Asociación Profesional de Cuerpos Superiores

de Sistemas y Tecnologías de la Información

de las Administraciones Públicas.

Temas Específicos para la preparación de la Oposición al Cuerpo

Superior de Sistemas y Tecnologías de la Información de la
Administración del Estado.

TEMAS ESPECÍFICOS IV: Redes, Comunicaciones e Internet

Tema 126. Ciberseguridad. La Estrategia Nacional de

Ciberseguridad.

AUTOR: CARLOS FELIPE FERNÁNDEZ CUBERO.

Actualización 2019

1
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
ÍNDICE

ÍNDICE
 INTRODUCCIÓN .................................................................... 3

 CIBERSEGURIDAD ................................................................ 5
2.1 DEFINICIÓN ............................................................................................ 5
2.2 CIBERAMENAZAS Y AGENTES ............................................................ 5
2.3 NORMATIVA Y MARCO JURÍDICO APLICABLE................................... 6
2.4 INSTITUCIONES DE REFERENCIA ....................................................... 9
2.5 CONCLUSIONES .................................................................................... 12

 LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD ......... 13

3.1 PUBLICACIONES ACTUALES ............................................................... 13
3.2 LA ESTRATEGIA DE SEGURIDAD NACIONAL 2017 ............................ 13
3.3 RD-LEY 12/2018, DE SEGURIDAD DE LAS REDES Y LOS SISTEMAS DE
INFORMACIÓN ....................................................................................... 17
3.4 LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD 2019 ................. 18
3.5 CONCLUSIONES .................................................................................... 25

 RESUMEN ESQUEMÁTICO ................................................... 26

 GLOSARIO ............................................................................. 29

 TEST ....................................................................................... 30
6.1 PREGUNTAS DE TEST ........................................................................... 30
6.2 SOLUCIONES A LAS PREGUNTAS DE TEST ....................................... 32

 BIBLIOGRAFÍA BÁSICA ........................................................ 33

2
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

 INTRODUCCIÓN
En una sociedad actual fuertemente dependiente de las TIC, surge el concepto de
ciberespacio, entendido como el conjunto de infraestructuras TIC plenamente interconectadas a nivel
global, siendo este una quinta dimensión estratégica de la seguridad: tierra, mar, aire, espacio y
ciberespacio1. En este nuevo medio se ha venido produciendo en las últimas décadas una auténtica
carrera armamentística, convirtiéndose en una prioridad para un gran número de estados el desarrollo
de capacidades de resistencia y ataque en este nuevo entorno.
Los ataques en este entorno se caracterizan por su bajo coste, ubicuidad, fácil ejecución,
efectividad, impacto y bajo riesgo para los atacantes. Además, existen evidencias de que
determinados países disponen de capacidades militares y de inteligencia para realizar ciberataques
que ponen en riesgo la Seguridad Nacional2.
Pero más allá de las prioridades directamente derivadas de la seguridad nacional, existen un
elevado número de asuntos de interés nacional en los que las medidas de resiliencia y protección de
estas infraestructuras es clave para una salvaguarda de los derechos de las personas y una correcta
prestación de servicios públicos. Así por ejemplo, el ataque del ramsomware WannaCry del 12 de
Mayo 2017 afecto a hospitales en Reino Unida y líneas de producción en Francia, en 2016 el troyano
BlacEnergy ocasionó apagones eléctricos en Ucrania, o después de las elecciones presidenciales de
Estados Unidos de 2016 los servicios secretos de EE UU alegaron que los correos electrónicos del
partido Demócrata habían sido robados y difundidos para influir en el resultado de los comicios
estadounidenses.
Habiendose multiplicado el abanico de modalidades de ataque (ciberataque, ciberterrorismo,
hacktivismo, ciberacoso, cibersabotaje, ciberguerra, etc.), son muchos los frentes en los que el estado
se ve obligado a dotarse de regulación y capacidades de actuación frente a todos ellos. Esta
obligación del estado surge ya desde la Constitución Española de 1978, que establece derechos
fundamentales de las personas potencialmente afectados por estos ataques, como la seguridad, el
derecho a la intimidad familiar y personal o el secreto de las comunicaciones; pero que además sienta
las bases de la responsabilidad patrimonial de las administraciones públicas, que obliga a resarcir al
ciudadano de lesiones en sus bienes o derechos ocasionados por el funcionamiento normal o anormal
de las Administraciones Públicas (y fijarse aquí de la importancia del detalle ‘normal o anormal’), entre
las cuales podrían derivarse, como no, las lesiones ocasionadas por ciberataques.
A tal efecto, la normativa a nivel nacional e internacional es profusa y muy extensa, no siendo
un objetivo de este tema una revisión pormenorizada de toda esta, sino de aquella que es necesaria
para ponernos en situación sobre el impacto de la ciberseguridad en las Administraciones Públicas,
con especial hincapié en la Estrategia Nacional de Ciberseguridad de 20193 y su aplicación. A través
de esta normativa el estado (y la Unión Europea en un sentido más amplio), se dota de un conjunto
de mecanismos de resiliencia, control y respuesta en sus servicios básicos e infraestructuras críticas,
principalmente.
Gran parte de estas capacidades de respuesta están depositadas en los CERT (Computer
Emergency and Response Teams) o CSIRT (Computer Security Incidence and Response Teams) 4.
Estos son equipos que ofrecen servicios preventivos (avisos, auditorías, herramientas, información,
formación, sensibilización y concienciación, etc) y reactivos para la prevención y recuperación frente
a incidentes de seguridad en un determinado ámbito objetivo (público, militar, nacional, regional,

1 En el caso de la Estrategia de Seguridad Nacional 2017 y la Estrategia de Ciberseguridad Nacional

de 2019, en lugar de hablar de las 5 dimensiones de seguridad se hablará de los 4 ‘espacios comunes
globales’: espacio marítimo, aéreo/ultraterrestre y ciberespacio.
2 Tal y como se recoge en el Capítulo 1 de la Estrategia de Ciberseguridad Nacional 2013

3 Hasta la actualidad se han publicado dos revisiones de esta Estrategia, la Estrategia de

Ciberseguridad Nacional de 2013, y la Estrategia Nacional de Ciberseguridad de 2019.

4 En realidad el término CERT es una certificación que concede la universidad Carnegie-Melon, aunque

el término se emplea habitualmente para referirse a cualquier equipo de respuesta. El CCN-CERT, por
ejemplo, está certificado tanto por la universidad Carnegie-Melon como por Trusted Introducer, que
concede la certificación TF-CSIRT ([Link] Por ello, podemos decir que el
término CSIRT es el usado comúnmente en Europa en lugar del término protegido CERT (registrado
en [Link] (Real Decreto-ley 12/2018, , de seguridad de las redes y sistemas de información).

3
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

sectorial, …), y se coordinarán en estructuras que pueden alcanzar cobertura internacional (en algún
caso, como veremos, reguladas legalmente). Es de especial mención el CCN-CERN, perteneciente
al Centro Criptológico Nacional, cuyo ámbito de actuación son las Administraciones Públicas, así
como las empresas estratégicas y clasificadas, el CERTSI, CERT de Seguridad e Industria, cuyo
ámbito es la ciudadanía, las empresas, las infraestructuras de servicios críticos y la red de
universidades y centros de investigación, y el MCCD (Mando Conjunto de Ciberdefensa), cuyo ámbito
es la defensa nacional.
La primera Estrategia de Ciberseguridad Nacional fue publicada en el año 2013 promovida
por el Consejo de Seguridad Nacional con el objetivo de fijar las directrices del uso seguro del
ciberespacio a través de la coordinación y cooperación entre todas las Administraciones Públicas,
pero también entre aquellas con el sector privado y con los ciudadanos. Fue el resultado del desarrollo
de uno de los 12 ámbitos de actuación definidos en la Estrategia de Seguridad Nacional del año 2013
y su objetivo era fijar las directrices del uso seguro del ciberespacio. Durante el año 2017 fue publicada
una nueva Estrategia de Seguridad Nacional, esta vez con 15 ámbitos de actuación entre los que se
encuentra de nuevo la ciberseguridad, y en Abril de 2019 es publicada la nueva Estrategia Nacional
de Ciberseguridad.
La Estrategia de Ciberseguridad Nacional de 2013 trajo medidas muy concretas como el
Sistema de Intercambio de Información y Comunicación de Incidentes, la actualización del Esquema
Nacional de Seguridad realizada en 2015 o el establecimiento del modelo de gobernanza para la
ciberseguridad nacional a través de la creación del Comité Especializado de Ciberseguridad y el
Comité Especializado de Situación.
La Estrategia Nacional de Ciberseguridad del año 2019 surge a partir de la experiencia en la
ejecución de la Estrategia previa, y consta de 5 capítulos en los que se desarrollan su propósito,
objetivos, principios rectores, líneas de acción y medidas, así como una ampliación en la estructura
orgánica creada en la Estrategia 2013 para la consecución de todos ellos. Más adelante se
desarrollarán en detalle cada uno de estos apartados, tratando de facilitar su comprensión, si bien es
importante resaltar como el cometido del documento, que trata de aunar esfuerzos de agentes
públicos, privados y ciudadanos a través del liderazgo y la coordinación a nivel nacional, pero también
a través de cooperación internacional.
Por último, al final del tema se dedica un apartado al Real Decreto-Ley 12/2018, de seguridad
de las redes y sistemas de información, que traspone la Directiva 2016/1148, conocida como Directiva
NIS. Esta trata de aunar Las Estrategias de Ciberseguridad de cada uno de los Estados Miembros de
la Unión Europea para cumplir unos requisitos mínimos en materia de protección de sistemas y, con
el objeto de permitir que el Mercado Único Digital, en su conjunto, no se vea amenazado por las
carencias de un Estado Miembro. El Real Decreto-Ley aplica a los denominados proveedores de
servicios esenciales y determinados proveedores de servicios digitales.

A lo largo del tema encontrarás recuadros de texto como este en el cual se realizarán
comentarios de especial interés para el opositor por ser de naturaleza didáctica, enfatizar
conceptos relevantes o resumir apartados complejos.

4
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

 CIBERSEGURIDAD
2.1 DEFINICIÓN
Aunque son numerosas las definiciones para Ciberseguridad o Seguridad Informática, se
muestran dos que por su simplicidad nos permiten entender el concepto y sus límites:
De acuerdo a ISACA5, es la “Protección de activos de información, a través del tratamiento de
amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los
sistemas de información que se encuentran interconectados”.
De acuerdo al CCN-CERT (Guía CCN-STIC 401): “Conjunto de actuaciones orientadas a
asegurar, en la medida de lo posible, las redes y sistemas de que constituyen el ciberespacio:
 detectando y enfrentándose a intrusiones,
 detectando, reaccionando y recuperándose de incidentes, y
 preservando la confidencialidad, disponibilidad e integridad de la información.”
De cara a entender la primera de las definiciones es necesario precisar el término de Amenaza.
Para ello podemos por ejemplo utilizar la definición de la Guía CCN-STIC 301: “Evento que puede
desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales
en sus activos”.

