DiarioBOE
Aviso legal
Volver al listado

15/01/2026 · BOE-A-2026-904

El Centro Criptológico Nacional certifica la seguridad de un *software* crítico para comunicaciones

Una resolución oficial avala el producto «PSTgateways Framework» de Autek Ingeniería bajo el estándar internacional Common Criteria EAL4+

El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), ha emitido una resolución por la que certifica oficialmente la seguridad del producto de software «PSTgateways Framework version 4.16.8-A», desarrollado por la empresa española Autek Ingeniería, SLU. La certificación, publicada en el Boletín Oficial del Estado (BOE) el 15 de enero de 2026 pero fechada el 18 de diciembre de 2025, concede al producto el nivel de garantía de evaluación EAL4+ bajo los criterios internacionales Common Criteria, un estándar de referencia en la evaluación de la seguridad de tecnologías de la información.

La resolución, firmada por la directora del CCN, Esperanza Casteleiro Llamazares, constituye el paso final de un proceso reglado que incluye una evaluación técnica externa. Según el texto publicado, la firma Layakk Seguridad Informática, SL actuó como evaluador independiente, emitiendo un informe técnico que determinó el cumplimiento del producto con las propiedades de seguridad definidas en su Declaración de Seguridad. El CCN, tras revisar dicho informe, ha emitido su propio informe de certificación (código INF-4706), dando luz verde a la homologación.

La certificación se otorga bajo el amparo del Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado en 2007. El nivel EAL4+ (con extensiones ALC_FLR.3 y AVA_VAN.5) es considerado un nivel de garantía elevado dentro del esquema Common Criteria, e indica que el producto ha sido sometido a un análisis metodológico riguroso, un diseño verificado y pruebas de vulnerabilidad sistemáticas. Este nivel es frecuentemente requerido para productos destinados a entornos gubernamentales o que manejan información sensible.

Aunque el BOE no detalla las funcionalidades específicas del «PSTgateways Framework», su nombre sugiere que se trata de un framework o entorno de trabajo para pasarelas (gateways) relacionadas con archivos PST (formato de almacenamiento de correo de Microsoft Outlook). Su certificación implica que su arquitectura y funcionamiento han superado un escrutinio de seguridad destinado a prevenir fugas de información, accesos no autorizados y otras vulnerabilidades.

La resolución establece que la certificación, su alcance y vigencia, así como el uso de la condición de producto certificado, quedan sujetos a lo dispuesto en el reglamento mencionado. Asimismo, recuerda que tanto el Informe de Certificación del CCN como la Declaración de Seguridad del producto están disponibles para su consulta en el propio Centro Criptológico Nacional. La decisión entró en vigor el 16 de enero de 2026, al día siguiente de su publicación en el BOE.

Esta certificación tiene implicaciones significativas en el ámbito de la ciberseguridad nacional y la industria tecnológica española. Por un lado, refuerza la confianza en productos nacionales para su despliegue en infraestructuras críticas o administraciones públicas que requieren soluciones validadas. Por otro, subraya el papel del CCN como autoridad de certificación de referencia y el rigor del proceso, que descansa en evaluadores externos acreditados y en estándares internacionalmente reconocidos. Sin embargo, expertos en la materia suelen recordar que una certificación es una instantánea en el tiempo: la seguridad de un producto requiere un mantenimiento y actualizaciones constantes frente a amenazas evolutivas.

Fuentes:

  • Boletín Oficial del Estado. «Resolución 1A0/38564/2025, de 18 de diciembre, del Centro Criptológico Nacional, por la que se certifica la seguridad del producto «PSTgateways Framework version 4.16.8-A», solicitado por Autek Ingenieria, SLU.» BOE-A-2026-904. Publicado el 15/01/2026.
  • Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
  • Common Criteria Recognition Agreement (CCRA). «Common Methodology for Information Technology Security Evaluation, Version 3.1, Release 5».
Ver BOE original
© 2026 DiarioBOEArtículos generados por IA a partir de la publicación oficial del BOE