• Criterios comunes
• Criterios Comunes en 2026: Cómo la certificación de seguridad global se adapta a las amenazas cibernéticas modernas

Criterios Comunes en 2026: Cómo la certificación de seguridad global se adapta a las amenazas cibernéticas modernas

Criterio Común en 2026: Cómo se adapta la certificación de seguridad global a las ciberamenazas modernas

Common Criteria es uno de esos estándares que se describe como "ampliamente reconocido" tan a menudo que la frase ha dejado de significar mucho. Pero el reconocimiento es real: 31 países han firmado el CCRA (Arreglo de Reconocimiento Común Critería), y un certificado CC emitido bajo un esquema participante es aceptado en todos los demás sin volver a probar. Para un vendedor que vende productos de seguridad a nivel internacional, esto es realmente útil.

La pregunta que vale la pena hacer en 2026 es si el proceso en sí ha seguido el ritmo del entorno de amenaza al que se supone que debe hacer frente.

Qué CC realmente evalúa

Common Criteria, formalmente estandarizado como ISO/IEC 15408, no certifica que un producto es "seguro". Un certificado CC dice que funciones de seguridad específicas, definidas en un objetivo de seguridad, han sido evaluados independientemente contra los requisitos de garantía definidos a un nivel de rigor especificado.

Esa distinción importa más ahora que hace cinco años. La metodología de evaluación de CC representa a los actores de la amenaza actual a través del análisis potencial de ataque: los evaluadores no sólo comprueban que existen controles, evalúan si un atacante realista con las habilidades, conocimientos y recursos pertinentes podría derrotarlos. La profundidad de ese análisis es lo que separa EAL3 del EAL6. En 2026, con marcos difusos, herramientas de canal lateral y descubrimiento de vulnerabilidades asistidas por AI, todo lo que disminuye la barra para atacantes moderadamente capaces, esa profundidad tiene más peso de lo que solía.

Los niveles EAL en términos prácticos

Los niveles de garantía de evaluación van desde EAL1 hasta EAL7. La mayoría de los productos comerciales se sientan entre EAL2 y EAL4+. Aquí está lo que esos números representan realmente:

• EAL1 al EAL3: Limitado a moderar las pruebas independientes. No se requiere revisión del código fuente. En el marco de la EUCC, esta gama se asigna a un seguro substancial.

• EAL4: Donde aterrizan productos de seguridad más graves. Requiere análisis de vulnerabilidad completo en AVA_VAN. y pruebas independientes de penetración contra un atacante con potencial de ataque moderado. La mayoría de las certificaciones inteligentes y HSM se sientan aquí o arriba.

• EAL5 a EAL7: Modelos de diseño formal, controles de desarrollo estrictos y evaluación contra el potencial de alto ataque. Largo, costoso y casi exclusivamente utilizado en contextos gubernamentales o de defensa.

Escoger el nivel incorrecto es un error común y costoso. Como se explica en nuestro artículo Entendiendo los Niveles de Garantía EUCC: Qué significan realmente "Sustancial" y "Alto" para la seguridad ICT, sobredimensionar el nivel Alto cuando el Sustancial se ajusta al perfil de riesgo, desperdicia recursos. Subestimar el nivel Sustancial cuando un producto maneja funciones críticas crea un vacío de certificación que se evidenciará durante la vigilancia del mercado.

Fuente: Magnífica

Donde CC se encuentra en el entorno de certificación

El CC no existe solo. En Europa, el EUCC introdujo CC en la legislación de la UE en febrero de 2025. Productos certificados en el nivel Substantial (EAL1 to EAL3, con AVA_VAN.1 o AVA_VAN.2) o de alto nivel (EAL4 to EAL7, con AVA_VAN. o superior) se benefician de una presunción de conformidad con los requisitos . Este vínculo hace que la decisión sobre el nivel de garantía sea más trascendental que en el marco de los antiguos regímenes nacionales, ya que el hecho de que se equivoce afecta más que al certificado.

Fuera de Europa, la red CCRA continúa proporcionando reconocimiento internacional en Japón (JISEC), los Estados Unidos (NIAP), Canadá, Australia, Corea del Sur y otros. Un certificado, reconocido en 31 países, sigue siendo el valor práctico de la CC para los productos de seguridad comercializados internacionalmente.

El perfil de riesgo del despliegue previsto del producto debería impulsar la decisión sobre el nivel de garantía, no la ambición o las restricciones presupuestarias del vendedor. Para obtener un desglose técnico detallado de la forma en que los niveles de garantía EUCC se asignan a los requisitos de la CAC. vea nuestro artículo Mapeando EUCC a los Criterios Comunes: Una visión técnica de los niveles de garantía y los requisitos de evaluación.

El ciclo de vida de la certificación y lo que CC2022 cambió

C2022 (que reemplazó a CCv3.1 Rev 5) reforzó los requisitos de ciclo de vida. La evidencia de ciclo de vida ahora incluye documentación de procesos de gestión de parches, procedimientos de revelación de vulnerabilidades y prácticas de gestión de configuración. Un evaluador revisará un producto en EAL4 examinará si el desarrollador tiene procesos creíbles para identificar y responder a vulnerabilidades poscertificadas, no sólo si la versión actual pasa a pruebas.

Un certificado CC dice que el producto cumplió con los requisitos de garantía en el momento de la evaluación. Vendedores que tratan el certificado como el final del trabajo de seguridad, en lugar de un hito en un proceso en curso, están malinterpretando lo que han logrado. Un producto construido con seguridad como restricción de diseño tiende a producir evidencia de evaluación más limpia, cronogramas más cortos, y respuestas más defendibles cuando los evaluadores sondean para detectar vulnerabilidades residuales. Tal y como se cubre en nuestro artículo Implementando EUCC: Qué alta fiabilidad de certificación requiere más allá de los criterios tradicionales comunes aproximados, el cambio a los requisitos del ciclo de vida CC2022 es uno de los cambios prácticos más significativos para los equipos que se someten a la certificación en la actualidad.

