- Oficina Nacional de Seguridad
- Información clasificada
- Informe de comprometimiento
- Medidas adoptadas
- Pérdida, robo o espionaje
- Aviso a otros órganos
- Normas para proteger la información clasificada
- “Informar inmediatamente”
- Seguridad y contrainteligencia
- Sospechas de espionaje
- Personal desleal
- Las investigaciones se almacenan tres años
El Centro Nacional de Inteligencia destapó hace unos meses uno de los agujeros de seguridad más graves -que se haya conocido- en la historia reciente del servicio.
El Confidencial.com reveló que un juzgado de Madrid estaba investigando a dos miembros del CNI que están acusados de haber entregado información clasificada a la inteligencia de Estados Unidos.
El mismo diario apuntó que el espía de mayor rango, que continuaba en la cárcel, era experto en Rusia, y que se les investiga por haber filtrado “datos de carácter operativo clasificados con el máximo nivel de secreto”.
Las primeras sospechas surgieron en el CNI cuando se detectó que consultaban o accedían a información que no estaba estrictamente relacionada con su trabajo diario en el centro. A raíz de esos indicios obtenidos por los controles internos, se abrió una investigación que desembocó en una denuncia ante la Fiscalía, y en la detención de los dos agentes sospechosos.
Oficina Nacional de Seguridad
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia establece en el artículo 4. f) que una de las misiones del CNI es, precisamente, “velar por el cumplimiento de la normativa relativa a la protección de la información clasificada”, no sólo la suya, sino la de toda la administración.
Para ello existe desde 1983 la Oficina Nacional de Seguridad (ONS). Es el órgano de trabajo de la directora del CNI en su función de Autoridad Delegada para la Seguridad de la Información Clasificada originada por la OTAN, la UE y la Agencia Espacial Europea.
Tiene la misión de proteger la información clasificada mediante la habilitación de personas, empresas y organismos y la acreditación de sistemas TIC [tecnologías de la información y la comunicación] en los que se maneja dicha información.
Información clasificada
En general, se encarga de vigilar el cumplimiento de la normativa relativa a la protección de la información clasificada, tanto nacional como la entregada a la administración o a las empresas en virtud de tratados o acuerdos internacionales suscritos por España.
Cuando un órgano de la administración detecta una fuga de información clasificada, como le ha ocurrido al CNI en el caso de los dos espías que presuntamente filtraban a Estados Unidos, debe ponerlo en conocimiento de la Oficina Nacional de Seguridad.
Informe de comprometimiento
Personas con experiencia en el manejo de información clasificada explican a Confidencial Digital que, ante este tipo de situaciones, el órgano que ha sufrido la fuga de información debe elevar a la Oficina Nacional de Seguridad lo que se denomina “informe de comprometimiento”.
En ese informe (cuya plantilla se puede consultar pinchando aquí), el órgano de la administración afectado por ese agujero de seguridad debe relatar con el máximo detalle posible lo sucedido.
Debe aportar la siguiente información:
— Fecha o periodo de ocurrencia del incidente.
— Fecha y lugar del descubrimiento del incidente.
— Grado de clasificación y marcas: los documentos pueden estar clasificados, de menor a mayor grado, como Difusión Limitada, Confidencial, Reservado y Secreto, llevan sellos con ese grado en varios lugares del documento.
— Descripción de las circunstancias (del incidente).
— Detallar la información posiblemente comprometida con el suficiente detalle para facilitar la valoración del daño producido o proporcionar una copia de la lista con el informe del incidente.
— En el caso de que la pérdida o compromiso esté relacionado con un documento, detallar a continuación: originador, asunto, referencia, fecha, número de copia, idioma de redacción, etc.
Medidas adoptadas
— Medidas tomadas para proteger la información o material y limitar el daño ocasionado.
— Valorar la posibilidad de que haya resultado comprometida la información clasificada: “seguro”, “probable”, “posible” o “improbable”.
— Declaración para informar si el originador ha sido informado.
— Motivos o posibles motivos del comprometimiento.
— Enumerar las medidas tomadas para impedir la repetición del compromiso.
Pérdida, robo o espionaje
Este informe de comprometimiento se debe rellenar y enviar a la Oficina Nacional de Seguridad no sólo en un caso de presunto espionaje, en el que se detecta a un funcionario accediendo a documentos clasificados y entregándoselos a una persona externa a la administración, más aún a un miembro de un servicio de inteligencia extranjero.
