CERTs en España: INCIBE-CERT, CCN-CERT, BCSC y Estructura Nacional

La estructura de respuesta a incidentes en España

España tiene una estructura de CERTs y CSIRTs que, a diferencia de otros paises europeos donde existe un unico CERT nacional, se organiza en tres pilares diferenciados por competencia. Cada pilar cubre un ambito distinto: sector privado y ciudadanos, sector publico y administraciones, y defensa nacional. A esto se suman CERTs autonomicos y sectoriales que completan el ecosistema.

Entender esta estructura no es opcional para quien trabaja en ciberseguridad en España. La notificacion de incidentes, el acceso a herramientas gratuitas, las guias de cumplimiento ENS y la coordinacion con las fuerzas de seguridad dependen de saber a quien dirigirse en cada caso.

Estructura nacional: los tres CERTs de referencia

El Real Decreto-ley 12/2018 (transposicion de la Directiva NIS) y su desarrollo posterior establecen tres CSIRTs de referencia a nivel nacional:

CERT	Adscripcion	Publico objetivo	Normativa
INCIBE-CERT	Ministerio de Transformacion Digital (INCIBE)	Ciudadanos, empresas privadas, universidades, operadores esenciales privados	RDL 12/2018, art. 11
CCN-CERT	Centro Criptologico Nacional (CNI)	Administraciones publicas, sector publico, ENS	RD 311/2022 (ENS), Ley 11/2002 (CNI)
ESPDEF-CERT	Mando Conjunto del Ciberespacio (MCCE)	Ministerio de Defensa, Fuerzas Armadas, infraestructuras de defensa	Orden DEF/166/2015

Ademas de estos tres, existen CERTs autonomicos (BCSC, CESICAT, CSIRT-CV, AndaluciaCERT) que complementan la capacidad de respuesta en sus territorios, y CERTs sectoriales como el CERT del Banco de España para el sector financiero.

Diagrama de competencias

┌─────────────────────────────────────────────────────────┐
│                  Consejo Nacional de                     │
│                  Ciberseguridad (CNCS)                   │
│               Coordinacion estrategica                   │
└───────────┬──────────────┬──────────────┬───────────────┘
            │              │              │
    ┌───────▼──────┐ ┌─────▼──────┐ ┌─────▼──────────┐
    │  INCIBE-CERT │ │  CCN-CERT  │ │  ESPDEF-CERT   │
    │  Privado +   │ │  Publico + │ │  Defensa       │
    │  ciudadanos  │ │  AAPP      │ │  FFAA          │
    └───────┬──────┘ └─────┬──────┘ └────────────────┘
            │              │
    ┌───────▼──────────────▼──────────────────────────┐
    │            CERTs autonomicos                     │
    │  BCSC · CESICAT · CSIRT-CV · AndaluciaCERT      │
    └─────────────────────────────────────────────────┘

INCIBE-CERT: el CERT para empresas y ciudadanos

El Instituto Nacional de Ciberseguridad (INCIBE), con sede en Leon, opera INCIBE-CERT como el CSIRT de referencia para el sector privado español. Es el punto de contacto para empresas, autonomos, universidades y ciudadanos que sufren incidentes de ciberseguridad.

Publico objetivo

• Empresas de cualquier tamaño (desde PYME hasta gran empresa)
• Autonomos y profesionales independientes
• Ciudadanos e internautas
• Universidades y centros de investigacion
• Operadores de servicios esenciales del sector privado (segun NIS2)
• Proveedores de servicios digitales

Servicios principales

Respuesta a incidentes. INCIBE-CERT gestiona incidentes reportados por su publico objetivo. En 2024, gestiono mas de 83.000 incidentes de ciberseguridad, de los cuales aproximadamente el 35% afectaron a empresas y el resto a ciudadanos. Los incidentes mas frecuentes fueron phishing, fraude online, y malware.

Avisos de seguridad. Publica alertas tecnicas sobre vulnerabilidades y amenazas activas, categorizadas por criticidad y sector afectado. Los avisos se distribuyen por correo electronico, RSS y redes sociales.

Linea 017. Numero de telefono gratuito y confidencial de ayuda en ciberseguridad, operativo de 08:00 a 23:00 los 365 dias del año. Atiende a ciudadanos, empresas y menores. Tambien accesible por WhatsApp (900 116 117) y Telegram (@INCIBE017).

AntiBotNet. Servicio gratuito que permite a los usuarios comprobar si su conexion a Internet muestra indicios de estar asociada a una botnet. INCIBE gestiona la informacion recibida de operadores y fuentes internacionales para notificar a los ISP españoles las IPs comprometidas.