Tal y como están construidas estas dos definiciones podríamos incluir dentro del concepto
de ciberseguridad, además de las medidas de protección ante incidentes ocasionados por
amenazas externas o ataques procedentes de entes ajenas a nuestra organización, aquellas
medidas para protegernos de incidentes ocasionados por fallos en la propia infraestructura, como
por ejemplo los generadores para evitar cortes de luz o mecanismos de redundancia ante averías
de equipamiento informático.
Si bien existen otras definiciones en las que el concepto de ciberseguridad está vinculado
casi exclusivamente a las medidas de protección ante ciberataques (Guía CCN-STIC 401), es
más habitual el enfoque de las definiciones mostradas en este apartado, siendo este además el
enfoque de la Estrategia de Ciberseguridad Nacional 2013, dado que en su Capítulo 1 incluía
entre sus ‘riesgos y amenazas’ las causas técnicas y los fenómenos naturales.
En el caso de la Estrategia Nacional de Ciberseguridad 2017 no se ha encontrado una
mención tan específica, si bien como veremos más adelante, su definición de ciberamenazas
como ‘disrupciones o manipulaciones maliciosas que afectan a elementos tecnológicos’
parecería englobar también este tipo de siniestros.

2.2 CIBERAMENAZAS Y AGENTES

Podemos encontrar hoy en día un elevado número de modalidades de ciberamenaza, entre las cuales
merece la pena nombrar las siguientes:
1. Ciberespionaje: son delitos que conllevan el robo de patrimonio tecnológico, delitos de
propiedad intelectual, etc. Según la Estrategia Nacional de Ciberseguridad 2019 suelen ser
perpetrados por actores estatales, haciendo uso en la actualidad de Amenazas Persistentes
Avanzadas (APT) y ‘amenazas híbridas’.
2. Ciberdelito: consisten en robo o secuestro de información con el objetivo de venderla,
extorsionar o pedir un rescate por ella. También pueden incluirse dentro de este tipo de
actividad el blanqueo de capitales y evasión de impuestos, o la falsificación de medios de pago,
cuando el soporte sobre el que se realizan son medios no regulados como las criptomonedas.

5 Information Systems Audit and Control Association – Asociación de Auditoría y Control sobre los
Sistemas de Información

5
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

3. Cibercrimen: en ocasiones se realiza con Ciberdelito. En el caso de la Estrategia Nacional de

Ciberseguridad 2019 se trataría del conjunto de actividades ilícitas cometidas en el
ciberespacio y englobaría otros conceptos como ciberterrorismo, ciberdelito o hactivismo que
se diferenciarían por el hecho punible, la autoría, la motivación o los daños infligidos.
4. Ciberataque: son acciones que pueden tener por finalidad únicamente provocar un daño,
comprometiendo la disponibilidad de un servicio (informático o apoyado en medios
informáticos) o la confidencialidad de una información.
5. Ciberguerra o Ciberconflicto: es una forma de lucha entre dos o más naciones o entre bandos
de una misma nación en la que, utilizando medios y recursos informáticos, se busca realizar
algún tipo de daño al contrario en servicios prestados o infraestructuras críticas.
6. Ciberactivismo o Hactivismo: sus practicantes persiguen el control de ordenadores o sitios
web para promover su causa, defender su posicionamiento político, o interrumpir servicios,
impidiendo o dificultando el uso legítimo de los mismos con el objetivo de llamar la atención
sobre un hecho concreto (buscando un impacto mediático y social).
7. Ciberterrorismo: consiste en la utilización del ciberespacio para determinadas actividades de
una organización terrorista, como puede ser el reclutamiento de integrantes, la radicalización
de sus miembros, la propaganda o la comunicación segura. También podrían incluirse en esta
categoría los sabotajes o la financiación.
8. Campañas de desinformación: el objetivo de esta modalidad de ataque es influir a los
votantes de un país para beneficiar a una potencia extranjera, pudiendo comprometer la
actividad democrática de un estado.

Respecto a los agentes involucrados en la ciberseguridad podemos englobarlos en 4 conjuntos:

- Afectados: encontraríamos en este grupo a Administraciones Públicas, Estados, Empresas

Públicas o Privadas y Ciudadanos, principalmente. Las lesiones producidas en ellos por los
atacantes pueden ir desde daños materiales o a la propiedad intelectual hasta lesiones en
derechos fundamentales de los ciudadanos.
- Atacantes: podemos asociarlos fácilmente a las diferentes modalidades de ciberataque
comentadas previamente. Así por ejemplo tendríamos como atacantes a los Servicios de
Inteligencia de los Estados (ciberespionaje y ciberguerra), activistas (Hactivismo), terroristas
(ciberterrorismo), hackers y crimen organizado (por ejemplo en el caso de secuestro de
información, robo de monedas virtuales, etc.) o incluso empresas especializadas que cobran
por sus servicios.
- Equipos de respuesta: son los CERT o CSIRT que, organizados en redes, se encargan de las
capacidades de prevención, concienciación y respuesta ante las ciberamenazas en un
determinado ámbito de actuación.
- Empresas especializadas: son entidades que venden de forma legal servicios concretos como
herramientas de ataque o vulnerabilidades de ‘día cero’, pudiendo o no estar implicadas
directamente en el ataque. Forman lo que se ha denominado CaaS (Cibersecurity as a Service).
Las vulnerabilidades de ‘día cero’ son aquellas que son desconocidas tanto por la comunidad
pública (usuarios, profesionales e investigadores) como por el fabricante del producto, razón
por la cual no existirá disponible una solución a la misma.

2.3 NORMATIVA Y MARCO JURÍDICO APLICABLE

Como se ha comentado previamente, la normativa en esta materia es muy amplia y afecta a
un gran número de agentes tanto públicos como privados. Afortunadamente, el BOE publica bajo el
‘Código de Derecho de la Ciberseguridad’ una recopilación de las principales normas. Si bien es un
documento principalmente de consulta, sí es interesante comprender a grandes rasgos su contenido
para entender la regulación de la ciberseguridad en el contexto nacional y europeo. En la siguiente
figura puede encontrarse una recopilación de las principales normas y sus ámbitos:

6
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

Figura 1: Estructura del "Código de Derecho de la Ciberseguridad’

A continuación se explican algunos de los principales contenidos del ‘Código de Derecho de la

Ciberseguridad’:
1. Constitución Española: la referencia a la Carta Magna es muy relevante dado que los
Derechos Fundamentales de las personas pueden ser lesionados como consecuencia de problemas
de seguridad informática, especialmente cuando hablamos del derecho a la intimidad familiar y personal
o el secreto de las comunicaciones (Art. 18). Especialmente llamativo es el caso del Artículo 18.4, que
incita expresamente a ‘limitar el uso de la informática’ mediante Ley para proteger estos derechos de
los ciudadanos. Otros apartados del Capítulo Tercero, ‘De los principios rectores de la política social y
económica’ nos recordarán a problemas actuales causados por un uso fraudulento de la tecnología,
afectando a la protección integral de los hijos (Art. 39), o la concienciación social en el buen uso de la
informática a través de la información y educación de consumidores y usuarios (Art. 51).
Aunque no se incluyen en el ‘Código de Derecho de la Ciberseguridad’, se considera que es
relevante nombrar en este apartado el Artículo 106.2 de la Constitución, dado que en él se establecen
los principios de la responsabilidad patrimonial, al indicar que ‘Los particulares tendrán derecho ser
indemnizados por toda lesión que sufran en cualquiera de sus bienes y derechos, salvo en los casos
de fuerza mayor, siempre que la lesión sea consecuencia del funcionamiento de los servicios públicos’.
Como parte de este ‘funcionamiento de los servicios públicos’ se encuentran, como no, las
responsabilidades derivadas del uso de las tecnologías de la información, estableciéndose un vínculo
con los problemas de ciberseguridad.
1 Seguridad Nacional: dentro del Sistema de Seguridad Nacional existirán órganos y
mecanismos ocupados de la dirección, coordinación, asistencia en la toma de decisiones y gestión de
crisis en asuntos relacionados con ciberseguridad, como el Consejo Nacional de Ciberseguridad,
regulado con la PRA/33/2018, (creado por cierto a partir de la Estrategia Nacional de Ciberseguridad,
como veremos más adelante), o como el Centro Nacional de Inteligencia, al cual pertenece el Centro
Criptológico Nacional. Dentro de este bloque documental encontraremos además elementos
normativos básicos para la aplicación de la seguridad informática en las Administraciones Públicas,
como es el Esquema Nacional de Seguridad o el Real Decreto-Ley 12/2018, de seguridad de las redes
y sistemas de información, al cual se le ha dedicado un apartado más adelante dada su relevancia.
2 Infraestructuras Críticas: reguladas a partir de la Ley 8/2011, gestionan servicios en 12
ámbitos específicos de especial importancia para la sociedad entre los que se encuentran la generación
y distribución de energía eléctrica, la gestión del tráfico aéreo, las infraestructuras aeroportuarias o las
redes de telecomunicaciones. Existirán organismos, mecanismos y planes específicos para asegurar
un adecuado nivel de protección en estas infraestructuras, previamente inventariadas en el Catálogo
Nacional de Infraestructuras Críticas. Será de especial importancia en este ámbito el CNPIC (Centro

