nacional (CCN), organismo adscrito al CNI. Su mision: garantizar la seguridad de los sistemas de informacion de la Administracion Publica espanola.
Para los profesionales de ciberseguridad en Espana, el CCN-CERT es una fuente de recursos tecnicos de alto nivel: guias, herramientas, alertas y formacion. Muchos de estos recursos son publicos, aunque las herramientas suelen requerir pertenencia a una entidad publica para su uso.
Guias STIC: el corpus documental
Las Guias STIC (Seguridad de las Tecnologias de la Informacion y Comunicaciones) son el mayor cuerpo de documentacion tecnica de ciberseguridad en espanol. Mas de 100 documentos que cubren desde politicas de seguridad hasta configuraciones de bastionado de sistemas especificos.
Organizacion por series
Serie 000 - Informacion general
Documentos sobre la estructura y organizacion del CCN y sus servicios.
Serie 100 - Procedimientos
Procedimientos operativos de seguridad: gestion de usuarios, administracion de sistemas, copias de seguridad, gestion de cambios.
Serie 200 - Normativa
Marco normativo aplicable: ENS, RGPD, Directiva NIS, normativa nacional de seguridad.
Serie 300 - Instrucciones tecnicas
Instrucciones tecnicas detalladas para la implementacion de medidas de seguridad especificas.
Serie 400 - Guias generales
Guias transversales de ciberseguridad:
- CCN-STIC 401: Glosario de terminos de ciberseguridad
- CCN-STIC 480: Seguridad en sistemas SCADA
- CCN-STIC 496: Deteccion y gestion de ciber-incidentes
Serie 500 - Entornos Windows
Guias de bastionado para plataformas Microsoft:
- CCN-STIC 570: Seguridad en Windows 10
- CCN-STIC 575: Seguridad en Windows 11
- CCN-STIC 585: Seguridad en Windows Server 2022
- CCN-STIC 540: Seguridad en Office 365
- CCN-STIC 599: Seguridad en Active Directory
Estas guias son extremadamente detalladas: GPOs a aplicar, configuraciones de registro, auditorias a habilitar. Sirven como checklist de bastionado.
Serie 600 - Otros entornos
Guias de seguridad para entornos no-Windows:
- CCN-STIC 610: Seguridad en Linux (Red Hat, Ubuntu, SUSE)
- CCN-STIC 619: Seguridad en macOS
- CCN-STIC 652: Seguridad en dispositivos moviles iOS
- CCN-STIC 653: Seguridad en dispositivos moviles Android
- CCN-STIC 660: Seguridad en bases de datos (Oracle, PostgreSQL, SQL Server)
Serie 800 - Esquema Nacional de Seguridad (ENS)
La serie mas consultada. Guias para implementar el ENS:
- CCN-STIC 801: Responsabilidades y funciones en el ENS
- CCN-STIC 802: Auditoria del ENS
- CCN-STIC 803: Valoracion de sistemas en el ENS
- CCN-STIC 804: Guia de implantacion del ENS
- CCN-STIC 805: Politica de seguridad de la informacion en el ENS
- CCN-STIC 806: Plan de Adecuacion al ENS
- CCN-STIC 808: Verificacion del cumplimiento del ENS
- CCN-STIC 809: Declaracion de conformidad con el ENS
- CCN-STIC 811: Interconexion en el ENS
- CCN-STIC 817: Gestion de ciberincidentes en el ENS
- CCN-STIC 823: Cloud Computing en el ENS
- CCN-STIC 824: Informe del Estado de la Seguridad
- CCN-STIC 836: Seguridad en VPN en el ENS
Serie 900 - Informes tecnicos
Informes sobre amenazas, tecnologias emergentes y tendencias:
- Informes de ciberamenazas (anuales)
- Informes sectoriales
- Analisis de amenazas especificas
Como acceder a las guias
Las guias STIC se descargan desde el portal del CCN-CERT (ccn-cert.cni.es). Algunas requieren registro previo (gratuito). El portal organiza las guias por serie, fecha de publicacion y tema.
