• Publicidad
  • Boletín Gratis
  • Hazte Socio
Confidencial Digital Confidencial Digital
La web de las personas informadas que desean estar más informadas
Buscar
Secciones
Síguenos

Así se denuncia un “agujero de seguridad” como el que sufrió el CNI

Dos agentes del Centro fueron detenidos por filtrar documentos a la CIA. El órgano afectado debe detallar en un “informe de comprometimiento” quién ha tenido acceso a la información clasificada, cuál ha sido el motivo de la fuga…

La directora del CNI, Esperanza Casteleiro (i), y la ministra de Defensa, Margarita Robles (d), en la sede del Centro Nacional de Inteligencia (CNI).
La directora del CNI, Esperanza Casteleiro (i), y la ministra de Defensa, Margarita Robles (d), en la sede del Centro Nacional de Inteligencia (CNI).
Aurelio Ruiz Enebral
Aurelio Ruiz Enebral
28/01/24 | 0:00 | Tiempo de lectura: 14 min.
Etiquetas:
Informacion Inteligencia CNI Pegasus Ministerio de defensa hacker
  1. Oficina Nacional de Seguridad
  2. Información clasificada
  3. Informe de comprometimiento
  4. Medidas adoptadas
  5. Pérdida, robo o espionaje
  6. Aviso a otros órganos
  7. Normas para proteger la información clasificada
  8. “Informar inmediatamente”
  9. Seguridad y contrainteligencia
  10. Sospechas de espionaje
  11. Personal desleal
  12. Las investigaciones se almacenan tres años
La ministra de Defensa, Margarita Robles, se reúne con la embajadora de Estados Unidos en España, Julissa Reynoso.
La ministra de Defensa, Margarita Robles, se reúne con la embajadora de Estados Unidos en España, Julissa Reynoso.

El Centro Nacional de Inteligencia destapó hace unos meses uno de los agujeros de seguridad más graves -que se haya conocido- en la historia reciente del servicio.

El Confidencial.com reveló que un juzgado de Madrid estaba investigando a dos miembros del CNI que están acusados de haber entregado información clasificada a la inteligencia de Estados Unidos.

El mismo diario apuntó que el espía de mayor rango, que continuaba en la cárcel, era experto en Rusia, y que se les investiga por haber filtrado “datos de carácter operativo clasificados con el máximo nivel de secreto”.

Las primeras sospechas surgieron en el CNI cuando se detectó que consultaban o accedían a información que no estaba estrictamente relacionada con su trabajo diario en el centro. A raíz de esos indicios obtenidos por los controles internos, se abrió una investigación que desembocó en una denuncia ante la Fiscalía, y en la detención de los dos agentes sospechosos.

Oficina Nacional de Seguridad

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia establece en el artículo 4. f) que una de las misiones del CNI es, precisamente, “velar por el cumplimiento de la normativa relativa a la protección de la información clasificada”, no sólo la suya, sino la de toda la administración.

Para ello existe desde 1983 la Oficina Nacional de Seguridad (ONS). Es el órgano de trabajo de la directora del CNI en su función de Autoridad Delegada para la Seguridad de la Información Clasificada originada por la OTAN, la UE y la Agencia Espacial Europea.

Tiene la misión de proteger la información clasificada mediante la habilitación de personas, empresas y organismos y la acreditación de sistemas TIC [tecnologías de la información y la comunicación] en los que se maneja dicha información.

Información clasificada

En general, se encarga de vigilar el cumplimiento de la normativa relativa a la protección de la información clasificada, tanto nacional como la entregada a la administración o a las empresas en virtud de tratados o acuerdos internacionales suscritos por España.

Cuando un órgano de la administración detecta una fuga de información clasificada, como le ha ocurrido al CNI en el caso de los dos espías que presuntamente filtraban a Estados Unidos, debe ponerlo en conocimiento de la Oficina Nacional de Seguridad.

 

Informe de comprometimiento

Personas con experiencia en el manejo de información clasificada explican a Confidencial Digital que, ante este tipo de situaciones, el órgano que ha sufrido la fuga de información debe elevar a la Oficina Nacional de Seguridad lo que se denomina “informe de comprometimiento”.

En ese informe (cuya plantilla se puede consultar pinchando aquí), el órgano de la administración afectado por ese agujero de seguridad debe relatar con el máximo detalle posible lo sucedido.

Debe aportar la siguiente información:

-- Fecha o periodo de ocurrencia del incidente.

-- Fecha y lugar del descubrimiento del incidente.

-- Grado de clasificación y marcas: los documentos pueden estar clasificados, de menor a mayor grado, como Difusión Limitada, Confidencial, Reservado y Secreto, llevan sellos con ese grado en varios lugares del documento.

-- Descripción de las circunstancias (del incidente).

-- Detallar la información posiblemente comprometida con el suficiente detalle para facilitar la valoración del daño producido o proporcionar una copia de la lista con el informe del incidente.