7
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

Nacional de Protección de Infraestructuras Críticas, creado en el Real Decreto 704/2011), entre cuyas
responsabilidades se encontrará la de ejecutar y mantener actualizado el Plan Nacional de Protección
de las Infraestructuras Críticas.
3 Normativa de Seguridad: establecerá la existencia de una Unidad de Investigación
Tecnológica en la Dirección General de Policía encargada de la investigación y persecución de las
actividades delictivas que impliquen la utilización de las TIC y el ciberdelito de ámbito nacional y
transnacional, relacionadas con el patrimonio, el consumo, la protección al menor, la pornografía
infantil, delitos contra la libertad sexual, contra el honor y la intimidad, redes sociales, fraudes, propiedad
intelectual e industrial y seguridad lógica (siendo creado en la Orden INT/28/2013). Adicionalmente,
existirán en esta parte del Código apartados específicos relacionados con la seguridad ciudadana y la
regulación de las empresas de seguridad privada.
4 Equipo de respuesta a Incidentes de Seguridad: en este apartado se introduce normativa
específica en torno a la regulación, ámbito de actuación y funciones específicas del Centro Criptólogico
Nacional (Real Decreto 421/2004) y el Estado Mayor de la Defensa, que a través del Mando Conjunto
de Ciberdefensa será responsable del planeamiento y la ejecución de las acciones relativas a la
ciberdefensa en las redes y sistemas de información y telecomunicaciones del Ministerio de Defensa u
otras que pudiera tener encomendadas, así como contribuir a la respuesta adecuada en el ciberespacio
ante amenazas o agresiones que puedan afectar a la Defensa Nacional. También se incluyen las
obligaciones de los prestadores de servicios de la sociedad de la información (incluidos en la Ley
34/2002 de servicios de la sociedad de la información y de comercio electrónico) en cuanto a
colaboración con los CERT competentes.
5 Telecomunicaciones y Usuarios: existen un conjunto de obligaciones asociadas a los
prestadores de servicios de la sociedad de la información y a los operadores de telecomunicaciones
que pueden encontrarse especificadas en normas relevantes del temario de la oposición al Cuerpo
Superior de Tecnologías de la Información, tales como la obligación de informar o concienciar en
materia de seguridad informática a los clientes (Artículo 12bis de la Ley 34/2012 de servicios de la
sociedad de la información y de comercio electrónico), o la de informar a clientes y autoridades ante
incidentes de seguridad (Ley General de Telecomunicaciones 9/2014).
De acuerdo a la Ley General de Telecomunicaciones 9/2014 los ‘operadores de redes y
servicios de comunicaciones electrónicas’ notificarán al Ministerio de Industria, Comercio y Turismo de
las ‘las violaciones de la seguridad o pérdidas de integridad’ con impacto significativo. Este Ministerio
informará al resto de Estados Miembros de la Unión Europea o a ENISA (European Union Agency for
Network and Information Security, más adelante se hablará de esta institución) cuando proceda.
Además, el Ministerio informará al público general si considera que la divulgación de la información es
de interés público (o exigirá al operador que lo haga). Los operadores estarán obligados a colaborar
con los CERT definidos reglamentariamente en caso de alerta de seguridad. Además, la SEAD
(Secretaria de Estado para el Avance Digital) y el Ministerio del Interior establecerán mecanismos de
coordinación ante incidentes de seguridad.
También existen en la legislación europea disposiciones específicas que obligan a
determinados prestadores a notificar incidencias de seguridad. Así por ejemplo, en el Reglamento
910/2014 eIDAS se establece que los Estados Miembros deberán establecer un organismo de
supervisión nacional (en España el Ministerio de Industria) al que los PSCs (Proveedores de Servicios
de Certificación) notificarán de ‘las violaciones de seguridad y pérdidas de integridad’ en un plazo de
24 horas, además de notificar a otros organismos estatales relevantes, como la Agencia Española de
Protección de Datos, si se comprometen datos de carácter personal, e incluso a las propias personas
físicas o jurídicas si la violación atenta contra ellos. Si afectara a 2 o más Estados Miembros se notificará
a todos los Estados de la Unión y además a ENISA. Anualmente, facilitará a ENISA un resumen de
todas las ‘violaciones de seguridad y pérdidas de integridad’.
6 Ciberdelincuencia: se han realizado modificaciones en el Código Penal (Ley Orgánica
10/1995) para incluir especificidades sobre delitos informáticos. Así, mediante las Leyes orǵanicas
1/2015 y 2/2015 se modifica el Código Penal para incluir los delitos de descubrimiento y revelación de
secretos (sexting), de daños informáticos, de pornografía infantil, los delitos contra la propiedad
intelectual, los delitos de terrorismo y los delitos de odio.
7 Protección de Datos: en clara aplicación del derecho fundamental a la intimidad personal y
familiar hemos asistido en las dos últimas décadas a un desarrollo legislativo impulsado por Europa
que actualmente se plasma en el Reglamento General de Protección de Datos 2016/679 y su

8
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

complemento a nivel nacional a través de la Ley Orgánica 3/2018 de Protección de Datos Personales
y garantía de los derechos digitales y el Real Decreto 1720/2007.
8 Relaciones con las Administraciones Públicas: en referencia a derechos de los
ciudadanos, como la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y
aplicaciones de las Administraciones Públicas (Art. 13 de la Ley 39/2015) o el establecimiento de
mecanismos que permitan una identificación y comunicación segura con las sedes electrónicas, como
son los certificados electrónicos. Adicionalmente, en la Ley 40/2015, en su Capítulo IV, podemos
encontrar todo el desarrollo legislativo relativo a la responsabilidad patrimonial, también de aplicación
ante fallos o problemas de seguridad informáticos (especialmente reseñable el Artículo 32 donde se
especifican los principios de responsabilidad).
En el siguiente esquema se muestra una relación temporal de las principales normas del ámbito
de la ciberseguridad:

Figura 2: Principales normas del ámbito de la ciberseguridad.

2.4 INSTITUCIONES DE REFERENCIA

A continuación se detallan aquellas instituciones con especial relevancia en el contexto de la
ciberseguridad:
A nivel nacional:
CCN-CERT: perteneciente al Centro Criptológico Nacional, su ámbito de actuación son las
Administraciones Públicas, así como las empresas estratégicas y clasificadas, tal y como se establece
en el Real Decreto 3/2010 sobre el ENS (Esquema Nacional de Seguridad) y la Ley 11/2002 reguladora
del CNI (Centro Nacional de Inteligencia). El Centro Criptológico Nacional queda adscrito al CNI y
comparte con él medios, procedimientos, normativa y recursos. El CNI es un Organismo público.
De acuerdo al ENS, “El Centro Criptológico Nacional (CCN) articulará la respuesta a los
incidentes de seguridad en torno a la estructura denominada CCN-CERT (Centro Criptológico Nacional-
Computer Emergency Response Team), que actuará sin perjuicio de las capacidades de respuesta a
incidentes de seguridad que pueda tener cada administración pública y de la función de coordinación
a nivel nacional e internacional del CCN”.

9
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

De acuerdo al Artículo 37 del ENS, el CCN-CERT tiene por misiones:

 Tratamiento de vulnerabilidades y la resolución de incidentes de seguridad de las
Administraciones Públicas (Administración General del Estado, Comunidades Autónomas y
Entidades Locales) y entidades dependientes.
 Investigación y divulgación de las mejores prácticas sobre seguridad de la información en
las Administraciones Públicas (Guías CCN-STIC).
 Información sobre vulnerabilidades, alertas y avisos de amenazas
 Formación al personal de las AAPP en seguridad.
Según Artículo 36 del ENS, Las Administraciones Públicas notificarán al Centro
Criptológico Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de
la información manejada y de los servicios prestados.
Ambos artículos fortalecen el ámbito de actuación del CCN-CERT con la modificación del
ENS realizada a través del RD 951/2015. Dichos cambios son además consecuencia de la
Estrategia Nacional de Ciberseguridad.

Entre los servicios que ofrece el CCN-CERT se encuentran los siguientes:

 Gestión de Incidentes.
 Sistema de Alerta Temprana (SAT). Actúa en dos ámbitos: la red SARA (SAT-SARA) e
Internet (SAT-INET).
 Formación y sensibilización.
 Guías de Seguridad (CCN-STIC).
 Informes de Ciberseguridad.
 Herramientas (INES, PILAR, REYES, LUCÍA, …). Por citar algunas de importancia:
o REYES: centralizar y automatizar el intercambio de información sobre ciberamenazas.
o LUCIA: herramienta para informar sobre los incidentes de seguridad.
 Cumplimiento del ENS (declaración de conformidad y auditoría).
 Auditorías Web.
 Capacidad forense y de ingeniería inversa.

CERTSI, CERT de Seguridad e Industria, cuyo ámbito es la ciudadanía, las empresas, las
infraestructuras de servicios críticos y la red de universidades y centros de investigación. Esta operado
técnicamente por el IsNCIBE, sociedad dependiente de la Secretaría de Estado el Avance Digital, el
cual a su vez gestiona la Oficina de Seguridad del Internauta (OSI), que se ocupa de la concienciación
a la sociedad en materia de ciberseguridad. Se encuentra bajo la coordinación del CNPIC e INCIBE.
INCIBE, Instituto Nacional de Ciberseguridad. Es una sociedad dependiente de la Secretaría
de Estado para el Avance Digital del Ministerio de Economía y Empresa. Se considera la entidad de
referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica
y de investigación, profesionales, empresas y especialmente para sectores estratégicos. La actividad
de INCIBE se apoya en tres pilares fundamentales: la prestación de servicios, la investigación y la
coordinación. Además, ha promovido la creación de la RENIC ‘Red de Excelencia Nacional de
Investigación en Ciberseguridad’. Esta red engloba centros de investigación, universidades y otros
agentes del ecosistema investigador de ciberseguridad en España.
CNPIC: Centro Nacional de Protección de Infraestructuras Críticas. Es creado a partir de la Ley
8/2011, que trata de regular a los proveedores de infraestructuras críticas, y del Real Decreto 704/2011.
Estos gestionan servicios en 12 ámbitos específicos entre los que se encuentran la generación y
distribución de energía eléctrica, la gestión del tráfico aéreo, las infraestructuras aeroportuarias o las
redes de telecomunicaciones. Dependerá de él la Oficina de Coordinación Cibernética. Depende de la
Secretaría de Estado de Seguridad del Ministerio del Interior. Entre sus objetivos está ejecutar y
mantener actualizado el Plan Nacional de Protección de Infraestructuras Críticas y asistir al Secretario
de Estado de Seguridad en la ejecución de sus funciones en materia de protección de infraestructuras
críticas. También establecer los contenidos mínimos de los Planes de Seguridad de los Operadores,
así como evaluarlos y proponerlos para su evaluación al Secretario de Estado de Seguridad. El CNPIC

10
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

publica guías para la protección de los sistemas de control industrial, también conocidos comúnmente
como sistemas SCADA.
OCC: Oficina de Coordinación Cibernética (OCC) que, en el seno del Centro Nacional de
Protección de las Infraestructuras Críticas (CNPIC), tiene por objetivo centralizar todas las actividades
relacionadas con la cibercriminalidad, el ciberterrorismo y la protección de las infraestructuras críticas,
sirviendo de enlace con entre las Fuerzas y Cuerpos de Seguridad del Estado.
MCCD: Mando Conjunto de Ciberdefensa, que forma parte del Estado Mayor de la Defensa.
Es el CERT del Ministerio de Defensa y su ámbito es la Defensa Nacional, coordinando los CERTs de
los Ejércitos y la Armada. Ejerce la representación del Ministerio de Defensa en materia de ciberdefensa
militar en el ámbito nacional e internacional. Sus responsabilidad específicas quedan recogidas en el
Artículo 11 de la Orden DEF/166/2015.

Es importante conocer los principales equipos de respuesta del panorama español y su ámbito de
actuación. Así tendríamos:
 CCN-CERT: Sector Público, Sistemas Clasificados, Empresas y organizaciones de sectores
estratégicos (en coordinación con CNPIC)
 CERTSI: ciudadanía, las empresas, las infraestructuras de servicios críticos y la red de
universidades y centros de investigación
 MCCD: defensa nacional.

SOC de la AGE → el Centro de Operaciones de Ciberseguridad de la Administración del

Estado (conocido como SOC de la AGE) presta servicios horizontales de seguridad en el entorno de la
AGE y sus Organismos Públicos, materializando el Servicio Compartido de Seguridad Gestionada que
quedaba previsto en la primera Declaración de Servicios Compartidos. Se trata de una iniciativa
conjunta del Centro Criptológico Nacional y la Secretaria General de Administración Digital, y su
responsabilidad recae sobre esta segunda, si bien el servicio es operado por el CCN-CERT. Por su
parte, la Secretaría General de Administración Digital (en adelante SGAD), realizará el seguimiento,
gestión, promoción y difusión del servicio, así como la coordinación con las entidades adheridas y el
resto de actores involucrados, especialmente en lo relativo a la coordinación de la respuesta ante
incidentes de seguridad. El CCN-CERT implantará la infraestructura técnica y servicios y aportará los
procedimientos, entre otros.

Figura 3: Organización del SOC de la AGE.

Fuente: El Centro de Operaciones de Ciberseguridad de la AGE y sus [Link]. OBSAE.