Lo que realmente debería hacer el equipo de producto

La pregunta más común de los equipos que empiezan la certificación CC es alguna versión de: "¿Qué EAL necesitamos?" Este es normalmente el punto de partida equivocado. Comience con el uso previsto del producto y el perfil de amenaza de ese contexto de despliegue. ¿Qué tipo de atacante es realista?¿Qué especifica el requisito de contratación pública o el marco reglamentario?Estas respuestas limitan rápidamente la decisión de la EAL.

La calidad de la documentación marca la mayor diferencia práctica. El Objetivo de Seguridad tiene que describir con precisión lo que el producto dice resistir. La documentación de diseño tiene que ser completa e internamente coherente. Las lagunas producen resultados de evaluación que requieren un nuevo trabajo y la reelaboración amplía las líneas de tiempo. El trabajo de pre-evaluación con un laboratorio experimentado superpone esas lagunas antes de que el reloj formal comience a funcionar.

Cómo QIMA CCLab puede ayudarte a alcanzar tus metas

CCLab es un centro acreditado de evaluación de la seguridad de TI (ITSEF) que opera bajo TrustCB en el esquema EUCC. Llevamos realizando evaluaciones de Criterios Comunes desde 2013, convirtiéndonos en el primer laboratorio acreditado de CC en Europa Oriental y el único laboratorio de CC de Hungría.

• Evaluación de criterios comunes: proyectos de evaluación EAL4+ completados en un plazo de cuatro meses utilizando nuestra metodología ágil. Los servicios de preevaluación también están disponibles para identificar las lagunas de documentación y diseño antes de que comience la evaluación formal.

• Consulta de Criterios Comunes: Ayudamos a los equipos de productos a construir el Objetivo de Seguridad, diseñar evidencias, documentación de prueba, y materiales de gestión de los ciclos de vida necesarios para la evaluación, tanto a través de las certificaciones de sistemas nacionales EUCC como CCRA.

• Evaluación ciberseguridad: Para equipos que aún no se encuentran en la fase de certificación CC. ofrecemos pruebas de penetración y evaluación de vulnerabilidades basadas en la misma metodología basada en CC, cubriendo hardware, software y firmware.

FAQ

¿Qué son los Criterios Comunes?

Los Criterios Comunes (CC) son una norma internacional para evaluar las propiedades de seguridad de los productos y sistemas de TI, publicados formalmente como ISO/IEC 15408. Define un marco estructurado para especificar los requisitos de seguridad. esboza la metodología para evaluar si se cumplen esos requisitos y establece reglas para el exceso de estas evaluaciones. Los gobiernos y las organizaciones de todo el mundo utilizan el CC para evaluar y certificar la seguridad de los productos de tecnología de la información. En muchos casos, el cumplimiento de los criterios comunes es un requisito previo para la recuperación.

¿Quién reconoce certificados CC?

El marco de reconocimiento mutuo más ampliamente adoptado es el Acuerdo Común de Reconocimiento de Criterios (CCRA), con los signatarios incluyendo Australia, entre otros. Canadá, Francia, Alemania, Japón, la República de Corea, los Países Bajos, el Reino Unido, los Estados Unidos y muchos otros. Dentro de Europa, el EUCC proporciona un marco de certificación basado en la CC en toda la UE en virtud de la Ley de Ciberseguridad de la UE, que armonizarán y sustituirán determinadas disposiciones nacionales en todos los Estados miembros de la UE.

¿Qué es el proceso de evaluación de CC?

El vendedor o patrocinador participa en un laboratorio acreditado y presenta el producto y las pruebas asociadas para su evaluación. El laboratorio realiza la evaluación e informa de los resultados al sistema; la evaluación es iterativa y el proveedor puede abordar los resultados durante el proceso. El esquema (organismo de certificación) emite certificados CC y realiza el exceso del laboratorio. Cada plan tiene sus propias políticas sobre cómo se aplica la CC y qué productos pueden ser aceptados.

¿Qué es un nivel de garantía de evaluación?

Un Nivel de Seguro de Evaluación (EAL) es uno de varios conjuntos predefinidos de requisitos de seguro que van desde EAL1 (Functionally Tested) hasta EAL7 (Diseño y Pruebas Formalmente Verificadas). Un perfil de protección o objetivo de seguridad puede hacer referencia a un EAL, o describa alternativamente un paquete de seguro personalizado adaptado a requisitos específicos en lugar de usar un EAL predefinido.

¿Cuánto tiempo tarda la evaluación?

Un proyecto de evaluación CC suele durar varios meses, pero la duración real depende de muchos factores, incluyendo la complejidad del producto, reclamaciones de garantía, y la exhaustividad de la documentación del producto. Un proyecto de evaluación incluye preparación de productos, preparación de documentación por parte del vendedor, compromiso con un laboratorio acreditado de evaluación, actividades de evaluación de laboratorio y, finalmente, certificación por parte del organismo de certificación.

¿Qué sucede cuando cambia un producto certificado?

La certificación CC sólo se aplica a las configuraciones y versiones especificadas por el Objetivo de Seguridad certificado. Si se actualiza un producto certificado, el certificado original no se aplica automáticamente a la nueva versión. Algunos esquemas de certificación ofrecen una validez más larga con disposiciones de actualización, siempre que los cambios sean evaluados y aprobados. En la mayoría de los casos, los cambios de producto se manejan a través del proceso de Aseguramiento Continuidad, que permite cambios menores que no afecten a la seguridad sin una reevaluación completa.