Herramientas del CCN-CERT
PILAR (analisis de riesgos)
Herramienta de analisis y gestion de riesgos basada en la metodologia MAGERIT. Permite:
- Inventariar activos de informacion
- Identificar amenazas y vulnerabilidades
- Calcular niveles de riesgo
- Seleccionar salvaguardas y controles
- Generar informes de riesgos para la direccion
- Evaluar el cumplimiento del ENS
PILAR es la herramienta de referencia para el analisis de riesgos en la Administracion Publica espanola. Tiene versiones para diferentes tamanios de organizacion: PILAR (completa), microPILAR (simplificada), PILAR Cloud (SaaS).
LUCIA (gestion de incidentes)
Plataforma para la gestion del ciclo de vida de incidentes de seguridad:
- Registro y clasificacion de incidentes
- Asignacion a analistas
- Seguimiento del estado
- Notificacion automatica al CCN-CERT
- Generacion de metricas e informes
- Integracion con la taxonomia de incidentes del CCN
LUCIA es el canal oficial para que las entidades publicas notifiquen incidentes al CCN-CERT. Su uso es obligatorio para ciertos niveles de incidentes segun el ENS.
CARMEN (deteccion de APTs)
Sistema de deteccion de amenazas persistentes avanzadas (APTs) basado en analisis de trafico de red:
- Monitorizacion pasiva del trafico
- Deteccion de comunicaciones C2
- Identificacion de movimiento lateral
- Alertas de exfiltracion de datos
- Correlacion con indicadores del CCN-CERT
CARMEN se despliega en la red de la organizacion como sensor pasivo. Es especialmente relevante para detectar amenazas que evaden los controles perimetrales tradicionales.
microCLAUDIA (proteccion contra ransomware)
Agente ligero para endpoints que protege contra ransomware:
- Deteccion de comportamiento de cifrado masivo
- Proteccion de archivos criticos
- Alertas tempranas de actividad ransomware
- Bajo consumo de recursos (disenado para equipos de AAPP)
REYES (threat intelligence)
Plataforma de inteligencia de amenazas del CCN-CERT:
- Indicadores de compromiso (IOCs) recopilados de multiples fuentes
- Contexto sobre amenazas activas contra AAPP espanolas
- Informes de threat intelligence en espanol
- API para integracion con SIEM y SOAR
ANA (analisis de trafico de red)
Herramienta de analisis de trafico de red:
- Captura y analisis de trafico
- Deteccion de anomalias
- Identificacion de protocolos y aplicaciones
- Informes de actividad de red
CLARA (auditoria ENS)
Herramienta de auditoria automatizada de cumplimiento del ENS:
- Escanea sistemas contra los requisitos del ENS
- Genera informe de cumplimiento
- Identifica deficiencias con prioridad
- Recomienda acciones correctivas
Tabla resumen de herramientas
| Herramienta | Funcion | Acceso |
|---|---|---|
| PILAR | Analisis de riesgos (MAGERIT) | AAPP, registro requerido |
| LUCIA | Gestion de incidentes | AAPP, canal oficial |
| CARMEN | Deteccion de APTs en red | AAPP, despliegue asistido |
| microCLAUDIA | Anti-ransomware endpoint | AAPP, agente ligero |
| REYES | Threat intelligence | AAPP, plataforma web |
| ANA | Analisis de trafico | AAPP, registro requerido |
| CLARA | Auditoria ENS | AAPP, registro requerido |
El Esquema Nacional de Seguridad (ENS)
Que es
El ENS (Real Decreto 311/2022) establece la politica de seguridad para las entidades del sector publico espanol. Define los principios basicos, requisitos minimos y medidas de seguridad obligatorias.
Categorias del ENS
El ENS clasifica los sistemas en tres categorias segun el impacto de un incidente:
Categoria BASICA: impacto limitado. Sistemas de informacion publica no critica.
Categoria MEDIA: impacto grave. Sistemas con datos personales o servicios importantes.
Categoria ALTA: impacto muy grave. Sistemas criticos para el funcionamiento de la administracion, datos especialmente protegidos.