11
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

A nivel europeo:
CERT-UE: es el CERT de referencia a nivel europeo. Su ámbito son las instituciones de la
Unión Europea.
ENISA: European Network Information and Security Agency. Órgano de ciberseguridad
europea, trabaja con los Estados Miembros y el sector privado para ofrecer asesoramiento y soluciones.
Favorece la coordinación, el intercambio de informaciones y mejores prácticas entre los diferentes
organismos de los EEMM. Lleva la secretaría de la ‘red de CSIRTs’ de los EEMM establecida en la
Directiva 2016/1148 NIS (de la que hablaremos en detalle más adelante). WannaCry fue el primer caso
de cyber cooperación a nivel de la UE, en el que distintos países trabajaron de forma conjunta, junto
con ENISA para valorar la situación causada por el Ransomware.
EC3: European Cibercrime Center. Funciona desde 2013. Es parte de Europol. Sirve como
punto de coordinación e intercambio de información entre los EEMM en materia de cibercrimen, además
de ofrecer soporte altamente especializado.
A nivel internacional:
FIRST, Forum of Incidence Response and Security Teams, organismo que aglutina más de 300
CERTs a nivel mundial. Entre los que se encuentran el CCN-CERT y CERTSI además de otros CERTs
privados españoles como los CERT de Telefónica, el BBVA o Prosegur.
Grupo de Expertos Gubernamentales de Naciones Unidas sobre Ciberseguridad: Trata
temas de seguridad en el seno del Consejo de Seguridad de la ONU. El actual proceso trata de alcanzar
un consenso general en la materia y establecer una normativa internacional que garantice la seguridad
en la red y la protección de la información. España formó parte los años 2015 y 2016.
UIT: la Unión Internacional de Telecomunicaciones, a través de la Global Cibersecurity Agenda,
fomenta la cooperación internacional en materia de ciberseguridad. Publica además el GCI, Global
Cibersecurity Index, que mide el estado de seguridad de las 194 naciones que forman la UIT en base
a varias dimensiones entre las que se encuentra la regulación, la tecnología, la concienciación social o
la cooperación. De acuerdo a la tercer edición 2018 índice (publicada en Abril de 2019) España ocupa
el puesto 7 a nivel global y el 5 a nivel europeo.6

2.5 CONCLUSIONES
Se incluyen algunas conclusiones de forma esquemática para ayudar al opositor a asentar los
principales conceptos:
1. La ciberseguridad conlleva la protección de los activos frente a las ciberamenazas, pudiendo
ser estas tanto de origen interno como externo, y pudiendo ser también causas técnicas o
fenómenos naturales. En la actualidad existe un amplio abanico de ciberamenazas que podrán
diferenciarse por sus objetivos, atacantes y afectados.
2. Existe una base constitucional para gran parte de la normativa en materia de ciberseguridad.
Concretamente, es muy relevante parte del articulado referido a derechos fundamentales,
principios rectores de la política social y económica, y responsabilidad patrimonial de las AAPP.
3. Existen 3 CERT de referencia en el ámbito nacional: CCN-CERT, CERTSI y MCCD. Se
distinguen principalmente por su ámbito de actuación, siendo el CCN-CERT el encargado del
Sector Público (entro otros). Formarán parte de la ‘red de CSIRTs’ creada a partir de la Directiva
2016/1148 (NIS), debiendo reportar los incidentes a ENISA.
4. Es de gran relevancia dentro de la ciberseguridad la protección de las infraestructuras
críticas, para lo cual existe legislación e instituciones específicas (Ley 8/2011 y Centro Nacional
de Protección de Infraestructuras Críticas).
5. Para dar cobertura al Servicio Compartido de Seguridad Gestionada que quedaba previsto en la
primera Declaración de Servicios Compartidos se crea el SOC de la AGE, donde el CCN-CERT
se encarga de la operación y seguimiento del servicio, y la SGAD del seguimiento, gestión,
promoción y difusión del servicio, así como la coordinación con las entidades adheridas.

6
[Link]

12
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

 LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD

3.1 PUBLICACIONES ACTUALES
Tal y como se ha comentado previamente, la primera Estrategia de Ciberseguridad Nacional
fue publicada en el año 2013 promovida por el Consejo de Seguridad Nacional. Es resultado del
desarrollo de uno de los 12 ámbitos de actuación definidos en la Estrategia de Seguridad Nacional
del año 2013 y su objetivo es fijar las directrices del uso seguro del ciberespacio. Durante el año 2017
fue publicada una nueva Estrategia de Seguridad Nacional, esta vez con 15 ámbitos de actuación
entre los que se encuentra de nuevo la ciberseguridad. Como desarrollo de esta, se aprobó en la
reunión del Consejo de Seguridad Nacional del 12 de Abril de 2019 la Estrategia de Ciberseguridad
Nacional 2019, publicada en el Boletín Oficial del Estado el 26 del mismo mes (Orden PCI/487/2019).
De acuerdo a una reunión previa del Consejo de Seguridad Nacional la nueva estrategia 2019
recibe su impulso de la Directiva (UE) 2016/11487, relativa a las medidas destinadas a garantizar un
elevado nivel común de seguridad en redes y sistemas de información en la Unión Europea. Esta
Directiva exige que los Estados miembros cuenten con una estrategia nacional de seguridad en las
redes y los sistemas de información o que adapten la que tuvieran aprobada a las exigencias de la
Directiva, y es traspuesta a la legislación española a través del Real Decreto-Ley 12/2018 de
seguridad de las redes y sistemas de información. Debido a la importancia de esta última
legislación, y a que, como veremos más adelante, en la Estrategia de Ciberseguridad Nacional 2019
se integra la red de CSIRTs en el Sistema de Seguridad Nacional (además de incidir en la Introducción
en su importancia para la mejora de la ciberseguridad en nuestro país), se ha decidido incluir un
apartado sobre esta legislación.
Resaltar, que las ‘estrategias’ publicadas son únicamente ‘publicaciones oficiales’. A tal efecto,
carecen de cualquier valor jurídico y normativo, siendo su principal interés la definición de una línea
de trabajo a partir de la cual se inspirará la actuación institucional y el desarrollo normativo.
A nivel europeo también se han sucedido un conjunto de publicaciones de gran relevancia,
como es la Agenda Europea de Seguridad 2015-2020, en la que se especifica la ciberseguridad
como una de las 3 prioridades principales, junto con organizaciones criminales y terrorismo o
radicalización, y la Agenda de Ciberseguridad, que sienta las bases de la Directiva 2016/1148
(Directiva NIS).

3.2 LA ESTRATEGIA DE SEGURIDAD NACIONAL 2017

Se incluye un apartado con algunas notas sobre este documento específicas de ciberseguridad
dado que se trata del preludio de la Estrategia Nacional de Ciberseguridad 2019, sin tratar de ser
exhaustivo sobre el contenido del documento (dado que su alcance es mucho más amplio).
Como veremos, en la Estrategia se define 15 ámbitos de actuación y para ellos un Objetivo
específico y un conjunto de Líneas de actuación. Dado que uno de estos ámbitos es la Ciberseguridad
parece más que conveniente explicar brevemente los principios de la Estrategia de Seguridad Nacional
para centrarnos rápidamente en el ámbito de Ciberseguridad.
La Estrategia consta de 4 Principios Rectores:
✓ Unidad de acción
✓ Anticipación
✓ Eficiencia
✓ Resiliencia

7 [Link]

13
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

En el Capítulo 4 de la Estrategia de Seguridad Nacional 2017 se definen las principales

amenazas:
✓ Conflictos Armados
✓ Terrorismo
✓ Crimen organizado
✓ Proliferación de Armas de Destrucción Masiva
✓ Espionaje
Y también los principales desafíos:
✓ Inestabilidad económica y financiera
✓ Vulnerabilidad energética
✓ Flujos migratorios irregulares
✓ Emergencias y catástrofes
✓ Epidemias y pandemias
✓ Efectos derivados del cambio climático
Estas amenazas y desafíos que desarrollarán en los ‘espacios comunes globales’ que
compartirán una serie de características que los hace el medio idóneo para la proliferación de las
amenazas:
 Ciberespacio: la transformación digital de la Administración extiende la posible superficie
de ataque y por tanto los beneficios potenciales para los atacantes
 Espacio marítimo
 Espacio aéreo y ultraterrestre

Figura 4: Principales características de los espacios comunes

Fuente: Estrategia de Seguridad Nacional 2017

Adicionalmente, se define 5 Objetivos Generales:

✓ Desarrollar el modelo integral de gestión de crisis.
✓ Promover una cultura de Seguridad Nacional.
✓ Favorecer el buen uso de los espacios comunes globales.
✓ Impulsar la dimensión de seguridad en el desarrollo tecnológico.
✓ Fortalecer la proyección internacional de España.

14
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

Se definirán 15 ámbitos de la Seguridad Nacional de los cuales habrá uno dedicado a la

ciberseguridad. Para cada uno de ellos habrá definido un Objetivo específico y Líneas de Acción.

Figura 5: Ámbitos de la Seguridad. Fuente: Estrategia de Seguridad Nacional.

En el caso del ámbito de Ciberseguridad:

Objetivo → Garantizar un uso seguro de las redes y los sistemas de información y comunicaciones
a través del fortalecimiento de las capacidades de prevención, detección y respuesta a los
ciberataques potenciando y adoptando medidas específicas para un contribuir a la promoción de un
ciberespacio seguro y fiable.
Líneas de Acción:
 Reforzar las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta
e investigación frente a las ciberamenazas, así como potenciar la coordinación en los niveles
técnico y estratégico del Sistema de Seguridad Nacional en el ámbito de la ciberseguridad.
 Reforzar, impulsar y promover los mecanismos normativos, organizativos y técnicos, así como
la aplicación de medidas, servicios, buenas prácticas y planes de continuidad para la
protección, seguridad y resiliencia en (1) el Sector Público, (2) los sectores estratégicos
(especialmente en las infraestructuras críticas y servicios esenciales), (3) el sector empresarial
y (4) la ciudadanía, de manera que se garantice un entorno digital seguro y fiable.
 Reforzar y mejorar las estructuras de cooperación público-público y pública-privada nacionales
en materia de ciberseguridad
 Alcanzar las capacidades tecnológicas necesarias mediante el impulso de la industria española
de ciberseguridad, promoviendo un entorno que favorezca la investigación, el desarrollo y la
innovación, así como la participación del mundo académico.
 Promover el alcance y mantenimiento de los conocimientos, habilidades, experiencia, así como
capacidades tecnológicas y profesionales que necesita España para sustentar los objetivos de
la ciberseguridad.
 Contribuir a la seguridad del ciberespacio, en al ámbito de la Unión Europea e internacional,
fomentando la cooperación y el cumplimiento del Derecho internacional.