-- En el caso de que la pérdida o compromiso esté relacionado con un documento, detallar a continuación: originador, asunto, referencia, fecha, número de copia, idioma de redacción, etc.

Medidas adoptadas

-- Medidas tomadas para proteger la información o material y limitar el daño ocasionado.

-- Valorar la posibilidad de que haya resultado comprometida la información clasificada: “seguro”, “probable”, “posible” o “improbable”.

-- Declaración para informar si el originador ha sido informado.

-- Motivos o posibles motivos del comprometimiento.

-- Enumerar las medidas tomadas para impedir la repetición del compromiso.

Informe de comprometimiento.
Informe de comprometimiento.

Pérdida, robo o espionaje

Este informe de comprometimiento se debe rellenar y enviar a la Oficina Nacional de Seguridad no sólo en un caso de presunto espionaje, en el que se detecta a un funcionario accediendo a documentos clasificados y entregándoselos a una persona externa a la administración, más aún a un miembro de un servicio de inteligencia extranjero.

También se comunican otros incidentes, como puede ser que una persona que maneja información clasificada sufra la pérdida o el robo de documentos clasificados en papel, o de dispositivos electrónicos (ordenadores, teléfonos móviles, pen drive…) que contengan este tipo de documentos.

En el caso de la filtración de información clasificada a Estados Unidos por parte de dos agentes del CNI, el Centro Nacional de Inteligencia habrá tenido que informar a la Oficina Nacional de Seguridad de los datos que haya conseguido en su investigación interna, y explicar qué documentos o información obtuvieron estos espías para pasárselos a miembros de la inteligencia estadounidense, cómo accedieron a ellos, por qué motivo lo hicieron…

Si en un ataque informático, o en una pérdida accidental de un documento, puede haber dudas sobre la “posibilidad de que haya resultado comprometida la información clasificada”, en este caso parece que la respuesta (en la investigación interna, no en la instrucción judicial) es “seguro”.

El servicio también debe informar a la Oficina Nacional de Seguridad sobre las medidas que ha tomado para limitar el daño causado por la filtración, primero, y las que va a adoptar para impedir que se repita el “compromiso”, el agujero de seguridad.

Aviso a otros órganos

Tiene que aclarar, además, si ha informado a otros órganos que se puede haber visto afectados. En el informe se debe detallar el “originador” del documento o de los documentos objeto del incidente.

Puede darse el caso de que una fuga de información en un órgano de la administración provoque que escapen documentos propios de ese órgano, o que sean papeles, información, que le llegó de otro órgano.

Por poner un ejemplo, sería el caso de que los dos espías que están siendo investigados hubieran entregado a los servicios de inteligencia estadounidenses no sólo documentos propios del CNI, sino también otros que hubieran llegado al Centro desde el Ministerio de Asuntos Exteriores, desde la Policía Nacional, desde el Ministerio de Defensa, o incluso desde un servicio de inteligencia de otro país.

Si el CNI hubiera detectado ese escenario, tendría que explicitarlo en el informe de comprometimiento, donde se le pregunta “si el originador ha sido informado”: es decir, en caso de que la filtración hubiera afectado, por poner un ejemplo, a un documento clasificado que Asuntos Exteriores hubiera hecho llegar al Centro, debe informar a Exteriores de que ese documento se ha visto “comprometido”.

Normas para proteger la información clasificada

La Oficina Nacional de Seguridad dispone de unas Normas de la Autoridad Nacional para la Protección de la Información Clasificada, que desarrollan toda la legislación sobre información clasificada y los procedimientos para manejarla y protegerla.

El capítulo de ese informe dedicado al “Comprometimiento de la información clasificada” indica que “un comprometimiento (violación o fallo) de la protección de la información clasificada ocurre como resultado de una acción u omisión contraria a la normativa de seguridad, o por un fallo en los sistemas o medidas de protección, que puede suponer que aquella caiga, completa o en parte, en manos de persona no autorizada, e incluso, sin llegar a ocurrir tal cosa, que las circunstancias hayan ocasionado la simple posibilidad de que tal evento hubiera ocurrido”.

También se consideran comprometimiento de la información “los ataques contra la integridad o disponibilidad de la información clasificada, especialmente en el ámbito de los sistemas de información y comunicaciones”.

Es decir, que no sólo hay comprometimiento cuando se constata que alguien saca de un órgano de la administración un documento y lo entrega a una persona no autorizada: “Diremos que la información clasificada ha resultado comprometida cuando, como resultado de un comprometimiento de la protección, bien se ha producido una posibilidad de acceso a la misma por persona no autorizada y no puede determinarse de forma fehaciente que tal acceso no se haya producido, o bien se ha perdido el control sobre dicha información, por ejemplo por su pérdida, sustracción o indisponibilidad”.

Es decir, la mera posibilidad de que la información haya salido del círculo restringido en el que debe moverse, con determinadas medidas de seguridad, ya supone un comprometimiento.

“Informar inmediatamente”

Las Normas obligan a cualquier usuario de información clasificada a “informar inmediatamente a su oficial o responsable de seguridad, por el canal adecuado, de cualquier comprometimiento que pueda conocer”.