Ejercicios CyberEx. Ciberejercicios nacionales que simulan incidentes a gran escala, dirigidos a operadores de servicios esenciales para evaluar y mejorar su capacidad de respuesta.

Contacto y notificacion

• Web: https://www.incibe.es
• Incidentes: [email protected]
• Telefono 017 (gratuito)
• Formulario web de reporte de incidentes en la web de INCIBE

CCN-CERT: el CERT del sector publico y la autoridad ENS

El Centro Criptologico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), opera CCN-CERT como el CSIRT de referencia para el sector publico español. Es el mas relevante para profesionales de ciberseguridad que trabajan con administraciones publicas o en entornos sujetos al Esquema Nacional de Seguridad.

Publico objetivo

• Administracion General del Estado (AGE)
• Comunidades Autonomas
• Entidades Locales (ayuntamientos, diputaciones)
• Universidades publicas
• Empresas publicas y organismos dependientes
• Cualquier entidad sujeta al ENS (RD 311/2022)

Competencias ENS

El CCN-CERT es la autoridad de certificacion del Esquema Nacional de Seguridad. Esto implica:

• Publicacion de las guias de seguridad CCN-STIC (mas de 600 guias tecnicas)
• Certificacion de productos y servicios de seguridad (Catalogo CPSTIC)
• Supervision del cumplimiento ENS en el sector publico
• Evaluacion de conformidad y emision de certificados ENS

Guias CCN-STIC

Las guias CCN-STIC son el corpus tecnico de referencia para la ciberseguridad del sector publico español. Se organizan por series numeradas:

Serie	Contenido	Ejemplos
000	Politicas y procedimientos	CCN-STIC-001 (Seguridad TIC), CCN-STIC-002 (Organizacion)
100	Procedimientos	CCN-STIC-101 (Acreditacion), CCN-STIC-105 (Catalogo CPSTIC)
200	Normas	CCN-STIC-201 (Criptologia), CCN-STIC-221 (VPN)
300	Instrucciones tecnicas	CCN-STIC-301 (Requisitos STIC)
400	Guias generales	CCN-STIC-401 (Glosario), CCN-STIC-480 (SGSI)
500	Entornos Windows	CCN-STIC-570 (Windows 10/11), CCN-STIC-599 (Windows Server)
600	Otros entornos	CCN-STIC-619 (Linux), CCN-STIC-652 (VMware)
800	ENS	CCN-STIC-801 a 835 (implementacion ENS por niveles)

Para un analista SOC que trabaja con el sector publico, las series 800 son lectura obligatoria. La CCN-STIC-817 define los criterios de auditoria ENS, y la CCN-STIC-835 el anexo de medidas de seguridad.

Herramientas del CCN-CERT

El CCN-CERT desarrolla y distribuye herramientas gratuitas para el sector publico. Estas herramientas son una de las principales aportaciones de valor del ecosistema español de ciberseguridad:

LUCIA (Listado Unificado de Coordinacion de Incidentes y Amenazas). Sistema de gestion de incidentes y ticketing utilizado por todas las administraciones publicas conectadas al CCN-CERT. Permite reportar, clasificar y hacer seguimiento de incidentes de forma centralizada, con taxonomias alineadas con ENISA.

CARMEN (Centro de Analisis de Registros y Mineria de Eventos). Sistema de deteccion de APTs y amenazas avanzadas. Analiza trafico de red y logs para identificar patrones de ataque persistente. Se despliega como sonda en las redes de las administraciones y reporta al CCN-CERT.

REYES. Plataforma de inteligencia de amenazas (Threat Intelligence Platform) que agrega IOCs de multiples fuentes y permite la correlacion con incidentes gestionados en LUCIA. Integra feeds del CCN-CERT, MISP, y fuentes propias.

VANESA. Herramienta de analisis automatizado de muestras de malware. Incluye sandbox para ejecucion controlada y generacion de informes de comportamiento. Usada internamente para clasificar muestras recibidas.

ADA. Plataforma de analisis avanzado de datos de ciberseguridad, que integra machine learning para deteccion de anomalias en grandes volumenes de eventos.

PILAR / micro-PILAR. Herramienta de analisis y gestion de riesgos basada en la metodologia MAGERIT. Obligatoria para el analisis de riesgos en el marco del ENS. micro-PILAR es una version simplificada para entidades locales.