Cada categoria tiene un conjunto de medidas de seguridad obligatorias de complejidad creciente.
Medidas de seguridad del ENS
El ENS define 73 medidas de seguridad agrupadas en:
- Marco organizativo: politica de seguridad, normativa, procedimientos, roles
- Marco operacional: planificacion, control de acceso, proteccion de servicios, monitorizacion
- Medidas de proteccion: proteccion de instalaciones, personal, equipamiento, comunicaciones, soportes, aplicaciones, informacion, servicios
Las guias STIC de la serie 800 detallan como implementar cada medida en la practica.
Proceso de certificacion
- Analisis de riesgos (con PILAR)
- Implementacion de medidas de seguridad
- Auditoria interna (con CLARA)
- Auditoria externa (por entidad acreditada)
- Declaracion de conformidad (CCN-STIC 809)
- Certificacion (para categoria MEDIA y ALTA)
Formacion del CCN-CERT
ANGELES
Plataforma de formacion online del CCN-CERT:
- Cursos sobre ENS y su implementacion
- Formacion en las herramientas del CCN (PILAR, LUCIA)
- Cursos de ciberseguridad para personal de AAPP
- Modulos de concienciacion para empleados publicos
- Certificados de formacion
Jornadas STIC
Congreso anual del CCN-CERT (normalmente en diciembre, Madrid):
- Ponencias de alto nivel tecnico y estrategico
- Talleres practicos con las herramientas del CCN
- Presentacion del informe anual de ciberamenazas
- Networking con profesionales del sector publico
- Asistencia gratuita con registro previo
Es el evento de referencia de ciberseguridad del sector publico en Espana.
Informes de ciberamenazas
El CCN-CERT publica informes periodicos:
- Informe anual de ciberamenazas y tendencias: panorama completo de amenazas que afectan a Espana
- Informes sectoriales: amenazas especificas por sector (sanidad, educacion, defensa)
- Alertas tempranas: avisos de amenazas activas contra AAPP
- Informes de codigo danino: analisis tecnico de malware dirigido a organismos espanoles
Recursos para el sector privado
Aunque el CCN-CERT se centra en el sector publico, varios de sus recursos son utiles para cualquier profesional:
Las guias STIC de bastionado (series 500 y 600) son aplicables en cualquier entorno, publico o privado. Las configuraciones de seguridad para Windows, Linux y bases de datos son universales.
Los informes de ciberamenazas proporcionan contexto sobre el panorama de amenazas en Espana, relevante para todas las organizaciones.
La metodologia MAGERIT de analisis de riesgos es usable por cualquier organizacion, aunque la herramienta PILAR esta restringida a AAPP.
Las Guias ENS son relevantes para empresas que trabajan con la Administracion Publica como proveedores, ya que sus sistemas pueden entrar en el alcance del ENS de su cliente publico.
Diferencias CCN-CERT vs INCIBE-CERT
| Aspecto | CCN-CERT | INCIBE-CERT |
|---|---|---|
| Ambito | Administracion Publica | Sector privado, ciudadanos |
| Dependencia | CNI (Ministerio de Defensa) | Ministerio de Asuntos Economicos |
| Sede | Madrid | Leon |
| Acceso herramientas | Solo AAPP | Publico |
| Nivel tecnico guias | Alto (profesional) | Variable (ciudadano a profesional) |
| ENS | Autoridad | Colaborador |
| Telefono | 010 (AAPP) | 017 (todos) |
Conclusion
El CCN-CERT es una fuente de recursos tecnicos de primer nivel, comparable a las mejores agencias de ciberseguridad europeas. Las guias STIC son posiblemente el mejor corpus documental de seguridad en espanol, y las herramientas como PILAR y CARMEN estan a la altura de productos comerciales.
Para profesionales del sector privado, las guias de bastionado y los informes de amenazas son recursos directamente aplicables. Para profesionales del sector publico, el ecosistema completo del CCN (guias, herramientas, formacion, respuesta a incidentes) es indispensable para cumplir el ENS y proteger los sistemas de informacion de la administracion.
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.