Ese oficial o responsable de seguridad debe adoptar de forma inmediata “las medidas necesarias en orden a restablecer la seguridad y a prevenir situaciones similares a la sucedida”.

Después, tiene que informar al responsable del organismo o entidad al que pertenece, y abrir una investigación preliminar para clarificar los hechos y responsabilidades y valorar en una primera estimación el daño potencial causado. Además, si es el caso, tiene que informar al “originador” y al propietario de la información comprometida si, como se ha explicado, no es del propio organismo, sino remitida por otro.

El comprometimiento y las primeras actuaciones debe notificarlos en el menor plazo posible a las autoridades, especialmente a la Oficina Nacional de Seguridad.

Seguridad y contrainteligencia

Cada fuga de información, cada comprometimiento, “deberá ser investigado por personal con experiencia en seguridad, en investigación y, si fuera necesario, en contrainteligencia”, esto último porque son los servicios de contrainteligencia los dedicados a luchar contra el espionaje.

Estas personas que investigan más en profundidad lo sucedido son distintas, ajenas al personal que se haya visto involucrado en la violación o fallo.

Su cometido es determinar si la información clasificada ha resultado comprometida (si ha llegado a personas no autorizadas; y “si las personas no autorizadas que hayan podido tener acceso a la información tienen una Habilitación Personal de Seguridad y son de tal fiabilidad y honradez que se puede suponer que no existe un riesgo de que se vaya a realizar un uso no autorizado de la información.

También proponen “las medidas correctivas o disciplinarias que se estiman necesarias adoptar” ante este fallo de seguridad.

Sospechas de espionaje

Todos los informes y comunicaciones relativos a comprometimientos de seguridad se canalizan a través de los canales de la estructura nacional de protección de la información clasificada, con independencia de la comunicación de dichas actuaciones a los responsables en los canales jerárquicos de mando.

El plazo para comunicar estas crisis por fugas de información, posibles o constatadas, “siempre será el más corto posible, especialmente cuando se estime que las implicaciones puedan ser más graves”.

Las normas de la Oficina Nacional de Seguridad indican que “se comunicarán de forma inmediata, antes de iniciar cualquier actuación derivada”, aquellos casos en que se determine que ha ocurrido alguno de los siguientes supuestos:

a) Información clasificada de grado Reservado o equivalente, o superior, ha resultado comprometida.

b) Hay indicios claros o sospechas fundadas de actividades de espionaje.

c) La información ha sido filtrada a la prensa u otros medios de comunicación o difusión social, o estos han accedido a ella por otros medios.

Personal desleal

Añade que “por actividades de espionaje se entenderá, en este contexto, cualquier acción desarrollada por un elemento externo o personal desleal interno, contra los intereses nacionales, con el objeto de obtener una información, o de alterar su integridad o disponibilidad, y conseguir una posición de ventaja”.

Según se ha contado en distintos medios de comunicación, los agentes del CNI que están siendo investigados en un juzgado de Madrid por entregar documentos a los servicios de inteligencia de Estados Unidos, facilitaron a esos espías estadounidenses “datos de carácter operativo clasificados con el máximo nivel de secreto”, es decir, con esa clasificación, Secreto, superior a Reservado.

Las investigaciones se almacenan tres años

En este proceso se elaboran y elevan los informes de comprometimiento, en los que se describe lo sucedido, con detalles como “fecha, o rango de fechas, del suceso, tiempo estimado o conocido de exposición al riesgo, descripción de las personas o ámbitos que han podido tener acceso no autorizado”.

Una fuga de documentos clasificados puede provocar que se elabore, no uno, sino varios informes de comprometimiento. Después del informe inicial, con los primeros datos del agujero de seguridad detectado, se pueden elevar otros que completen la denuncia con datos ya debidamente contrastados.

Se amplían también los detalles de las investigaciones y actuaciones realizadas o en curso, alcance estimado del comprometimiento, conclusiones extraídas, medidas finales adoptadas, así como cualquier otro dato pertinente al caso.

Las normas sobre información clasificada obligan a guardar durante al menos tres años los registros e informes de las actuaciones realizadas y medidas correctivas adoptadas en las investigaciones realizadas sobre cualquier violación o fallo de seguridad, para que estén disponibles ante inspecciones de seguridad futuras.

Escudo del Centro Nacional de Inteligencia (CNI).
Escudo del Centro Nacional de Inteligencia (CNI).

Etiquetas:
Informacion Inteligencia CNI Pegasus Ministerio de defensa hacker

Video del día

Detenida en Madrid una kamikaze borracha y
con un kilo de cocaína en el maletero
Más en Defensa
Portada
Comentarios
Envíanos tus noticias
Si conoces o tienes alguna pista en relación con una noticia, no dudes en hacérnosla llegar a través de cualquiera de las siguientes vías. Si así lo desea, tu identidad permanecerá en el anonimato
Enviar una noticia