INES (Informe Nacional del Estado de Seguridad). Plataforma que permite a las entidades publicas reportar su nivel de conformidad con el ENS. Genera el informe nacional agregado que el CCN presenta anualmente.

Contacto

• Web: https://www.ccn-cert.cni.es
• Incidentes: a traves de LUCIA o [email protected]
• Portal CCN-CERT: acceso a todas las herramientas y guias (requiere registro)

ESPDEF-CERT y el Mando Conjunto del Ciberespacio (MCCE)

El ESPDEF-CERT opera bajo el Mando Conjunto del Ciberespacio (MCCE), creado en 2020 como evolucion del Mando Conjunto de Ciberdefensa. Es el CSIRT de referencia para el ambito de la Defensa Nacional.

Competencias

• Proteccion de las redes y sistemas del Ministerio de Defensa y las Fuerzas Armadas
• Operaciones en el ciberespacio (capacidades COS: Cyber Operations)
• Coordinacion con OTAN y EU en ciberdefensa
• Respuesta a incidentes que afecten a infraestructuras criticas de defensa

Capacidades COS

El MCCE dispone de tres tipos de capacidades en el ciberespacio:

Capacidad	Descripcion
Defensa (DCO)	Monitorizacion, deteccion y respuesta a amenazas en redes militares
Explotacion (OCO-ISR)	Inteligencia y reconocimiento en el ciberespacio
Respuesta (OCO-ORA)	Operaciones de respuesta activa ante agresiones

El ESPDEF-CERT es la cara defensiva (DCO) de estas capacidades. La informacion sobre operaciones ofensivas es clasificada y no esta disponible publicamente.

Relacion con los otros CERTs

El ESPDEF-CERT coordina con INCIBE-CERT y CCN-CERT a traves del Consejo Nacional de Ciberseguridad, pero opera con independencia y clasificacion propia. Los incidentes que afectan a infraestructuras duales (militar y civil) se coordinan caso a caso.

CERTs autonomicos

Varias comunidades autonomas han establecido sus propios CSIRTs para complementar la capacidad de respuesta nacional. Su publico principal son las administraciones locales y el tejido empresarial de su territorio.

CERT	Comunidad	Año	Publico principal	Web
BCSC	Pais Vasco	2017	Empresas vascas, sector publico vasco, ciudadanos	basquecybersecurity.eus
CESICAT	Cataluña	2010	Generalitat, entes locales, sector publico catalan	cesicat.cat
CSIRT-CV	Comunidad Valenciana	2007	Generalitat Valenciana, entes locales	csirtcv.gva.es
AndaluciaCERT	Andalucia	2011	Junta de Andalucia, entes locales andaluces	andaluciacert.es
CSIRT.gal	Galicia	2018	Xunta de Galicia, sector publico gallego	csirt.gal
SOC Illes Balears	Islas Baleares	2021	CAIB, entes locales	No independiente

BCSC: ejemplo de CERT autonomico maduro

El Basque Cybersecurity Centre (BCSC) es probablemente el CERT autonomico mas desarrollado de España. Ademas de respuesta a incidentes, ofrece:

• Servicio de alerta temprana para empresas vascas
• Formacion y concienciacion para PYMEs y sector publico
• Observatorio de ciberseguridad con informes periodicos
• Programa de ayudas para la implantacion de medidas de seguridad
• BCSC CyberSOC para la monitorizacion de la red de la administracion vasca

El BCSC coordina directamente con INCIBE-CERT y CCN-CERT y participa en ejercicios europeos a traves de la red CSIRTs Network de ENISA.

Coordinacion nacional y Plataforma de Notificacion

Consejo Nacional de Ciberseguridad (CNCS)

El CNCS, creado por el Real Decreto 1150/2021, es el organo de coordinacion estrategica en ciberseguridad. Preside la coordinacion entre los tres CERTs nacionales, las fuerzas de seguridad, y otros organismos con competencias en ciberseguridad. No es un CERT operativo, sino un foro de coordinacion.

Plataforma Nacional de Notificacion de Incidentes

La transposicion de NIS2 (pendiente de completarse en 2026) establece una ventanilla unica de notificacion. Actualmente, el proceso es:

1. Notificacion inicial en menos de 24 horas desde la deteccion del incidente significativo
2. Evaluacion intermedia en 72 horas con mas detalles tecnicos
3. Informe final en un mes con analisis de causa raiz y medidas adoptadas

La Plataforma Nacional permitira que un operador notifique una sola vez y que la notificacion se enrute automaticamente al CSIRT competente (INCIBE-CERT o CCN-CERT segun sector).