15
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

Por último, se actualiza la estructura del Sistema de Seguridad Nacional, que estará formado por:
✓ Consejo de Seguridad Nacional → bajo la dirección del Presidente del Gobierno. Asume, entre
otras funciones la dirección y coordinación de las actuaciones de gestión de crisis en los
términos previstos en la Ley de Seguridad Nacional.
✓ Comité de Situación → asiste al Consejo de Seguridad Nacional facilitando la coordinación
entra las distintas AAPP en situaciones de crisis.
✓ Órganos de apoyo:
o Consejo Nacional de Ciberseguridad8
o Consejo Nacional de Seguridad Marítima
o Comité de Inmigración
o Comité de no proliferación de armas de destrucción masiva (nuevo Estrategia 2017)
o Comité de seguridad energética (nuevo Estrategia 2017)
o Consejo de Seguridad Aeroespacial (nuevo Estrategia 2017).

Figura 6: Estructura del Sistema de Seguridad Nacional. Fuente: Estrategia de Seguridad Nacional
2017.

8 Si bien en la Estrategia de Ciberseguridad Nacional 2013 se insta a la creación del Comité

Especializado de Ciberseguridad, este finalmente adquiere el nombre de Consejo Nacional de
Ciberseguridad, tal y como se establece en la Orden PRA/33/2018, por la que se publica el Acuerdo
del Consejo de Seguridad Nacional, por el que se regula el Consejo Nacional de Ciberseguridad.
Pueden encontrarse además en el apartado 4 de esta orden una relación concisa de las funciones de
este órgano.

16
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

3.3 RD-Ley 12/2018, DE SEGURIDAD DE LAS REDES Y LOS

SISTEMAS DE INFORMACIÓN
Con objeto de adaptar Las Estrategias de Ciberseguridad de cada uno de los Estados
Miembros de la Unión Europea para cumplir unos requisitos mínimos en materia de protección de
sistemas y, con el objeto de permitir que el Mercado Único Digital, en su conjunto, no se vea amenazado
por las carencias de un Estado Miembro, la Agenda Europea de Ciberseguridad lanzó como su
principal medida la Directiva 2016/1148 (comúnmente conocida como ‘Directiva NIS’). Como fruto de
la trasposición de esta Directiva a la normativa nacional surge el Real Decreto Ley 12/2018, de
seguridad de las redes y los sistemas de información.
El Real Decreto-Ley aplica a los denominados proveedores de servicios esenciales,
eximiendo a los Operadores de Telecomunicaciones y a los Proveedores de Servicios de Confianza
(PSC), para los cuales existen disposiciones específicas en sus leyes de referencia (Ley Reglamento
802/2014 eIDAS, respectivamente), tal y como se ha comentado previamente. Aplicará además a
determinados proveedores de servicios digitales en los que, por su carácter intrínsecamente
transnacional, es necesaria una armonización máxima de la regulación a nivel europeo.

Tal y como recoge el RD-Ley:

➔ Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales
básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el
eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que
dependa para su provisión de redes y sistemas de información.
Estos servicios y sus operadores se identificarán por los órganos y operadores descritos
en la Ley 8/2011 de protección de infraestructuras críticas.
➔ Servicio digital: ‘servicio de la sociedad de la información’ entendido en el sentido recogido
en la letra a) del anexo de la Ley 34/2002, de servicios de la sociedad de la información y
de comercio electrónico.
El RD-Ley aplicará a los proveedores de servicios digitales que sean mercados en línea,
motores de búsqueda en línea o servicios de computación en nube.

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán

adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes
y sistemas de información que utilicen, aunque su gestión esté subcontratada. Las obligaciones de
seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en
una evaluación del riesgo previa. Además, estarán obligados a notificar los incidentes de
ciberseguridad que sufren al CSIRT de referencia, siendo el operador responsable de resolver los
incidentes y reponer las redes y sistemas de información afectados a su funcionamiento ordinario.
Además, se atribuye al Consejo de Seguridad Nacional la función de actuar como punto de
contacto con otros países de la Unión Europea y un papel coordinador de la política de ciberseguridad
a través de la Estrategia de Ciberseguridad Nacional.
Los CSIRT de referencia a los que deberán notificar los incidentes de seguridad dependerán
del ámbito al que pertenezca el proveedor de servicio. Así, de acuerdo al Artículo 11:
 CCN-CERT → proveedores que pertenecen al ámbito subjetivo de la Ley 40/2015.
 INCIBE-CERT → proveedores no incluidas en el ámbito subjetivo de la Ley 40/2015. En el caso
de operadores críticos la gestión se realizará de forma conjunta entre INCIBE y CNPIC.
Además, se encargarán de las relaciones con los ciudadanos.
 ESPDEF-CERT → cooperarán con el CCN-CERT y el INCIBE-CERT cuando estos lo requieran
y siempre que haya algún tipo de incidencia en la Defensa Nacional.
Los CSIRT se organizarán entre ellos nacionalmente y a nivel europeo formando la denominada
‘red de CSIRTs’, al frente de la cual estará ENISA.
El Real Decreto Ley define además un conjunto de autoridades competentes en materia de
seguridad de las redes y sistemas de información las siguientes que se encargarán, entre otras

17
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

funciones, de establecer y supervisar las obligaciones de los operadores, coordinarse con los CSIRT
de referencia, cooperar con otras autoridades competentes o ejercitar la potestad sancionadora.
Además, se establece el punto de contacto único, a través del Departamento de Seguridad Nacional
del Consejo de Seguridad Nacional, que servirá como punto de enlace para garantizar la cooperación
transfronteriza con otros Estados Miembros de la Unión Europea, así como con la red de CSIRT
europea, recibiendo y canalizando las notificaciones desde las autoridades competentes.
Cuando las autoridades competentes o los CSIRT de referencia tengan noticia de incidentes
que pueden afectar a otros Estados miembros de la Unión Europea, informarán a través del punto de
contacto único a los Estados miembros afectados. De la misma manera, podrán recibir notificaciones
de incidentes procedentes de otros Estados Miembros. En determinadas circunstancias, las
autoridades competentes podrán informar de un incidente al público o a terceros, o exigir al operador
del servicio que realicen esta información.
Los operadores de servicios esenciales y los proveedores de servicios digitales tienen la
obligación de resolver los incidentes de seguridad que les afecten, y de solicitar ayuda especializada,
incluida la del CSIRT de referencia, cuando no puedan resolver por sí mismos los incidentes. En tales
casos deberán atender a las indicaciones que reciban del CSIRT de referencia para resolver el
incidente, mitigar sus efectos y reponer los sistemas afectados.
Por último, el Real Decreto Ley específica un régimen sancionador en tres niveles (leves,
graves y muy graves) con sanciones que pueden alcanzar hasta 1 millón de euros.

3.4 LA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD 2019

Dado que el documento que da soporte a esta estrategia es de lectura amena, se recomienda
encarecidamente su lectura. También debido a ello se ha decidido desarrollar este apartado de una
forma pedagógica que facilite su asimilación y comprensión.
La estructura del documento es muy similar a la de la Estrategia previa del año 2013, constando
de 5 Capítulos en los que se desarrollan los principales conceptos, el plan estratégico y la propuesta
de modificaciones necesarias en la estructura orgánica del Sistema de Seguridad Nacional. El plan
estratégico constará a su vez, como es habitual, de Propósito, Principios Rectores, Objetivos, Líneas
de Acción y Medidas.
La estrategia plantea (en su Capítulo 3) un Objetivo Global que se reproduce a continuación:
‘España garantizará el uso seguro y fiable del ciberespacio, protegiendo los derechos y las
libertades de los ciudadanos y promoviendo el progreso socio económico.’ Para la consecución
de este objetivo se desarrollarán un conjunto de líneas de acción y medidas, así como determinadas
estructuras orgánicas de nueva creación.
Gran parte de la Estrategia ‘bebe’ directamente de la Estrategia de Seguridad Nacional 2017,
de tal forma que tanto el Propósito como los Principios, o determinados conceptos como el de
ciberamenazas son una referencia o reproducción directa a los contenidos en esta otra Estrategia. A
través de la experiencia adquirida desde la publicación de la Estrategia previa del año 2013 se proponen
actualizaciones sobre el modelo de gobernanza ya en funcionamiento para integrar la participación de
otras administraciones públicas, el sector privado y el resto de la sociedad civil. Para ello (en el Capítulo
5), se definirán nuevos instrumentos como son el ‘Foro Nacional de Ciberseguridad’ o se especificará
la integración de las Autoridades públicas competentes y los CSIRT de referencia nacionales en
la estructura del Sistema de Seguridad Nacional. Un tercer instrumento, la Comisión Permanente de
Ciberseguridad, tendrá por objetivo facilitar la coordinación interministerial a nivel operacional en este
ámbito.
Es también reseñable como, en el mapa de amenazas y desafíos en el ciberespacio (Capítulo
4), se nombra de una forma relevante a las actividades de ciberespionaje, nombrando específicamente
las acciones de actores estatales que actúan a través de Amenazas Persistentes Avanzadas (APT)
o con una tendencia creciente ‘amenazas híbridas’. La transición de un modelo de ciberseguridad de
carácter preventivo y defensivo hacia un modelo de mayor fuerza disuasoria, en un contexto global de
mayor competencia geopolítica, o una mayor proactividad de la ciberinteligencia, serán elementos
claves de la nueva concepción del ciberespacio (Capítulo 2).

18
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

Entre sus Objetivos (Capítulo 3), se identificará la necesidad de fortalecer la cooperación

judicial y policial, tanto nacional como internacional, la asignación de recursos suficientes, la
capacitación de profesionales del ámbito, así como la adaptación en consecuencia del ordenamiento
jurídico.
Al final del documento, en un apartado de consideraciones finales y evaluación, se expresa la
intención de realizar un informe anual de evaluación de la Estrategia donde figurará el grado de
ejecución y cumplimiento de sus objetivos.
A continuación, se resume brevemente el contenido de los cinco capítulos que conforman el
documento:
 Capítulo 1. El ciberespacio, más allá de un espacio común global: presenta las
características del denominado ‘espacio común global’, así como las oportunidades y desafíos
del ciberespacio. Determina cómo será la nueva concepción de ese ciberespacio, establece las
características de la infraestructura digital y, en el plano internacional, señala la importancia de
la Carta de Naciones Unidas como principio de referencia para la prevención de conflictos, la
cooperación y la estabilidad en el ciberespacio.
 Capítulo 2. Las amenazas y desafíos en el ciberespacio: presenta y desarrolla los conceptos
de Ciberamenazas, por un lado, y ‘Acciones que usan el ciberespacio para fines maliciosos’,
por otro. Ambos conceptos provienen de la Estrategia de Seguridad Nacional 2017.
 Capítulo 3. Propósito, principios y objetivos para la ciberseguridad: es la parte del plan
estratégico y, como veremos más adelante, hereda el Propósito y los Principios Rectores de la
Estrategia de Seguridad Nacional 2017, a partir de la cual se desarrollará un objetivo general y
5 específicos.
 Capítulo 4. Líneas de acción y medidas: como concreción de los Objetivos definidos en el
capítulo anterior se desarrollarán 7 líneas de acción y 65 medidas.
 Capítulo 5. La ciberseguridad en el Sistema de Seguridad Nacional: en lo referente a
ciberseguridad, se complementará la estructura orgánica existente previamente (formada por
el Consejo de Seguridad Nacional, el Consejo Nacional de Ciberseguridad y el Comité de
Situación), con la Comisión Permanente de Ciberseguridad, las autoridades públicas
competentes y CSIRT (Computer Security Incident Response Team) de referencia nacional, y
con un nuevo elemento colaboración público privada, el foro Nacional de Ciberseguridad.

