ComSEC
– Jul 6, 2020, 12:50 (CET)

Todo sobre COMSec, el ‘WhatsApp’ que utiliza el Gobierno de España para evitar ‘hackeos’ y espionaje

Mantener sus comunicaciones seguras es imprescindible en el siglo XXI tanto para el Gobierno de España como para cualquier Estado. Nunca se sabe quién puede estar escuchando. De ahí que desde el Centro Criptológico Nacional, en colaboración con Indra, se desarrollen herramientas para asegurar las comunicaciones telefónicas, videollamadas e intercambio de documentos a través de internet. Explicamos qué es COMSec y en qué consiste.

Bajo el acrónimo COMSec englobamos lo que se conoce en el mundillo como Seguridad de las Comunicaciones o Communications Security. Su nombre lo dice todo: que la comunicación entre sujeto A y sujeto B sea segura, es decir, que un sujeto C no pueda interceptar el mensaje entre A y B. Y es que las comunicaciones actuales entre según quién son de vital importancia para la política, la economía o la geoestrategia. De ahí que empresas, profesionales e instituciones públicas de todo el mundo se preocupen por que sus mensajes y comunicaciones se mantengan seguros pese a posibles interferencias por parte de gobiernos extranjeros, empresas rivales o grupos de ciberdelincuencia.

Curiosamente, COMSec también da nombre a uno de los pilares de las comunicaciones seguras que emplea el Gobierno de España para uso interno. Lo gestiona Indra, el gigante español de consultoría y tecnología, con el beneplácito del Centro Criptológico Nacional.

El propósito de COMSec es cifrar las comunicaciones, tanto de voz como de vídeo, mensajes o archivos. Y algunos de sus ingredientes te sonarán si empleas WhatsApp o similares, como es el cifrado extremo a extremo. En palabras de la propia Indra, COMSec es compatible con iPhone, Android y Windows y funciona en cualquier tipo de red de comunicaciones: 3G, 4G, 5G, WiFi, LAN o satélite. Pero por razones obvias, tú y yo no tenemos acceso a esta herramienta, ya que está pensada para proteger comunicaciones seguras como las que se pueden dar entre un Secretario de Estado y un Ministro o entre miembros de un mismo Ministerio.

Comunicaciones seguras e inviolables

El proyecto se presentó en noviembre del año pasado. El encargado fue el propio Centro Criptológico Nacional, que explicó las tres partes de la protección de comunicaciones que ofrece COMSec. En primer lugar, el uso de teléfonos móviles Samsung (modelos Galaxy S10 o Tab S4). ¿El motivo de usar esos modelos? Según el CCN, cumplen con los requisitos del Esquema Nacional de Seguridad, un galimatías en el que se tienen en cuenta parámetros como la disponibilidad, la integridad, la confidencialidad, autenticidad y la trazabilidad.

El segundo componente de COMSec es la herramienta Mobile Iron. Ésta permite gestionar dispositivos móviles con mayor seguridad. Y el tercer componente, la aplicación en sí misma, también llamada COMSec. Según sus responsables, es “capaz de garantizar la seguridad hasta un nivel ENS Alto, sin restricción en el canal de comunicación o necesidad de VPN. Es la única aplicación de voz y mensajería instantánea incluida en el catálogo del CCN”.

Así pues, que sea la única aplicación validada por el CCN hace inevitable que sea la apuesta del Gobierno de España por mantener sus comunicaciones seguras. Caso aparte es que políticos de distintos ámbitos empleen herramientas conocidas por todos como WhatsApp, Telegram o Signal. Pero a nivel interno, los miembros del Gobierno deben emplear por defecto la aplicación de comunicaciones conocida como COMSec.

COMSec al detalle

Según indica Indra en su página oficial, “COMSec proporciona servicios cifrados de voz, mensajería instantánea y vídeo sobre teléfonos móviles y PC, empleando cualquier red celular, inalámbrica o satelital a nivel mundial”. Pero al cifrado extremo a extremo hay que añadir otros elementos de seguridad. Por ejemplo, que para las comunicaciones no haya “necesidad de número telefónico ni cruce con contactos personales”. Es más, en sus especificaciones también se indica que COMSec ofrece un “despliegue de agenda en tiempo real, sin almacenamiento local”.

Como decía antes, la última versión de COMSec se presentó en noviembre de 2019. Sin embargo, no es la primera vez que el Gobierno de España emplea este tipo de herramientas. Con el mismo nombre de COMSec, a finales de 2016 ya se presentó una nueva versión o actualización. Y ya en noviembre de 2011 se presentaba un sistema similar con el nombre de COMSec-VIP, también gestionado por Indra y compatible con iOS, Android, Windows Phone y Windows.

Pero volvamos al COMSec más actual, al que usan estos días ministros, secretarios generales y demás miembros del Gobierno. La elección de esta solución se produjo en enero de 2019. Según indica la propia nota de prensa, “COMSec se ha convertido en la solución de comunicaciones seguras de la Administración, tras haber sido seleccionada en todas las licitaciones en las que ha competido en los últimos tres años”.

En la nota también dice que COMSec “está instalada a día de hoy en los terminales de más de 12.000 profesionales, tanto de la Administración pública como de distintas empresas privadas”. Más detalles extraídos de la nota de prensa: “Permite establecer multiconferencias y videollamadas y crear salas de comunicaciones para mantener reuniones seguras. Puede utilizar redes móviles, wifi o comunicaciones satelitales y es compatible con el resto de aplicaciones del móvil, como la agenda, cámara o email”.

¿Cómo funciona COMSec?

Qué sería de una herramienta sin su correspondiente manual. En esta ocasión, el Centro Criptológico Nacional publicó en noviembre de 2019 una guía para facilitar el uso de COMSec. Disponible en este enlace, la guía de 36 páginas en formato PDF se puede consultar libremente. Eso sí, como comenté antes, no puedes acceder a la herramienta en cuestión a no ser que la haya contratado tu empresa o que trabajes en la Administración española.

Según explica la guía, COMSec (en aquel entonces en su versión 3.21) funciona mediante una red propia formada por servidores de comunicaciones IMS, acrónimo de Subsistema Multimedia IP. Estos servidores se conectan con los smartphones, tablets y computadoras que deben hacer uso de COMSec mediante una red IP privada de intermediaria.

El resultado es que el dispositivo que emplea el funcionario en cuestión es sólo el cliente. La agenda de contactos, los mensajes y la información necesaria para realizar una llamada o videollamada o para enviar mensajes o archivos, todo ello está en los servidores de bases de datos IMS.

La seguridad ante todo

Por lo demás, COMSec emplea autenticación TLS 1.2, cifrado AES256, contraseñas de un solo uso (OTP), certificados digitales X.509, credenciales de acceso a la aplicación y contraseña adicional de los datos de la aplicación… Es decir, el usuario tiene una primera contraseña que cambia cada 7 días.

Luego tiene un usuario y contraseña que se cambia cada 90 días. También hay contraseña para acceder a la copia de seguridad de la base de datos de un solo uso, otra para administrar el servidor IMS que caduca a los 90 días y certificados para el servidor y certificado de CA. El primero caduca a los 5 años como máximo y el segundo a los 10 años.

La guía del Centro Criptológico Nacional explica también qué hacer si el usuario considera que su dispositivo se ha visto comprometido. Además, da instrucciones sobre cómo destruirlo, cómo hacer lo propio con el servidor de comunicaciones, cómo funciona cada característica, su configuración, etc.

Encontrarás más información sobre COMSec en su página oficial de Indra y en su guía en PDF realizada por el CCN.