Transposicion NIS2 en España

La Directiva NIS2 (2022/2555) amplia significativamente el ambito de entidades obligadas y las obligaciones de notificacion. España tiene pendiente completar la transposicion (el plazo original era octubre 2024). Los cambios clave para el ecosistema de CERTs español:

• Mas sectores cubiertos: ahora incluye alimentacion, quimica, fabricacion, gestion de residuos, servicios postales, administracion publica
• Sanciones significativas: hasta 10M EUR o 2% del volumen de negocio mundial
• Obligacion de coordinacion reforzada entre CERTs nacionales y con la red EU-CyCLONe
• Responsabilidad directiva: los organos de direccion deben aprobar las medidas de ciberseguridad

Notificacion de incidentes: a quien acudir segun tu caso

La pregunta mas frecuente en ciberseguridad corporativa en España es: cuando pasa algo, a quien tengo que avisar? La respuesta depende del tipo de organizacion y del tipo de incidente.

Flujo de notificacion por tipo de organizacion

¿Eres administracion publica?
  SI → CCN-CERT (LUCIA)
  NO ↓

¿Eres empresa privada u operador de servicios esenciales?
  SI → INCIBE-CERT
  NO ↓

¿Eres del sector Defensa?
  SI → ESPDEF-CERT
  NO ↓

¿Eres ciudadano particular?
  SI → INCIBE (017) + denuncia si hay delito

Notificaciones adicionales obligatorias

Independientemente de a que CERT notifiques, existen obligaciones paralelas:

Situacion	Destinatario	Plazo	Normativa
Brecha de datos personales	AEPD (Agencia Española de Proteccion de Datos)	72 horas	RGPD art. 33
Delito informatico	Policia Nacional (BIT) o Guardia Civil (GDT)	Sin plazo legal, recomendado ASAP	Codigo Penal
Operador infraestructura critica	CNPIC (OCC) + CERT competente	Inmediata	Ley 8/2011 (PIC)
Sector financiero	Banco de España + CERT competente	Segun tipo de incidente	Regulacion sectorial
Sector telecomunicaciones	Ministerio (SETSI) + INCIBE-CERT	Segun impacto	LGTel

Un caso practico

Una empresa privada de comercio electronico sufre un ransomware que cifra sus servidores y exfiltra datos de clientes:

1. INCIBE-CERT: notificacion del incidente de ciberseguridad (operador privado)
2. AEPD: notificacion de brecha de datos personales en 72 horas (hay datos de clientes)
3. Policia Nacional (BIT) o Guardia Civil (GDT): denuncia penal por extorsion y acceso ilicito
4. Clientes afectados: notificacion directa si la brecha supone alto riesgo para sus derechos (RGPD art. 34)

Servicios gratuitos de INCIBE para ciudadanos y empresas

INCIBE ofrece un catalogo de servicios gratuitos que cualquier ciudadano o empresa española puede utilizar:

017 (Tu Ayuda en Ciberseguridad). Linea telefonica gratuita para consultas sobre ciberseguridad. Atiende desde configuracion segura de dispositivos hasta respuesta inicial ante fraudes, sextorsion o ciberacoso. Disponible por telefono, WhatsApp y Telegram.

Servicio AntiBotNet. Comprobacion online de si tu conexion esta asociada a actividad de botnets. Incluye plugins para navegadores y herramientas de limpieza.

Avisos de Seguridad. Alertas publicadas diariamente sobre vulnerabilidades, campanas de phishing activas en España, y amenazas relevantes. Filtradas por nivel de peligrosidad y sector.

INCIBE Academy. Plataforma de formacion gratuita en ciberseguridad con cursos MOOC, itinerarios por perfil profesional y certificaciones.

Kit de Concienciacion. Materiales descargables para programas de concienciacion en empresas: presentaciones, posters, simulaciones de phishing y guias para empleados.

Protege tu Empresa. Portal con politicas de seguridad tipo, herramientas de autodiagnostico y guias sectoriales para PYMEs.

