Los equipos que no se conectan con Internet prácticamente van en retirada, y de aquí a algunos años más, todo estará conectado entre sí. Es por esta razón que es necesario que los dispositivos tengan certificaciones que validen su seguridad digital, como es el caso del estándar internacional llamado Common Criteria.
Esta normativa sistema permite evaluar si un equipo, como un teléfono, un televisor o un dispositivo conectado, incorpora medidas reales de protección. No se trata de promesas, sino de pruebas técnicas realizadas por laboratorios independientes, que validan lo que propone la norma.
En la medida que la conectividad aumenta, los nuevos dispositivos se vuelven más “inteligentes”, y por ello manejan más información personal, y al estar enlazado a internet, siempre habrá una probabilidad de que sean objetivo de un ciberataque.
Es por esta razón que los dispositivos en manos de empresas y gobiernos deben estar certificados, de modo que acredite correctamente su nivel de seguridad, según su criticidad, tal como lo hace Common Criteria, con sus niveles ELA (Evaluation Assurance Level).
¿Qué es el estándar Common Criteria?
El estándar Common Criteria, también conocido como ISO/IEC 15408, es una normativa aceptada internacionalmente creada para abordar el desafío de la seguridad en dispositivos tecnológicos.
Esta normativa fue creada para ofrecer una forma objetiva y comprobable de determinar si un producto tecnológico incorpora medidas reales de seguridad. Con ella se pueden evaluar:
- Sistemas operativos
- Software
- Dispositivos físicos, como routers, servidores o equipos electrónicos.
Common Criteria va más allá de la simple explicación del fabricante, cada pieza declarada debe ser sometida a rigurosas pruebas de laboratorio independientes, que se encuentran acreditados por organismos nacionales.
¿Cómo funciona el proceso?
- El fabricante define las funciones de seguridad que ofrece su producto.
- Esa información se documenta formalmente en el llamado Security Target (ST).
- Los evaluadores independientes analizan si esas funciones fueron implementadas correctamente.
- También comprueban si esas medidas de seguridad resisten posibles ataques dentro de los parámetros declarados.
- Todo el proceso sigue una metodología técnica reconocida internacionalmente.
- Al superar la evaluación, el producto puede obtener la certificación Common Criteria.
¿Qué significa EAL?
Dentro de Common Criteria, se utiliza la escala conocida como EAL, o Evaluation Assurance Level. Este indicador señala cuán profunda y rigurosa ha sido la evaluación de un producto tecnológico en materia de seguridad.
La escala EAL va de EAL1 a EAL7, donde cada nivel representa un mayor grado de análisis y verificación, es decir:
- Un EAL1 implica pruebas básicas para confirmar que las funciones declaradas por el fabricante funcionan correctamente.
- Un EAL7 exige un proceso de verificación formal y matemático, reservado a productos que se utilizan en entornos de muy alto riesgo, como defensa, críticos, militares o inteligencia.
Es importante entender que un mayor nivel EAL no transforma un producto en invulnerable. Lo que sí se sabe es que la certificación garantiza que las medidas de protección declaradas por el fabricante,:
- Fueron implementadas correctamente, y
- Fueron sometidas a un proceso de evaluación mucho más exhaustivo.
Nótese que n sectores como banca, telecomunicaciones o industria, es frecuente que los dispositivos o sistemas cuenten con un nivel EAL medio o alto. Esto permite garantizar que cumplen con estándares internacionales de seguridad, extremadamente críticos en entornos con amenazas reales.
Aclaración sobre EAL5+ y EAL6+
Los niveles EAL5+ o EAL6+ son extensiones que indican que, además de cumplir con los requisitos base de EAL5 o EAL6, el producto incorpora requisitos adicionales o pruebas específicas que elevan aún más la confianza, sin llegar formalmente al siguiente nivel completo.
Estos niveles suelen aplicarse en productos donde la seguridad debe ser muy alta, pero no se requiere o no es viable cumplir con todos los costos y exigencias de un EAL6 o EAL7 completo.
¿Por qué es relevante para el usuario o comprador que un producto esté certificado bajo Common Criteria?
La certificación Common Criteria no está pensada solo para expertos en ciberseguridad. Es una herramienta que permite a gobiernos, empresas y compradores en general contar con un criterio técnico y verificable al momento de comprar productos tecnológicos.
Evaluar un dispositivo bajo este estándar aporta confianza objetiva en que sus funciones de seguridad fueron implementadas correctamente.
Las principales razones por las que esta certificación es relevante son:
🔒 Aporta confianza independiente sobre las funciones de seguridad declaradas.
🏛️ Es un requisito en muchos entornos gubernamentales o de infraestructura crítica.
🛡️ Ofrece un nivel de aseguramiento ajustado al tipo de producto y al riesgo previsto.
💡 Permite comparar diferentes productos usando un lenguaje técnico común.
⚠️ Reduce el riesgo de adquirir productos con debilidades de seguridad no declaradas.
📄 Sirve como respaldo técnico en procesos de compra responsable o diligencia debida.
Algunas empresas certificadas con este estándar
Esta certificación no se otorga a una marca completa, sino a modelos concretos que han superado el proceso de evaluación.
Una de las herramientas de seguridad más conocidas por usuarios es Knox de Samsung. Junto a Knox Vault y Matrix, hoy cobran mucha relevancia en el ecosistema IoT, junto a la nueva línea de TVs, Vision AI de la firma, que estarán presentes en el LATAM Visual Display Seminar.
Fuentes: 1 / 2 / 3 / 4