También se comunican otros incidentes, como puede ser que una persona que maneja información clasificada sufra la pérdida o el robo de documentos clasificados en papel, o de dispositivos electrónicos (ordenadores, teléfonos móviles, pen drive…) que contengan este tipo de documentos.
En el caso de la filtración de información clasificada a Estados Unidos por parte de dos agentes del CNI, el Centro Nacional de Inteligencia habrá tenido que informar a la Oficina Nacional de Seguridad de los datos que haya conseguido en su investigación interna, y explicar qué documentos o información obtuvieron estos espías para pasárselos a miembros de la inteligencia estadounidense, cómo accedieron a ellos, por qué motivo lo hicieron…
Si en un ataque informático, o en una pérdida accidental de un documento, puede haber dudas sobre la “posibilidad de que haya resultado comprometida la información clasificada”, en este caso parece que la respuesta (en la investigación interna, no en la instrucción judicial) es “seguro”.
El servicio también debe informar a la Oficina Nacional de Seguridad sobre las medidas que ha tomado para limitar el daño causado por la filtración, primero, y las que va a adoptar para impedir que se repita el “compromiso”, el agujero de seguridad.
Aviso a otros órganos
Tiene que aclarar, además, si ha informado a otros órganos que se puede haber visto afectados. En el informe se debe detallar el “originador” del documento o de los documentos objeto del incidente.
Puede darse el caso de que una fuga de información en un órgano de la administración provoque que escapen documentos propios de ese órgano, o que sean papeles, información, que le llegó de otro órgano.
Por poner un ejemplo, sería el caso de que los dos espías que están siendo investigados hubieran entregado a los servicios de inteligencia estadounidenses no sólo documentos propios del CNI, sino también otros que hubieran llegado al Centro desde el Ministerio de Asuntos Exteriores, desde la Policía Nacional, desde el Ministerio de Defensa, o incluso desde un servicio de inteligencia de otro país.
Si el CNI hubiera detectado ese escenario, tendría que explicitarlo en el informe de comprometimiento, donde se le pregunta “si el originador ha sido informado”: es decir, en caso de que la filtración hubiera afectado, por poner un ejemplo, a un documento clasificado que Asuntos Exteriores hubiera hecho llegar al Centro, debe informar a Exteriores de que ese documento se ha visto “comprometido”.
Normas para proteger la información clasificada
La Oficina Nacional de Seguridad dispone de unas Normas de la Autoridad Nacional para la Protección de la Información Clasificada, que desarrollan toda la legislación sobre información clasificada y los procedimientos para manejarla y protegerla.
El capítulo de ese informe dedicado al “Comprometimiento de la información clasificada” indica que “un comprometimiento (violación o fallo) de la protección de la información clasificada ocurre como resultado de una acción u omisión contraria a la normativa de seguridad, o por un fallo en los sistemas o medidas de protección, que puede suponer que aquella caiga, completa o en parte, en manos de persona no autorizada, e incluso, sin llegar a ocurrir tal cosa, que las circunstancias hayan ocasionado la simple posibilidad de que tal evento hubiera ocurrido”.
También se consideran comprometimiento de la información “los ataques contra la integridad o disponibilidad de la información clasificada, especialmente en el ámbito de los sistemas de información y comunicaciones”.
Es decir, que no sólo hay comprometimiento cuando se constata que alguien saca de un órgano de la administración un documento y lo entrega a una persona no autorizada: “Diremos que la información clasificada ha resultado comprometida cuando, como resultado de un comprometimiento de la protección, bien se ha producido una posibilidad de acceso a la misma por persona no autorizada y no puede determinarse de forma fehaciente que tal acceso no se haya producido, o bien se ha perdido el control sobre dicha información, por ejemplo por su pérdida, sustracción o indisponibilidad”.
Es decir, la mera posibilidad de que la información haya salido del círculo restringido en el que debe moverse, con determinadas medidas de seguridad, ya supone un comprometimiento.
Las Normas obligan a cualquier usuario de información clasificada a “informar inmediatamente a su oficial o responsable de seguridad, por el canal adecuado, de cualquier comprometimiento que pueda conocer”.
