El 19 de marzo de 2002, se publicaba en el Boletín Oficial del Estado, el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI). Este RD venía a regular y definir el ámbito y funciones de este Organismo, cuya actividad venía recogida en la Ley 11/2002, de 6 de mayo, reguladora del CNI, y que venía ya operando como un departamento del Centro desde principios de los años 80 (principalmente proporcionando medios o procedimientos de cifra, para garantizar la seguridad de la información clasificada del país.)
El RD citado, señalaba entre otras funciones del CCN, actuar contra el ciberespionaje, neutralizando las actividades de inteligencia y mejorando la seguridad de los sistemas de información del país, protegiendo su patrimonio tecnológico.
Desde su creación, el CCN ha ido adecuándose y, en la medida de lo posible, adelantándose a una realidad cambiante, en donde las amenazas se incrementan día a día favorecidas por la rentabilidad que se obtiene, ya sea económica, política o de otro tipo; la facilidad y el bajo coste en el empleo de las herramientas utilizadas, así como el reducido riesgo para el atacante, que lo puede hacer de forma anónima y desde cualquier lugar del mundo, afectando transversalmente tanto al sector público, como al privado o a los ciudadanos.
Ciberdelincuentes, crimen organizado, terroristas, hacktivistas o los propio estados, son capaces de explotar las vulnerabilidades tecnológicas con el objeto de recabar información, sustraer activos de gran valor y amenazar servicios básicos para el normal funcionamiento de nuestro país.
Funciones asignadas al CCN
Elaborar y difundir normas, instrucciones, guías y recomendaciones (cuenta con más de 200 documentos en este sentido); formar al personal de la Administración; constituir el Organismo de Certificación de la seguridad de los productos y sistemas utilizados en su ámbito; valorar y acreditar la capacidad de los productos de cifra y de los sistemas que incluyan medios de cifra, para procesar, almacenar o transmitir información de forma segura, y velar por el cumplimiento de la normativa relativa a la protección de la información clasificada, son algunas de las funciones asignadas al CCN. Junto a ellas, el establecimiento de las necesarias relaciones y firma de acuerdos pertinentes con organizaciones similares de otros países y, a través del CCN-CERT, contribuir a la mejora de la ciberseguridad en España, con responsabilidad en los ciberataques sobresistemas clasificados y sobre sistemas de la Administración y de empresas y organizaciones de interés estratégico nacional. De hecho, en el año 2013, el CERT Gubernamental español gestionó 7.263 ciberincidentes (un 82% más que el ejercicio anterior) y notificó más de 11.370 vulnerabilidades de hardware y software.
