España certifica oficialmente la seguridad del sistema de autenticación de Apple Pay para el iPhone SE

El Centro Criptológico Nacional (CCN), organismo dependiente del Ministerio de Defensa, ha certificado oficialmente la seguridad del sistema de autenticación fuerte utilizado por Apple Pay en el modelo iPhone SE de tercera generación. La resolución, publicada en el Boletín Oficial del Estado (BOE) el 15 de enero de 2026 pero fechada el 5 de diciembre de 2025, supone el reconocimiento administrativo de que el producto cumple con los requisitos de seguridad definidos en la normativa española. Este procedimiento se enmarca en las competencias del CCN para la evaluación y certificación de la seguridad de las Tecnologías de la Información.

La certificación es específica para la funcionalidad "Strong Customer Authentication for Apple Pay" (Autenticación Reforzada del Cliente para Apple Pay) ejecutándose en el hardware A15 Bionic y con el sistema operativo iOS 18.4. El aval no cubre otros modelos de iPhone ni versiones diferentes del software. Para emitir su dictamen, el CCN se basó en la Declaración de Seguridad presentada por Apple Inc. y, de manera crucial, en un Informe Técnico de Evaluación independiente realizado por el laboratorio Applus Laboratories (código EXT-9844). Este informe verificó el cumplimiento del producto con los criterios de las normas internacionales "CC/CEM:2022 Release 1".

La resolución, firmada por la directora del CCN, Esperanza Casteleiro Llamazares, concede al producto un nivel de garantía de evaluación EAL2+, con componentes específicos añadidos (ADV_FSP.3 y ALC_FLR.3). En el esquema de certificación Common Criteria (CC), en el que se basan las normas aplicadas, el nivel EAL2 (Evaluation Assurance Level 2) es un grado estructurado pero no el más alto de la escala, que llega hasta el EAL7. Este nivel implica que la evaluación se ha realizado con una profundidad acorde a un diseño y pruebas estructurados, ofreciendo un grado moderado de seguridad independientemente verificado. Los componentes añadidos (+) hacen referencia a especificaciones formales de subconjuntos de seguridad y a mecanismos de gestión de fallos.

La certificación tiene carácter vinculante y sujeta al producto al Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por la Orden PRE/2740/2007. Esto implica que Apple deberá mantener las condiciones bajo las cuales se otorgó el certificado y que el uso del sello de "producto certificado" estará regulado. El alcance de la certificación se limita estrictamente a lo descrito en la Declaración de Seguridad referenciada. La resolución entró en vigor el 16 de enero de 2026, al día siguiente de su publicación en el BOE.

Este tipo de certificaciones, aunque técnicas y específicas, tienen implicaciones en el ámbito de la confianza digital y la ciber seguridad. Para los usuarios, constituye un aval institucional sobre la robustez de los mecanismos que protegen sus pagos móviles en un dispositivo determinado. Para la administración y el sector tecnológico, refleja la aplicación de un marco normativo nacional que busca establecer estándares de seguridad evaluados de forma independiente para productos TIC críticos, en un contexto donde la autenticación y los pagos electrónicos son pilares de la economía digital. La publicación en el BOE garantiza la transparencia y oficialidad del acto administrativo.

Fuentes

• Resolución 1A0/38565/2025, de 5 de diciembre, del Centro Criptológico Nacional. Publicada en el Boletín Oficial del Estado número 13, de 15 de enero de 2026, páginas 6799 a 6800. BOE-A-2026-902.
• Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
• Ley 11/2002, reguladora del Centro Nacional de Inteligencia.
• Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.