CERTs en Europa: ENISA, FIRST, EU-CyCLONe y Cooperación Internacional

La ciberseguridad no se defiende en solitario

Un incidente de ransomware que afecta a un hospital en España puede utilizar infraestructura C2 alojada en Países Bajos, operada por un grupo criminal con base en Europa del Este, explotando una vulnerabilidad descubierta por un investigador en Finlandia. Ningún equipo de respuesta nacional, por competente que sea, puede abordar esa cadena de forma aislada.

Europa ha construido un ecosistema de cooperación entre CERTs y CSIRTs que, aunque imperfecto, es el más estructurado del mundo. Este artículo mapea ese ecosistema: desde ENISA como eje coordinador hasta FIRST como red global, pasando por las redes de confianza que permiten compartir inteligencia entre equipos que operan bajo jurisdicciones diferentes.

Arquitectura del ecosistema europeo

El ecosistema de respuesta a incidentes en Europa funciona en capas. Cada capa tiene un mandato diferente y se activa según la escala del incidente:

┌─────────────────────────────────────────────────┐
│              Nivel político                      │
│         EU-CyCLONe (gestión de crisis)          │
├─────────────────────────────────────────────────┤
│              Nivel operativo                     │
│      Red de CSIRTs (coordinación técnica)        │
│              Secretaría: ENISA                   │
├─────────────────────────────────────────────────┤
│              Nivel nacional                      │
│   CSIRTs nacionales (27 UE + EEE + candidatos)  │
│   CCN-CERT · BSI-CERT · ANSSI · NCSC-NL · ...  │
├─────────────────────────────────────────────────┤
│              Nivel sectorial                     │
│     CSIRTs sectoriales (energía, finanzas,      │
│     salud, transporte, telecomunicaciones)       │
├─────────────────────────────────────────────────┤
│              Nivel global                        │
│       FIRST · TF-CSIRT · Trusted Introducer     │
└─────────────────────────────────────────────────┘

Los incidentes rutinarios se gestionan a nivel nacional. Cuando un incidente cruza fronteras o afecta a infraestructuras críticas de varios Estados miembros, se activa la Red de CSIRTs. Si la situación escala a crisis (impacto en servicios esenciales a gran escala), EU-CyCLONe conecta la respuesta técnica con los decisores políticos.

ENISA: la agencia de ciberseguridad de la UE

Mandato y evolución

ENISA (European Union Agency for Cybersecurity) fue creada en 2004 con un mandato limitado de asesoramiento. La Cybersecurity Act de 2019 la transformó en una agencia permanente con competencias ampliadas y un mandato renovado hasta 2029 (con revisión).

Su sede está en Atenas (Grecia), con oficina operativa en Heraklion (Creta). Cuenta con aproximadamente 120 empleados, un presupuesto anual de unos 25 millones de euros, y un papel que ha crecido sustancialmente con la entrada en vigor de NIS2.

Funciones principales

Coordinación de la Red de CSIRTs. ENISA actúa como secretaría de la Red de CSIRTs de la UE. Organiza las reuniones, mantiene la plataforma de intercambio seguro de información y facilita la cooperación operativa entre CSIRTs nacionales. No sustituye a los CSIRTs nacionales ni tiene autoridad sobre ellos: coordina.

Threat Landscape anual. Cada año, ENISA publica el ETL (ENISA Threat Landscape), el informe de referencia sobre el panorama de amenazas en Europa. El ETL 2025 identificó el ransomware, las amenazas a la cadena de suministro y los ataques a infraestructuras cloud como las tres amenazas principales. Es lectura obligatoria para cualquier CISO en la UE.

Esquema europeo de certificación. La Cybersecurity Act encargó a ENISA el desarrollo del EUCC (European Cybersecurity Certification Scheme), basado en Common Criteria. El esquema establece tres niveles de aseguramiento (basic, substantial, high) para productos, servicios y procesos TIC. Todavía está en desarrollo para varias categorías, pero los primeros esquemas ya son aplicables.

Apoyo a la implementación de NIS2. ENISA proporciona guías técnicas, metodologías de evaluación de riesgos y herramientas de reporting para ayudar a los Estados miembros a transponer e implementar la Directiva NIS2. Esto incluye la definición de los criterios técnicos para la notificación de incidentes significativos.

Ejercicios Cyber Europe. ENISA organiza los ejercicios paneuropeos de ciberseguridad (ver sección dedicada más adelante).