Figura 7: Capítulos de la Estrategia Nacional de Ciberseguridad

19
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

En el Capítulo 1 encontraremos algunas caracterizaciones interesantes para el conocimiento de la

ciberseguridad:

➔ Características del espacio común global:

 Apertura funcional
 Dinamismo
 Ausencia de soberanía
 Débil jurisdicción
 Facilidad de acceso
 Dificultad de atribución de las acciones

Oportunidades:
• Facilita flujos de información, servicios e ideas.
• Estimula emprendimiento
• Potencia progreso económico

Desafíos:
• Privacidad de los datos
• Reordenación del poder

➔ Concepto Infraestructura digital:

 Sustentado en elementos físicos y lógicos. Expuestos a disfunciones y acciones

deliberadas con fines malintencionados. Dan soporte a infraestructuras críticas y servicios
esenciales.
 Prevalencia de criterios comerciales frente a seguridad.
 Creciente interconectividad.

➔ Plano Internacional: destaca la Carta de Naciones Unidas como principio de referencia para
la prevención de conflictos, la cooperación y la estabilidad en el ciberespacio.
➔ Nueva concepción del ciberespacio: Afectación de la ciberseguridad a la Seguridad Nacional
como competencia del Estado y principio de dirección centralizada y ejecución coordinada.

1ª. Papel relevante del sector privado. Necesario apoyo, promoción e inversión en
ciberseguridad, así como fomento de una base industrial nacional de ciberseguridad, la I+D+i
y la gestión del talento tecnológica.
2ª. Transición de un modelo de ciberseguridad de carácter preventivo y defensivo hacia un
esquema que incorpore elementos de mayor fuerza disuasoria. Obedece a un contexto global
de mayor competencia geopolítica. La disuasión en ciberseguridad requiere la obtención y
potenciación de capacidades de ciberdefensa.
3ª Mayor proactividad de la ciberinteligencia dada la rápida evolución de las ciberamenazas.
Anticiparse a las acciones de los potenciales adversarios a través del conocimiento de sus
capacidades, técnicas, tácticas e intenciones. Mecanismos y medios que permitan una
oportuna investigación y persecución de los autores para incrementar las posibilidades de
atribución.
4ª Evolución desde la concienciación al compromiso con la ciberseguridad, haciendo al
ciudadano corresponsable de la ciberseguridad.

20
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

En el Capítulo 2 se traen 2 conceptos definidos y diferenciados en la Estrategia de Seguridad Nacional

2017 relevantes para comprender las amenazas y desafíos en el ciberespacio:

a) Ciberamenazas. Disrupciones o manipulaciones maliciosas que afectan a elementos

tecnológicos. Tienen las siguientes características:
i. Carácter transversal (sector público y privado, sociedad)
ii. Diversidad en capacidades y motivaciones
iii. Implicaciones simultaneas en aspectos diversos: soberanía, derechos fundamentales,
economía, servicios esenciales, infraestructuras críticas, defensa, desarrollo tecnológico,
etc.

b) ‘Acciones que usan el ciberespacio para fines maliciosos’. Incluirán las relacionadas con el
ciberespionaje y la cibercriminalidad:

Ciberespionaje: suelen ser actores estatales que operan a través de las APT (Amenazas
Persistentes Avanzadas, en las que el adversario interactúa con su objetivo durante un
extenso periodo de tiempo) con también una tendencia creciente a las ‘amenazas híbridas’
(combinan una serie de medios tanto tradicionales como ciberataques).

Cibercriminalidad: son actividades ilícitas cometidas en el ciberespacio que herramientas

tecnológicas para su consecución. Podrán diferenciarse en función de la naturaleza del hecho
punible en sí, de la autoría, de su motivación, o de los daños infligidos, hablando entonces de
ciberterrorismo, de ciberdelito, o en su caso, de hacktivismo”.

En el Capítulo 3 se desarrolla el Plan Estratégico. El Propósito y los Principios Rectores son traídos
directamente de la Estrategia de Seguridad Nacional 2017:

Propósito: “fijar las directrices generales del ámbito de la ciberseguridad de manera que se alcancen los
objetivos previstos en la Estrategia de Seguridad Nacional de 2017”, que establece: “garantizar un uso
seguro y responsable de las redes y los sistemas de información y comunicaciones a través del
fortalecimiento de las capacidades de prevención, detección y respuesta a los ciberataques potenciando
y adoptando medidas específicas para un contribuir a la promoción de un ciberespacio seguro y fiable”.

Principios Rectores:

➔ Unidad de Acción: implica la coherencia y coordinación de los distintos agentes del Estados ante un
incidente.
➔ Anticipación: primacía de las acciones preventivas sobre las reactivas, a través de sistemas eficaces
y mecanismos tanto en sector público como privado.
➔ Eficiencia: optimización de los recursos públicos dado el elevado coste de desarrollo, adquisición y
operación de las tecnológica de ciberseguridad. Implica compartición de información e integración
de recursos.
➔ Resiliencia: capacidades para asegurar la disponibilidad de los medios esenciales para la nación.

Objetivo general: “España garantizará el uso seguro y fiable del ciberespacio, protegiendo los derechos
y las libertades de los ciudadanos y promoviendo el progreso socio económico”.

21
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

Capítulo 3 (continuación):

Objetivos Específicos (5):

I) Seguridad y resiliencia de las redes y los sistemas de información y comunicaciones del sector
público y de los servicios esenciales.
Para ello, deberán desarrollarse nuevas soluciones, reforzando la coordinación y adaptando
en consecuencia el ordenamiento jurídico.
Aplicación del principio de responsabilidad compartida: estrecha relación del sector público
con empresas que gestionan los Sistemas TIC relevantes para los intereses nacionales (a
través del intercambio de conocimiento y la cooperación efectiva).
Deberán desarrollarse métricas que midan el nivel de seguridad de los sistemas que
proporcionan servicios esenciales.
II) Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso.
Será necesario garantizar una adecuada persecución de los fenómenos criminales que se
desarrollan en el ciberespacio. Para ello, sobre la base de una regulación sólida y eficaz, es
necesario el fortalecimiento de la cooperación judicial y policial, tanto nacional como
internacional, así como la asignación de recursos suficientes y la capacitación de profesionales
del ámbito.
También, fomentar la colaboración y participación ciudadana en la investigación de estos
delitos.
III) Protección del ecosistema empresarial y social y de los ciudadanos
Las medidas a impulsar serán las que conduzcan a la necesaria cooperación para la seguridad
común.
Implantar medidas para la ciberdefensa activa de ciudadanos, autónomos y empresas, más
allá de sus medidas de autoprotección.
Intercambio permanente de conocimiento y establecimiento de mecanismos de monitorización.
IV) Cultura y compromiso con la ciberseguridad y potenciación de las capacidades humanas y
tecnológicas.
Potenciando mecanismos de información y asistencia a los ciudadanos y fomentando espacios
de encuentro entre la sociedad civil, administraciones y empresas.
Capacitación de los profesionales, desarrollo actividades de I+D+i en ciberseguridad y el
fomento del uso de productos y servicios certificados.
Protección del patrimonio tecnológico y de la propiedad industrial e intelectual
V) Seguridad del ciberespacio en el ámbito internacional
Relaciones tanto bilaterales como en las organizaciones multilaterales, regionales e
internacionales, y en los foros y conferencias, donde la ciberseguridad ocupa un lugar
destacado.
Relevante el papel de Naciones Unidas para avanzar en la construcción de consensos.
España continuará participando activamente en la UE y la OTAN; en Naciones Unidas, y en
sus foros derivados como el Foro de Gobernanza de Internet (IGF); en la Organización para
la Seguridad y la Cooperación en Europa (OSCE), en el desarrollo e implementación de las
Medidas de Fomento de la Confianza; en la Organización de Estados Americanos (OEA). Así
como con el Foro Global del Expertos en Ciberseguridad (GFCE) y la Coalición por la Libertad
en Internet (Freedom Online Coalition. FOC), sin olvidar nuestra presencia en el Centro
Europeo de Excelencia para contrarrestar las Amenazas Híbridas (Hybrid CoE), así como en
el Centro de Excelencia de Ciberdefensa Cooperativa de la OTAN (CCD CoE).

22
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

En el Capítulo 4 se definen líneas de acción y medidas concretas para para desarrollar el Plan
Estratégico del Capítulo 3:

- Línea de Acción 1. Reforzar las capacidades ante las amenazas provenientes del ciberespacio.
Responde al Objetivo I y consta de 12 Medidas.
Entre sus principales medidas se encuentra impulsar el desarrollo de plataformas de notificación,
intercambio de información y coordinación para la mejora de la ciberseguridad sectorial, así como
apoyar los desarrollos realizados en la red de CSIRT española.
- Línea de Acción 2. Garantizar la seguridad y resiliencia de los activos estratégicos para España.
Responde al Objetivo I y consta de 12 Medidas.
Busca asegurar la plena implantación del Esquema Nacional de Seguridad y del Sistema de
Protección de las Infraestructuras Críticas, así como la progresiva integración de las
infraestructuras de seguridad de Comunidades Autónomas y Entidades Locales con las estructuras
nacionales para su correcta cooperación y coordinación, entre otras medidas.
Además, es en esta línea donde se incluye la necesidad de potenciar el Centro de Operaciones
de Ciberseguridad de la Administración General del Estado, así como impulsar el desarrollo de
nuevos centros de operaciones en los ámbitos autonómico y local.
- Línea de Acción 3: Reforzar las capacidades de investigación y persecución de la
cibercriminalidad, para garantizar la seguridad ciudadana y la protección de los derechos y
libertades en el ciberespacio
Responde al Objetivo II y consta de 9 Medidas
Incluirá medidas orientadas a reforzar el marco jurídico, la definición de tipos penales y regulación
de medidas de investigación, así como asegurar a los profesionales del Derecho y a las Fuerzas
y Cuerpos de Seguridad del Estado el acceso a los recursos humanos y materiales necesarios
para desarrollar su trabajo.
También incluirá medidas para fortalecer la cooperación judicial y policial internacional.
- Línea de Acción 4. Impulsar la ciberseguridad de ciudadanos y empresas:
Responde al Objetivo III y consta de 9 Medidas
El principal objetivo de sus medidas será la promoción de la cooperación entre actores públicos y
privados (especialmente entre proveedores de Proveedores de Servicios de Internet y de Servicios
Digitales), y especialmente la creación del foro Nacional de Ciberseguridad, que integrará a
representantes de la sociedad civil, expertos independientes, sector privado, la academia,
asociaciones, organismos sin ánimo de lucro, etc.
- Línea de Acción 5. Potenciar la industria española de ciberseguridad, y la generación y retención
de talento, para el fortalecimiento de la autonomía digital.
Responde al Objetivo IV y consta de 9 Medidas
Promoción de actividades de I+D+i en seguridad digital y ciberseguridad; actividades de
normalización, evaluación de conformidad y certificación; sistemas de acreditación y certificación
para profesionales de ciberseguridad, etc.
Adicionalmente, impulsar la inclusión de perfiles profesionales de ciberseguridad en las relaciones
de puestos de trabajo del sector público.
- Línea de Acción 6. Contribuir a la seguridad del ciberespacio en el ámbito internacional,
promoviendo un ciberespacio abierto, plural, seguro y confiable, en apoyo de los intereses
nacionales:
Responde al Objetivo V y consta de 6 Medidas
Medidas para potenciar y reforzar la presencia de España en órganos internacionales, contribuir
con ello al cumplimiento de los Objetivos de Desarrollo Sostenible, etc.
- Línea de Acción 7. Desarrollar una cultura de ciberseguridad:
Responde al Objetivo IV y consta de 8 Medidas
Campañas de concienciación; medidas para incremento de la corresponsabilidad y obligaciones
de la sociedad en la ciberseguridad nacional; alfabetización digital; así como la promoción de un
espíritu crítico que ayude a la identificación de las noticias falsas y la desinformación.

