Skip to main content

Common Criteria

El Common Criteria (CC), también conocido como ISO/IEC 15408, es un estándar internacional para la certificación de seguridad de productos y sistemas de tecnología de la información. En esencia, proporciona un framework estructurado para que fabricantes puedan hacer alegaciones sobre los recursos de seguridad de sus productos y para que laboratorios independientes puedan verificar si esas alegaciones son verdaderas.

Garantiza que un producto (ej: firewall, HSM, SO, etc.) fue proyectado, probado y validado contra requisitos de seguridad bien definidos. Generalmente esos productos se encuentran en algunas de las categorías que hablaremos más adelante.

Productos con CC son más confiables para ambientes críticos — algunas licitaciones públicas exigen certificación CC. Generalmente es usado en:

  • Gobierno
  • Industria militar
  • Infraestructura crítica
  • Bancos y grandes empresas que exigen productos "certificados"

Vamos a pensar en una impresora de HP que necesitamos comprar y necesita atender al CC. La certificación es concedida a un producto específico, no a la empresa HP como un todo. Y, definitivamente, no son todas las impresoras de HP (o de cualquier otra marca) las que son certificadas.

La certificación Common Criteria es un proceso caro y demorado. Por eso, las empresas certifican estratégicamente solo los modelos destinados a clientes que exigen ese nivel de garantía. Certificar una impresora doméstica aumentaría significativamente el precio del producto.

Conceptos del Common Criteria

El fabricante define un Target of Evaluation (TOE) (lo que será evaluado) y una lista de requisitos de seguridad. La evaluación es hecha en laboratorios acreditados y puede alcanzar niveles de garantía llamados de Evaluation Assurance Levels (EALs), que van de 1 a 7 que veremos más adelante.

  • Objetivo de Evaluación (Target of Evaluation - TOE): Se refiere al producto o sistema que está siendo evaluado.
  • Perfil de Protección (Protection Profile - PP): Es un documento que define un conjunto de requisitos de seguridad para una categoría específica de productos (por ejemplo, firewalls o sistemas operativos). Es independiente de un producto específico.
  • Objetivo de Seguridad (Security Target - ST): Es un documento que detalla las especificaciones de seguridad de un Objetivo de Evaluación (TOE) específico. El ST define las funcionalidades de seguridad del producto y las medidas de garantía que serán aplicadas durante la evaluación.

Categorías

  1. Sistemas Operativos (SO): Esta es una de las categorías más críticas. El SO es la base sobre la cual todas las otras aplicaciones corren, y su seguridad es primordial. La evaluación se enfoca en garantizar que el sistema operativo puede protegerse a sí mismo y a los datos que gestiona.

    • Lo que es evaluado: Control de acceso (permisos de usuario), arranque seguro (secure boot), protección de la memoria, generación de logs de auditoría, cifrado de datos (como BitLocker de Microsoft o FileVault de Apple).

  2. Dispositivos de Red y Protección de Perímetro: Esos productos son la primera línea de defensa de una red corporativa. La certificación garantiza que pueden inspeccionar el tráfico de forma confiable y aplicar las políticas de seguridad definidas.

    • Evaluado: Filtrado de paquetes, stateful inspection, creación de túneles VPN (Red Privada Virtual), detección y prevención de intrusión (IDS/IPS), y la propia seguridad de la gestión del dispositivo. Ejemplo:
      • Firewalls de Próxima Generación (NGFW): Productos de Palo Alto Networks, Check Point, Fortinet, SonicWall.
      • Routers y Switches: Equipos de Cisco y otras grandes marcas de infraestructura de red.
      • Gateways de VPN.

  3. Bases de Datos: Valida los mecanismos que protegen esos datos contra acceso no autorizado y adulteración en bases de datos como Oracle, MySQL, etc.

    • Evaluado: control de acceso granular a tablas y columnas, cifrado de datos en reposo y en tránsito, separación de privilegios (evitando que hasta el administrador de la base de datos pueda ver datos sensibles) y auditoría robusta.

  4. Hardware y Circuitos Integrados (ICs): La seguridad puede comenzar en el nivel más bajo: el silicio. La certificación aquí garantiza que el propio hardware es seguro y resistente a ataques físicos y lógicos.

    • Lo que es evaluado:
      • Resistencia a adulteración (tampering), protección de claves criptográficas almacenadas en el chip, generación de números aleatorios de alta calidad.
    • Ejemplos concretos:
      • Smart Cards: Utilizados en tarjetas de crédito con chip, tarjetas de identificación gubernamental y tokens de autenticación.
      • Módulos de Seguridad de Hardware (HSMs): Dispositivos que protegen y gestionan claves digitales para operaciones criptográficas críticas, esenciales en bancos y autoridades certificadoras.
      • Procesadores Seguros: Como el Apple T2 Security Chip o el Secure Enclave, que crean un área protegida dentro del procesador principal.
      • Trusted Platform Modules (TPMs): Chips dedicados a realizar operaciones de seguridad.

  5. Movilidad y Dispositivos Multifuncionales: Con el aumento del trabajo remoto y de la conectividad, la seguridad de dispositivos que antes eran simples se volvió crucial.

Lo que es evaluado: Separación segura entre datos corporativos y personales (contenedorización), seguridad de la comunicación inalámbrica (Wi-Fi, Bluetooth), protección de datos en el dispositivo (cifrado), y gestión segura de impresión en dispositivos multifuncionales. Ejemplos: Impresoras, escáneres, smartphones.

Niveles de Garantía de Evaluación (Evaluation Assurance Levels - EALs)

El Common Criteria utiliza los Niveles de Garantía de Evaluación (EALs) para indicar el grado de rigor y profundidad de la evaluación de seguridad. Existen siete niveles, siendo el EAL1 el más básico y el EAL7 el más riguroso:

  • EAL1: Funcionalmente Probado. Adecuado para situaciones donde hay alguna confianza en la operación correcta, pero las amenazas a la seguridad no son consideradas serias.
  • EAL2: Estructuralmente Probado. Exige un análisis del proyecto del producto y de los resultados de las pruebas del desarrollador.
  • EAL3: Metódicamente Probado y Verificado. La evaluación va más allá de las pruebas y verifica el proceso de desarrollo, incluyendo la gestión de configuración y los procedimientos de entrega segura.
  • EAL4: Metódicamente Proyectado, Probado y Revisado. Este es el nivel más alto que es económicamente viable para aplicar en un producto ya existente. El análisis de vulnerabilidades es más profundo.
  • EAL5: Semiformalmente Proyectado y Probado. Requiere un enfoque de proyecto semiformal y un análisis más extenso de vulnerabilidades.
  • EAL6: Proyecto Semiformalmente Verificado y Probado. Añade un análisis de proyecto más riguroso y una prueba sistemática completa de las funcionalidades de seguridad.
  • EAL7: Proyecto Formalmente Verificado y Probado. Es el nivel más alto y exige una verificación formal del proyecto, además de pruebas extensivas. Es generalmente aplicado en productos para ambientes de altísimo riesgo.

Es importante notar que un EAL más alto no significa necesariamente que un producto es "más seguro", sino que sus alegaciones de seguridad fueron probadas de forma más rigurosa. La elección del nivel de EAL apropiado depende de las necesidades de seguridad del ambiente en que el producto será utilizado.