Publicaciones clave de ENISA

Publicación	Frecuencia	Contenido
ENISA Threat Landscape (ETL)	Anual	Panorama de amenazas, tendencias, recomendaciones
Threat Landscape for specific sectors	Variable	Análisis sectorial (salud, transporte, energía, telecomunicaciones)
Incident Reporting guidelines	Actualización periódica	Criterios y umbrales de notificación bajo NIS2
Good practices for CERTs/CSIRTs	Variable	Guías operativas, madurez, métricas
EUCC candidate schemes	Según desarrollo	Esquemas de certificación por categoría
Annual Report	Anual	Actividad de la agencia, estadísticas, tendencias

Red de CSIRTs nacionales

Origen y mandato legal

La Directiva NIS original (2016) estableció la obligación de que cada Estado miembro designara al menos un CSIRT nacional. NIS2 (2022, transposición hasta octubre 2024) reforzó esta obligación y amplió los sectores cubiertos.

La Red de CSIRTs (CSIRTs Network) conecta a los 27 CSIRTs nacionales de la UE, más los del Espacio Económico Europeo (Noruega, Islandia, Liechtenstein) y observadores de países candidatos. ENISA actúa como secretaría.

CSIRTs nacionales de la UE (selección)

País	CSIRT Nacional	URL	Ámbito
España	CCN-CERT / INCIBE-CERT	ccn-cert.cni.es / incibe.es	Sector público / ciudadanos y empresas
Alemania	BSI-CERT	bsi.bund.de	Federal, sector público y privado
Francia	CERT-FR (ANSSI)	cert.ssi.gouv.fr	Nacional, infraestructuras críticas
Italia	CSIRT Italia	csirt.gov.it	Nacional, coordinación multi-sector
Países Bajos	NCSC-NL	ncsc.nl	Nacional, infraestructuras vitales
Bélgica	CERT.be (CCB)	cert.be	Nacional, público y privado
Portugal	CERT.PT (CNCS)	cncs.gov.pt	Nacional
Polonia	CERT Polska (NASK)	cert.pl	Nacional, investigación y respuesta
Suecia	CERT-SE (MSB)	cert.se	Nacional
Finlandia	NCSC-FI (Traficom)	kyberturvallisuuskeskus.fi	Nacional
Austria	CERT.at / GovCERT Austria	cert.at	Nacional / gobierno
Grecia	CERT.GR (ENISA host)	cert.gr	Nacional
Irlanda	NCSC-IE	ncsc.gov.ie	Nacional
Rumanía	CERT-RO	cert.ro	Nacional
Estonia	CERT-EE (RIA)	ria.ee	Nacional, referente en ciberdefensa
Lituania	CERT-LT (NRD)	nksc.lt	Nacional
Luxemburgo	CIRCL	circl.lu	Nacional, MISP developer
Croacia	CERT.hr (CARNET)	cert.hr	Nacional
Chequia	CERT CZ (NUKIB)	nukib.cz	Nacional
Dinamarca	CFCS (Centre for Cyber Security)	cfcs.dk	Nacional, defensa
Hungría	CERT-Hungary (NBSZ)	cert.gov.hu	Nacional
Bulgaria	CERT Bulgaria	govcert.bg	Nacional
Eslovaquia	SK-CERT	sk-cert.sk	Nacional
Eslovenia	SI-CERT	cert.si	Nacional
Letonia	CERT.LV	cert.lv	Nacional
Chipre	CSIRT-CY	csirt.cy	Nacional
Malta	CSIRTMalta	csirtmalta.gov.mt	Nacional

Funciones de la Red

La Red de CSIRTs no es un CERT europeo centralizado. Es una red de cooperación voluntaria con tres funciones principales:

1. Intercambio de información sobre incidentes que afectan a más de un Estado miembro. Cuando un CSIRT detecta un ataque con componentes transfronterizos, notifica a la Red.
2. Respuesta coordinada a incidentes de gran escala. La Red puede activar procedimientos de respuesta conjunta, compartir indicadores de compromiso y coordinar la comunicación pública.
3. Desarrollo de confianza mutua. Mediante reuniones regulares, ejercicios conjuntos y procedimientos operativos estándar, los CSIRTs nacionales construyen las relaciones personales que hacen funcionar la cooperación cuando hay una crisis real.

EU-CyCLONe: gestión de crisis cibernéticas

Qué es y por qué se creó

EU-CyCLONe (European Cyber Crisis Liaison Organisation Network) es la red de gestión de crisis cibernéticas a gran escala de la UE. