INCIBE inaugura su nuevo Laboratorio de Ciberseguridad

El Instituto Nacional de Ciberseguridad (INCIBE) ha inaugurado su nuevo Laboratorio de Ciberseguridad, en el marco del Cybersecurity Summer Bootcamp, en León. La principal misión de este laboratorio es incrementar la confianza digital y potenciar la ciberseguridad y la resiliencia en la industria (en colaboración con fabricantes e investigadores) a través de ensayos en tecnologías emergentes como el 5G, los sistemas de control industrial, el Internet de las Cosas (IoT), la inteligencia artificial o los vehículos conectados.

Con una inversión superior a los 7,5 millones de euros, cuenta con las tecnologías más avanzadas en materia de medición de los niveles de ciberseguridad de productos o soluciones digitales. Los centros de investigación, empresas y agentes del sector de la ciberseguridad podrán ensayar diferentes soluciones que estén desarrollando, reduciendo así el coste y el tiempo necesario para incorporar al mercado nuevos productos.

Se trata del primer laboratorio nacional de estas características y permitirá al Ministerio de Transformación Digital y de la Función Pública contar con un servicio de análisis de riesgos en tecnologías que se ofrecen a la ciudadanía desde el mercado, particularmente dispositivos al alcance de los colectivos más vulnerables como los menores de edad o las personas con dependencia.

El acto de inauguración del nuevo laboratorio ha estado presidido por José Luis Escrivá, ministro de Transformación Digital y de la Función Pública, quien ha destacado: “INCIBE se supera a sí mismo, no para de crecer y es una referencia en ciberseguridad. Este laboratorio va a servir, entre otras cosas, para comprobar de manera experimental cómo todo tipo de dispositivos que utilizamos en la vida diaria, que tienen conexión a Internet, es decir el Internet de las Cosas, van a cumplir con los estándares que fija el reglamento europeo”.

Por otro lado, Félix Barrio, director general de INCIBE, y los expertos del laboratorio, han presentado diversos ejemplos de pruebas de evaluación de la ciberseguridad de redes 5G y dispositivos conectados, tales como teléfonos móviles, drones, o sistemas de control industrial, así como las capacidades tecnológicas, herramientas y bancos de pruebas de los que se ha dotado el laboratorio, gracias a la financiación de los fondos Next Generation EU y del Plan de ecuperación, transformación y resiliencia del gobierno de España.

El primer fabricante en recurrir a pruebas de medición sobre la ciberseguridad de sus productos, ha sido el español CECOTEC, empresa valenciana que desarrolla soluciones y productos para el gran mercado, para lo cual su presidente César Orts ha estado presente en la inauguración.

Tecnología 5G

Por otra parte, el nuevo laboratorio también será un referente para la ciberseguridad de las redes 5G. Así, se trata del primer laboratorio público dotado de redes 5G para experimentación y análisis de dispositivos conectados mediante herramientas software y hardware y otras de ciberseguridad, que conforman un ‘banco de pruebas’ que reforzará la capacidad técnica y tecnológica del Ministerio en las medidas contempladas en el Esquema Nacional de Seguridad de redes y servicios 5G (Real Decreto 443/2024, de 30 de abril), recreando entornos de redes y servicios 5G reales e independientes para el análisis y gestión de riesgos de seguridad y para el aseguramiento del cumplimiento de los requisitos del ENS5G.

Fabricantes, usuarios y empresas que desarrollen entornos 5G podrán acceder al laboratorio a efectos de contrastar los requisitos de ciberseguridad de la tecnología, mientras que los laboratorios privados y entidades de auditoría podrán acudir a INCIBE para obtener indicaciones sobre estándares y metodologías de investigación.

Normativa Europea

El pasado 12 de marzo de 2024, el Parlamento Europeo aprobó la CRA, siglas en inglés de Cyber Resilience Act, destinada a establecer normas más estrictas en materia de ciberseguridad que permitan crear un sistema fiable para los operadores económicos y garantizar que la ciudadanía de la UE pueda utilizar los productos del mercado de forma segura. Esta norma cubre la práctica totalidad de los productos digitales que se usan por ciudadanos y empresas, requiriendo un complejo y considerable trabajo de verificación y control. De ahí la necesidad de reforzar las herramientas de seguimiento y verificación.

La CRA persigue esencialmente cuatro objetivos: garantizar que los fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de diseño y desarrollo y a lo largo de todo su ciclo de vida; garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware y software; mejorar la transparencia de las características de seguridad de los productos con elementos digitales; y permitir que las empresas y los consumidores utilicen estos productos de manera segura. Solo se excluyen los productos de carácter médico y los relacionados con la aviación civil, los vehículos y los productos militares. La propuesta tampoco cubre los servicios SaaS (en la nube), a menos que estos sirvan para la elaboración de productos con elementos digitales.

En esencia, la propuesta introduce un marcado CE sobre ciberseguridad que ha de colocarse en todos los productos con componentes digitales, el 90% de los productos, que incluyen desde electrodomésticos a juguetes, pasando por telefonía, equipos de audio/video, y un largo etcétera, deberán cumplir con estándares de ciberseguridad en la categoría Básica, que prevé un sistema de Autodeclaración por los fabricantes.

Con el Laboratorio de INCIBE, se podrán someter a contraste contra todo tipo de estándares internacionales de ciberseguridad, que efectivamente los productos con componentes digitales en el mercado cumplen realmente con la autodeclaración. De tal modo, el Ministerio dispondrá de un instrumento clave en la vigilancia y control de la ciberseguridad en el creciente mercado de productos con componentes digitales.