Ese oficial o responsable de seguridad debe adoptar de forma inmediata “las medidas necesarias en orden a restablecer la seguridad y a prevenir situaciones similares a la sucedida”.
Después, tiene que informar al responsable del organismo o entidad al que pertenece, y abrir una investigación preliminar para clarificar los hechos y responsabilidades y valorar en una primera estimación el daño potencial causado. Además, si es el caso, tiene que informar al “originador” y al propietario de la información comprometida si, como se ha explicado, no es del propio organismo, sino remitida por otro.
El comprometimiento y las primeras actuaciones debe notificarlos en el menor plazo posible a las autoridades, especialmente a la Oficina Nacional de Seguridad.
Seguridad y contrainteligencia
Cada fuga de información, cada comprometimiento, “deberá ser investigado por personal con experiencia en seguridad, en investigación y, si fuera necesario, en contrainteligencia”, esto último porque son los servicios de contrainteligencia los dedicados a luchar contra el espionaje.
Estas personas que investigan más en profundidad lo sucedido son distintas, ajenas al personal que se haya visto involucrado en la violación o fallo.
Su cometido es determinar si la información clasificada ha resultado comprometida (si ha llegado a personas no autorizadas; y “si las personas no autorizadas que hayan podido tener acceso a la información tienen una Habilitación Personal de Seguridad y son de tal fiabilidad y honradez que se puede suponer que no existe un riesgo de que se vaya a realizar un uso no autorizado de la información.
También proponen “las medidas correctivas o disciplinarias que se estiman necesarias adoptar” ante este fallo de seguridad.
Sospechas de espionaje
Todos los informes y comunicaciones relativos a comprometimientos de seguridad se canalizan a través de los canales de la estructura nacional de protección de la información clasificada, con independencia de la comunicación de dichas actuaciones a los responsables en los canales jerárquicos de mando.
El plazo para comunicar estas crisis por fugas de información, posibles o constatadas, “siempre será el más corto posible, especialmente cuando se estime que las implicaciones puedan ser más graves”.
Las normas de la Oficina Nacional de Seguridad indican que “se comunicarán de forma inmediata, antes de iniciar cualquier actuación derivada”, aquellos casos en que se determine que ha ocurrido alguno de los siguientes supuestos:
a) Información clasificada de grado Reservado o equivalente, o superior, ha resultado comprometida.
b) Hay indicios claros o sospechas fundadas de actividades de espionaje.
c) La información ha sido filtrada a la prensa u otros medios de comunicación o difusión social, o estos han accedido a ella por otros medios.
Personal desleal
Añade que “por actividades de espionaje se entenderá, en este contexto, cualquier acción desarrollada por un elemento externo o personal desleal interno, contra los intereses nacionales, con el objeto de obtener una información, o de alterar su integridad o disponibilidad, y conseguir una posición de ventaja”.
Según se ha contado en distintos medios de comunicación, los agentes del CNI que están siendo investigados en un juzgado de Madrid por entregar documentos a los servicios de inteligencia de Estados Unidos, facilitaron a esos espías estadounidenses “datos de carácter operativo clasificados con el máximo nivel de secreto”, es decir, con esa clasificación, Secreto, superior a Reservado.
Las investigaciones se almacenan tres años
En este proceso se elaboran y elevan los informes de comprometimiento, en los que se describe lo sucedido, con detalles como “fecha, o rango de fechas, del suceso, tiempo estimado o conocido de exposición al riesgo, descripción de las personas o ámbitos que han podido tener acceso no autorizado”.
Una fuga de documentos clasificados puede provocar que se elabore, no uno, sino varios informes de comprometimiento. Después del informe inicial, con los primeros datos del agujero de seguridad detectado, se pueden elevar otros que completen la denuncia con datos ya debidamente contrastados.
Se amplían también los detalles de las investigaciones y actuaciones realizadas o en curso, alcance estimado del comprometimiento, conclusiones extraídas, medidas finales adoptadas, así como cualquier otro dato pertinente al caso.
Las normas sobre información clasificada obligan a guardar durante al menos tres años los registros e informes de las actuaciones realizadas y medidas correctivas adoptadas en las investigaciones realizadas sobre cualquier violación o fallo de seguridad, para que estén disponibles ante inspecciones de seguridad futuras.