Conformidad no es seguridad: los límites reales del ENS

Conformidad no es seguridad: los límites reales del ENS ( Esquema Nacional de Seguridad)

Cada vez más empresas buscan convertirse en proveedoras de la administración pública. Para ello, un requisito clave sigue siendo obtener un Certificado de Conformidad con el Esquema Nacional de Seguridad (ENS).

En teoría, este certificado acredita que la organización dispone de medidas adecuadas para proteger sus sistemas y la información que gestiona. En la práctica, se ha convertido también en una condición de acceso al mercado, una “llave” que muchas empresas, entidades públicas y organizaciones quieren urgentemente.

Cuando el objetivo es el certificado

En niveles Medio y Alto, el proceso de certificación debería implicar una validación técnica rigurosa. Sin embargo, en muchos casos, la dinámica real se acerca más a:

  • Preparar evidencias.
  • Documentar controles.
  • Superar la auditoría.

Esto no implica necesariamente mala praxis. Pero sí abre una pregunta incómoda:

¿Estamos validando seguridad real… o conformidad suficiente?

Un ejemplo concreto: la autenticidad del correo

Para aterrizar el debate, podemos observar un control muy específico pero crítico: la protección frente a la suplantación de identidad en el correo electrónico.

El ENS, en su Anexo II , establece medidas relacionadas con:

  • La autenticidad de las comunicaciones.
  • La integridad de la información.

En el contexto email, esto se traduce habitualmente en la adopción de mecanismos como:

  • SPF
  • DKIM
  • DMARC

No porque la norma obligue explícitamente a estas tecnologías, sino porque se han convertido en el estándar de facto para reducir el riesgo de suplantación.

Análisis

Al revisar una muestra reciente de organizaciones que han obtenido certificación ENS en nivel Medio y Alto, el resultado invita a reflexionar:

  • Sólo una parte minoritaria tenía la autenticación de correo configurado para bloqueo real.
  • Varias organizaciones carecían de políticas DMARC.
  • Otras mantenían configuraciones que, en la práctica, no bloquean la suplantación.

Esto no demuestra automáticamente un incumplimiento formal, pero sí plantea una cuestión relevante:

¿Es razonable considerar adecuadamente protegido un dominio de una empresa, organización o entidad pública si se permite la suplantación sin restricciones técnicas?

Más allá de la tecnología: un problema de interpretación

El Esquema Nacional de Seguridad define objetivos de seguridad, no tecnologías concretas. Esa flexibilidad es intencionada… pero también abre la puerta a interpretaciones muy dispares.

En ese margen pueden aparecer situaciones como:

  • Controles que se consideran satisfechos con medidas indirectas.
  • Alcances de certificación que no incluyen todos los vectores relevantes.
  • Auditorías centradas en evidencia documental más que en verificación técnica profunda.

El resultado no tiene por qué ser incorrecto desde el punto de vista formal pero puede ser insuficiente desde el punto de vista operativo.

La brecha incómoda

Aquí aparece la idea central:

Es posible cumplir el ENS… y aun así mantener vectores de ataque conocidos abiertos.

Y eso genera una brecha entre:

  • La percepción de seguridad (certificado obtenido).
  • La seguridad efectiva (riesgos realmente mitigados).

En niveles Medio y Alto, esa brecha debería ser mínima, sin embargo, ciertos indicadores sugieren que no siempre es así.

Una pregunta necesaria

En la actualidad seguimos encontrando organizaciones certificadas en niveles elevados sin medidas básicas ampliamente adoptadas en el sector, la cuestión no es tanto señalar a actores concretos como revisar el enfoque:

  • ¿Están los controles alineados con el estado actual de las amenazas?.
  • ¿Se están evaluando con la profundidad técnica adecuada?.
  • ¿Incentiva el sistema la mejora real o la superación del proceso?.

Conclusión

Este análisis no pretende cuestionar a organizaciones ni a auditores de forma individual. Pretende poner el foco en algo más estructural… Si configuraciones que dejan abiertos vectores básicos pueden considerarse suficientes en procesos de certificación exigentes, el problema no es puntual, sino de cómo estamos entendiendo la conformidad.

Porque, al final, el riesgo no es suspender una auditoría…¿Verdad?

Referencias

Esquema Nacional de Seguridad

RD 311/2022

ANEXO II

Autenticidad del correo electrónico

Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web.