23
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

En el Capítulo 5 se detalla la estructura exigente en lo referente a ciberseguridad en el Sistema de

Seguridad Nacional.
La Estrategia de Ciberseguridad Nacional de 2013 y la posterior aprobación de la Ley de Seguridad
Nacional de 2015 establecen una estructura orgánica específica para la ciberseguridad. En la Estrategia
de 2019 se impulsan iniciativas que complementan los nuevos avances en el modelo de gobernanza
nacional con las políticas europeas.
Actualmente se compone de 3 órganos:
 Consejo de Seguridad Nacional, como Comisión Delegada del Gobierno para la Seguridad
Nacional asistirá al Presidente del Gobierno en la dirección de la Política de Seguridad Nacional.
Además actúa a través del Departamento de Seguridad Nacional como punto de contacto único
para cooperación trasfronteriza en la UE
 Consejo Nacional de Ciberseguridad: dará apoyo al Consejo de Seguridad Nacional prestando
asistencia a la dirección y coordinación de la Política de Seguridad Nacional en materia de
ciberseguridad, así como fomentando la coordinación, cooperación y colaboración entre AAPP y
entre éstas y el sector privado. Además, facilitará la toma de decisiones del propio Consejo en el
ámbito de ciberseguridad nacional e internacional. Fue creado como recomendación de la
Estrategia de Ciberseguridad Nacional de 2013.
 Comité de Situación que, con el apoyo del Departamento de Seguridad Nacional, apoyará a la
gestión de las situaciones de crisis en cualquier ámbito, que por su transversalidad o dimensión,
desborden las capacidades de respuesta de los mecanismos habituales. Es único para el
conjunto del Sistema de Seguridad Nacional (no se desdobla por cada temática). Fue creado
como recomendación de la Estrategia de Ciberseguridad Nacional de 2013.
Este sistema será complementado con:
 Comisión Permanente de Ciberseguridad, que facilita la coordinación interministerial a nivel
operacional en el ámbito de la ciberseguridad, siendo el órgano que asistirá al Consejo Nacional
de Ciberseguridad sobre aspectos relativos a la valoración técnica y operativa de los riesgos y
amenazas a la ciberseguridad.
 Autoridades públicas competentes y CSIRT (Computer Security Incident Response Team) de
referencia nacional. Incluyendo los CSIRT de las Comunidades Autónomas, de las Ciudades
Autónomas, de las Entidades Locales y sus organismos vinculados o dependientes, los de las
entidades privadas, la red de [Link] y otros servicios de ciberseguridad relevantes.
 Foro Nacional de Ciberseguridad. Actuará en la potenciación y creación de sinergias público
privadas, particularmente en la generación de conocimiento sobre las oportunidades y los
desafíos y amenazas a la seguridad en el ciberespacio. Para ponerlo en marcha deberán hacerse
las disposiciones normativas necesarias.

24
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
CONTENIDO

3.5 CONCLUSIONES
Se incluyen algunas conclusiones de forma esquemática para ayudar al opositor a asentar los
principales conceptos:
1. El Real Decreto-Ley 12/2018, de seguridad de las redes y sistemas de información, que traspone
la Directiva NIS 2016/1148, establecerá un conjunto de obligaciones para operadores de
servicios esenciales y determinados operadores de servicios digitales (mercados en línea,
motores de búsqueda en línea o servicios de computación en nube). Estos deberán adoptar
medidas en función de una evaluación de riesgo. Además tendrán la obligación de resolver los
incidentes de seguridad que les afecten y de solicitar ayuda especializada si es necesario.
2. Asimismo, se establecerán los denominados CSIRT de referencia, que en su ámbito de actuación
servirán para recopilar y tratar la notificaciones ante incidentes, formando a su vez parte de la 'red
de CSIRT' a nivel europea, coordinada por ENISA. Se establece un punto de contacto a nivel
europeo en el Departamento de Seguridad Nacional del Consejo de Seguridad Nacional.
3. La Estrategia de Ciberseguridad Nacional 2019 aprovecha la experiencia generada a partir de la
aplicación de la Estrategia previa del año 2013 y desarrolla las previsiones de la Estrategia de
Seguridad Nacional 2017. Tanto el Propósito, como los Principios rectores como el mapa de
amenazas y desafíos provienen directamente de esta Estrategia.
4. En la Estrategia de Ciberseguridad Nacional 2019 se manifiesta una preocupación creciente por
las amenazas provenientes de actores estatales, concretamente del ciberespionaje a través de las
Amenazas Persistentes Avanzadas y las ‘amenazas híbridas’, para lo cual establecerá la
necesidad de una mayor proactividad de la ciberinteligencia y una incorporación de mayor fuerza
disuasoria.
5. En el plano internacional se destaca la Carta de Naciones Unidas como principio de referencia
para la prevención de conflictos, la cooperación y la estabilidad en el ciberespacio, así como el
papel de Naciones Unidas para avanzar en la construcción de consensos.
6. La cooperación y coordinación a todos los niveles es un elemento constante para la consecución
de los 5 Objetivos transversales especificados en la Estrategia de Ciberseguridad Nacional 2019,
tanto entre administraciones como entre sector público y privado (aplicando el principio de
responsabilidad compartida), con la sociedad civil (evolucionando desde la concienciación al
compromiso con la ciberseguridad, haciendo al ciudadano corresponsable de la ciberseguridad),
así como en lo referente a cooperación judicial y policial.
7. Previamente con la Estrategia de Ciberseguridad Nacional 2013 se crearon dos instrumentos
orgánicos complementarios de gran relevancia para dar soporte al Consejo de Seguridad Nacional
(que depende directamente del Presidente del Gobierno): El Comité Especializado de
Ciberseguridad (constituido con el nombre de Consejo Nacional de Ciberseguridad), y el Comité
Especializado de Situación. Con la nueva Estrategia de 2019 se integran nuevos elementos en
el Sistema de Seguridad Nacional, para una mayor coordinación operacional en el ámbito estatal
(Comisión Permanente de Ciberseguridad), para potenciar sinergias público privadas y
potenciar la generación de conocimiento (Foro Nacional de Ciberseguridad), y para integrar a
las Autoridades públicas competentes y los CSIRT de referencia nacionales (incluyendo la
red de CSIRTs, los CSIRTs privados y los de Comunidades Autónomas y Ayuntamientos).

25
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
RESUMEN ESQUEMÁTICO

 RESUMEN ESQUEMÁTICO
• Definición ISACA Ciberseguridad: “Protección de activos de información, a través del
tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada
y transportada por los sistemas de información que se encuentran interconectados”.
• CERT (Computer Emergency and Response Teams) o CSIRT (Computer Security Incidence
and Response Teams) → ofrecen servicios preventivos (avisos, auditorías, herramientas,
información, formación, sensibilización y concienciación, etc) y reactivos para la prevención y
recuperación frente a incidentes de seguridad en un determinado ámbito objetivo (público,
militar, nacional, regional, sectorial, …).
• Principales CERT a nivel nacional:
o CCN-CERT: AAPP (AGE, CCAA y EELL), empresas estratégicas y clasificadas
o CERTSI: ciudadanía, las empresas, las infraestructuras de servicios críticos y la red de
universidades y centros de investigación
o MCCD: defensa nacional
• Infraestructuras críticas: obligaciones reguladas en Ley 8/2011. Creación del CNPIC en Real
Decreto 704/2011.
• De acuerdo al Artículo 37 del ENS, el CCN-CERT tiene por misiones:
 Tratamiento de vulnerabilidades y la resolución de incidentes de seguridad de las
Administraciones Públicas (Administración General del Estado, Comunidades
Autónomas y Entidades Locales) y entidades dependientes.
 Investigación y divulgación de las mejores prácticas sobre seguridad de la información
en las Administraciones Públicas (Guías CCN-STIC).
 Información sobre vulnerabilidades, alertas y avisos de amenazas
 Formación al personal de las AAPP en seguridad.
• Según Artículo 36 del ENS, Las Administraciones Públicas notificarán al Centro Criptológico
Nacional aquellos incidentes que tengan un impacto significativo en la seguridad de la
información manejada y de los servicios prestados.
• De acuerdo a la Estrategia de Seguridad Nacional 2017:
✓ El ciberespacio es uno de los 3 espacios comunes globales de la Estrategia de Seguridad
Nacional 2017, junto con el espacio marítimo y el espacio aéreo y ultraterreste.
✓ La ciberseguridad es uno de los 15 ámbitos de actuación de la Estrategia.
✓ El Sistema de Seguridad Nacional se compone de:
H Consejo de Seguridad Nacional.
H Comité de Situación: asiste al Consejo de Seguridad Nacional facilitando la coordinación
entra las distintas AAPP en situaciones de crisis.
H Órganos de apoyo:
• Consejo Nacional de Ciberseguridad
• Consejo Nacional de Seguridad Marítima
• Comité de Inmigración
• Comité de no proliferación de armas de destrucción masiva (nuevo Estrategia 2017)
• Comité de seguridad energética (nuevo Estrategia 2017
• Consejo de Seguridad Aeroespacial (nuevo Estrategia 2017)

26
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
RESUMEN ESQUEMÁTICO

• La Estrategia Nacional de Ciberseguridad 2019. Es la segunda (anterior publicada en 2013).