Herramientas del CCN-CERT en detalle

Las herramientas del CCN-CERT merecen una mencion especial porque forman un ecosistema integrado que cubre todo el ciclo de gestion de la ciberseguridad en el sector publico:

Herramienta	Funcion	Equivalente comercial
LUCIA	Gestion de incidentes (ticketing)	ServiceNow SecOps, TheHive
CARMEN	Deteccion de APTs (NTA)	Darktrace, Vectra AI
REYES	Threat Intelligence Platform	MISP, ThreatConnect, Anomali
VANESA	Sandbox de malware	Any.Run, Joe Sandbox, Cuckoo
ADA	Analisis de datos / SIEM	Splunk, Elastic Security
PILAR	Analisis de riesgos (MAGERIT)	RiskWatch, Archer
INES	Reporting ENS	No tiene equivalente directo
microCLAUDIA	Vacuna contra ransomware	No tiene equivalente directo

microCLAUDIA merece mencion aparte: es una herramienta especifica del CCN-CERT que actua como "vacuna" contra familias de ransomware conocidas. Se despliega en endpoints y bloquea la ejecucion de variantes identificadas. No sustituye al antivirus, sino que lo complementa con firmas especificas del panorama de amenazas español.

Todas estas herramientas estan disponibles gratuitamente para el sector publico español a traves del portal del CCN-CERT, previa solicitud y verificacion de pertenencia al sector publico.

Fuerzas y cuerpos de seguridad del Estado

Las fuerzas de seguridad no son CERTs, pero son un pilar fundamental de la respuesta a incidentes de ciberseguridad en España, especialmente cuando el incidente constituye un delito.

Policia Nacional: Brigada de Investigacion Tecnologica (BIT)

La BIT, encuadrada en la Unidad Central de Ciberdelincuencia de la Comisaria General de Policia Judicial, investiga delitos informaticos de ambito nacional e internacional:

• Fraude electronico y estafas online
• Ataques contra infraestructuras criticas
• Distribucion de malware y ransomware
• Delitos contra la intimidad y la propiedad intelectual
• Pornografia infantil online

La BIT coordina con Europol (EC3, European Cybercrime Centre) e Interpol para investigaciones transnacionales. Participaciones destacadas: operaciones contra Emotet (2021), LockBit (2024) y Genesis Market (2023).

Guardia Civil: Grupo de Delitos Telematicos (GDT)

El GDT, integrado en la Unidad Central Operativa (UCO), cubre funciones similares a la BIT pero con competencia preferente en el ambito rural y en operaciones bajo jurisdiccion militar:

• Investigacion de ciberdelitos
• Peritaje informatico forense
• Operaciones encubiertas en la red
• Colaboracion con el Mando Conjunto del Ciberespacio

Cuando denunciar ademas de notificar

La notificacion a un CERT y la denuncia policial son procesos independientes y complementarios. El CERT gestiona la parte tecnica (contencion, recuperacion, analisis). Las fuerzas de seguridad investigan el delito (identificacion de autores, cooperacion judicial internacional).

Si tu organizacion sufre un incidente que constituye delito (ransomware, robo de datos, acceso no autorizado), notifica al CERT competente Y presenta denuncia. Ambos procesos pueden discurrir en paralelo sin interferirse.

Recursos y referencias

Portales oficiales

• INCIBE: incibe.es
• CCN-CERT: ccn-cert.cni.es
• MCCE: emad.defensa.gob.es/mcce
• BCSC: basquecybersecurity.eus
• CESICAT: cesicat.cat
• CSIRT-CV: csirtcv.gva.es

Normativa clave

• RD 311/2022: Esquema Nacional de Seguridad (sustituye al RD 3/2010)
• RDL 12/2018: Transposicion Directiva NIS
• Directiva NIS2 (2022/2555): Pendiente transposicion completa en España
• RGPD + LOPDGDD: Proteccion de datos y notificacion de brechas
• Ley 8/2011: Proteccion de Infraestructuras Criticas
• Ley 11/2002: Regulacion del CNI (base legal del CCN)

Guias recomendadas para empezar

• CCN-STIC-817: Gestion de incidentes de seguridad
• CCN-STIC-801: ENS, responsabilidades y funciones
• CCN-STIC-835: Anexo de medidas de seguridad del ENS
• Guia Nacional de Notificacion y Gestion de Ciberincidentes (INCIBE + CCN-CERT, 2023)

Contactos de emergencia

Entidad	Contacto	Disponibilidad
INCIBE 017	017 / WhatsApp 900 116 117 / @INCIBE017	08:00-23:00, 365 dias
INCIBE-CERT	[email protected]	24/7 para incidentes criticos
CCN-CERT	LUCIA / [email protected]	24/7 para incidentes criticos
Policia Nacional	denuncias.policia.es	24/7
Guardia Civil	gdt.guardiacivil.es	24/7
AEPD (brechas)	sedeagpd.gob.es	Formulario online