Desarrolla uno de los 15 ámbitos de la Estrategia de Seguridad Nacional de 2017.
 Objetivo: ‘España garantizará el uso seguro y fiable del ciberespacio, protegiendo los
derechos y las libertades de los ciudadanos y promoviendo el progreso socio económico.’
 Propósito: “fijar las directrices generales del ámbito de la ciberseguridad de manera que
se alcancen los objetivos previstos en la Estrategia de Seguridad Nacional de 2017”, que
establece: “garantizar un uso seguro y responsable de las redes y los sistemas de
información y comunicaciones a través del fortalecimiento de las capacidades de
prevención, detección y respuesta a los ciberataques potenciando y adoptando medidas
específicas para un contribuir a la promoción de un ciberespacio seguro y fiable”.
 Principios Rectores: Unidad de Acción / Anticipación / Eficiencia / Resiliencia.
 Características del espacio común global:
 Apertura funcional
 Dinamismo
 Ausencia de soberanía
 Débil jurisdicción
 Facilidad de acceso
 Dificultad de atribución de las acciones
 Concepto Infraestructura Digital:
▪ Sustentado en elementos físicos y lógico
▪ Prevalencia de criterios comerciales frente a seguridad.
▪ Creciente interconectividad.
 Distinción entre:
o Ciberamenazas: Disrupciones o manipulaciones maliciosas que afectan a elementos
tecnológicos → carácter transversal, diversidad en capacidades y motivaciones,
implicaciones simultaneas en aspectos diversos.
o Acciones que usan el ciberespacio para fines maliciosos: ciberespionaje y
cibercriminalidad.
 Estructura Orgánica:
 Consejo de Seguridad Nacional
 Comité de Situación (creado a raíz de Estrategia 2013)
 Consejo Nacional de Ciberseguridad (creado a raíz de Estrategia 2013)
 Comisión Permanente de Ciberseguridad.
 Foro Nacional de Ciberseguridad (pendiente de creación).
 Autoridades públicas competentes y CSIRT de referencia nacionales
Estructura del documento:
o Capítulo 1. «El ciberespacio, más allá de un espacio común global»
o Capítulo 2. «Las amenazas y desafíos en el ciberespacio»:
o Capítulo 3. «Propósito, principios y objetivos para la ciberseguridad»:
Propósito, principios rectores, objetivo general, …
Objetivos específicos (5):
1) Seguridad y resiliencia de las redes y los sistemas de información y
comunicaciones del sector público y de los servicios esenciales.

27
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
RESUMEN ESQUEMÁTICO

2) Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso.

3) Protección del ecosistema empresarial y social y de los ciudadanos
4) Cultura y compromiso con la ciberseguridad y potenciación de las capacidades
humanas y tecnológicas
5) Seguridad del ciberespacio en el ámbito internacional
o Capítulo 4. «Líneas de acción y medidas»
I. Reforzar las capacidades ante las amenazas provenientes del ciberespacio
II. Garantizar la seguridad y resiliencia de los activos estratégicos para España
III. Reforzar las capacidades de investigación y persecución de la
cibercriminalidad, para garantizar la seguridad ciudadana y la protección de los
derechos y libertades en el ciberespacio
IV. Impulsar la ciberseguridad de ciudadanos y empresas
V. Potenciar la industria española de ciberseguridad, y la generación y retención
de talento, para el fortalecimiento de la autonomía digital
VI. Contribuir a la seguridad del ciberespacio en el ámbito internacional,
promoviendo un ciberespacio abierto, plural, seguro y confiable, en apoyo de
los intereses nacionales i
VII. Desarrollar una cultura de ciberseguridad
o Capítulo 5. «La ciberseguridad en el Sistema de Seguridad Nacional»
• Real Decreto-Ley 12/2018, de seguridad de las redes y sistemas de información. Traspone la
Directiva NIS 2016/1148.
▬ Obligaciones para operadores de servicios esenciales y determinados servicios digitales.
Deberán adoptar medidas en función de una evaluación de riesgo. Además obligación
de resolver los incidentes de seguridad que les afecten, y de solicitar ayuda especializada
si es necesario.
▪ Servicio esencial: organos y operadores descritos en la Ley 8/2011 de protección de
infraestructuras críticas.
▪ Servicio digital: proveedores de servicios digitales que sean mercados en línea, motores
de búsqueda en línea o servicios de computación en nube.
▬ Punto de contacto a nivel europeo: Departamento de Seguridad Nacional del Consejo de
Seguridad Nacional.
▬ CSIRT de referencia:
 CCN-CERT --> Sector Público proveedores que pertenecen al ámbito subjetivo de
la Ley 40/2015.
 INCIBE-CERT --> Resto. Operadores críticos. Relaciones con los ciudadanos.
 ESPDEF-CERT --> Defensa Nacional.

28
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
GLOSARIO

 GLOSARIO
Amenaza. Evento que puede desencadenar un incidente en la Organización, produciendo daños
materiales o pérdidas inmateriales en sus activos (CCN-STIC-301 v2.0 Requisitos STIC).
Amenaza híbrida: acciones coordinadas y sincronizadas dirigidas a atacar de manera deliberada las
vulnerabilidades sistémicas de los estados democráticos y las instituciones, a través de una amplia
gama de medios, tales como acciones militares tradicionales, ciberataques, operaciones de
manipulación de la información, o elementos de presión económica.
Amenaza Persistente Avanzadas (APT): tipo de amenaza en la que el adversario posee sofisticados
niveles de conocimiento y de recursos e infraestructuras para, mediante múltiples tipos de ataques,
interactuar sobre sus objetivos por un extenso periodo de tiempo, adaptarse a los esfuerzos del
defensor para resistir, así como mantener el nivel de interacción para ejecutar sus objetivo (Estrategia
Nacional de Ciberseguridad 2019).
Ciberamenaza: ‘Amenaza a los sistemas y servicios presentes en el ciberespacio o alcanzables a
través de éste’ (CCN-STIC 401 GLOSARIO 2.202.1).
‘Tipo de amenaza en la que el adversario posee sofisticados niveles de conocimiento y de recursos e
infraestructuras para, mediante múltiples tipos de ataques, interactuar sobre sus objetivos por un
extenso periodo de tiempo, adaptarse a los esfuerzos del defensor para resistir, así como mantener el
nivel de interacción para ejecutar sus objetivo’ (Estrategia Nacional de Ciberseguridad 2019).
Ciberataque: Acción producida en el ciberespacio que compromete la disponibilidad, integridad y
confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o
destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan
(CCN-STIC 401 GLOSARIO 2.203.1).
Cibercriminalidad: ‘conjunto de actividades ilícitas cometidas en el ciberespacio que tienen por objeto
los elementos, sistemas informáticos o cualesquiera otros bienes jurídicos, siempre que en su
planificación, desarrollo y ejecución resulte determinante la utilización de herramientas tecnológicas’.
(Estrategia Nacional de Ciberseguridad 2019).
Ciberespacio: dominio global y dinámico compuesto por las infraestructuras de tecnología de la
información – incluida Internet–, las redes y los sistemas de información y de telecomunicaciones
(Estrategia Nacional de Ciberseguridad).
Ciberguerra o Ciberconflicto: Lucha armada (en este caso las armas son las TIC) entre dos o más
naciones o entre bandos de una misma nación, en la que se utiliza el Ciberespacio como campo de
batalla (CCN- STIC 401 GLOSARIO 2.204).
Ciberdefensa: Concepto que engloba todas las actividades ofensivas y defensivas en las que se
utilizan como medio aquellos relacionados con las infraestructuras TIC (Ej. Redes de ordenadores,
ordenadores, programas informáticos, etc.), y cuyo “campo de batalla” es el Ciberespacio (STIC 401
GLOSARIO 2.205.1).
Hactivismo: Activismo digital antisocial. Sus practicantes persiguen el control de ordenadores o sitios
web para promover su causa, defender su posicionamiento político, o interrumpir servicios, impidiendo
o dificultando el uso legítimo de los mismos (CCN- STIC 401 GLOSARIO 2.548).
Ransomware: código malicioso para secuestrar datos, una forma de explotación en la cual el atacante
cifra los datos de la víctima y exige un pago por la clave de descifrado (CCN- STIC 401 GLOSARIO
2.821.1).
Resiliencia: Capacidad de los sistemas para seguir operando pese a estar sometidos a un ciberataque,
aunque sea en un estado degradado o debilitado. Así mismo, incluye la capacidad de restaurar con
presteza sus funciones esenciales después de un ataque (CCN- STIC 401 GLOSARIO 2.844.2).

29
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
PREGUNTAS DE TEST

 TEST
6.1 PREGUNTAS DE TEST
1) Señale cuál de las siguientes no es una característica del espacio común global tal y como se
recoge en la Estrategia Nacional de Ciberseguridad 2019.
a) Debil jurisdicción.
b) Ausencia de soberanía.
c) Dinamismo.
d) Facilidad de atribución de las acciones.
2) Señale cuál de las siguientes no es una característica de las ciberamenazas tal y como se recoge
en la Estrategia Nacional de Ciberseguridad 2019.
a) Diversidad en capacidades y motivaciones
b) Implicaciones simultáneas en aspectos diversos (soberanía, economía, servicios, …).
c) Utilización del ciberespacio para fines maliciosos
d) Carácter transversal
3) Indique cual es un Principio Rector de la Estrategia Nacional de Ciberseguridad 2019
a) Capacitación
b) Eficacia
c) Coordinación
d) Anticipación
4) ¿En qué Artículo de la Constitución Española se habla de ‘limitar el uso de la informática’?
a) 148
b) 18
c) 24
d) 51
5) ¿Cuál de los siguientes no es un ámbito de actuación del CCN-CERT?:
a) Ayuntamientos
b) Empresas estratégicas
c) Empresas clasificadas
d) Red de universidades
6) ¿Cuál de los siguientes órganos no existe previamene a la Estrategia Nacional de Ciberseguridad
2019?:
a) Foro Nacional de Ciberseguridad
b) Comité de Situación
c) Consejo de Seguridad Nacional
d) Consejo Nacional de Ciberseguridad
7) Indique cuál de los siguientes no es un espacio común de acuerdo a la Estrategia de Seguridad
Nacional:
a) Ciberespacio
b) Espacio terrestre
c) Espacio marítimo
d) Espacio aéreo y ultraterrestre
8) Indique cual de los siguientes no es un Órgano de Apoyo en el Sistema de Seguridad Nacional:
a) Consejo Nacional de Ciberseguridad
b) Comité de seguridad energética
c) Comité de no proliferación de armas de destrucción masiva
d) Consejo de seguridad aeroportuaria

30
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
PREGUNTAS DE TEST

9) ¿Cuál de los siguientes no es un operador de servicios digitales con obligaciones en el RD Ley

12/2018?.
a) Mercados en línea
b) Motores de búsqueda
c) Plataformas de mensajería instantanea
d) Servicios de computación en la nube
10) ¿Cuál de los siguientes es el CSIRT de referencia en el caso de las relaciones con los ciudadanos
según el RD Ley 12/2018?.
a) CCN-CERT
b) ESPDEF-CER
c) Oficina de Coordinación Cibernética
d) INCIBE-CERT

31
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
SOLUCIONES A LAS PREGUNTAS DE TEST

6.2 SOLUCIONES A LAS PREGUNTAS DE TEST

PREGUNTA SOLUCIÓN
1 d
2 c
3 d
4 b
5 d
6 a
7 b
8 d
9 c
10 d

32
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.
BIBLIOGRAFÍA

 BIBLIOGRAFÍA BÁSICA
1. Código de Derecho de Ciberseguridad:
[Link]
seguridad&modo=1
2. Estrategia de Ciberseguridad Nacional 2013:
[Link]
nacional
3. Estrategia de Seguridad Nacional 2017:
[Link]
nacional-2017
4. Estrategia Nacional de Ciberseguridad 2017:
[Link]
5. Nota técnica OBSAE: El Centro de Operaciones de Ciberseguridad de la AGE y sus [Link].
[Link]
ebrero/Noticia-2018-02-01-Nueva-nota-tecnica-del-OBSAE-Centro-Operaciones-
[Link]..html#.XI6QHShKjIU

33
Tema 126. Ciberseguridad. La Estrategia Nacional de Ciberseguridad.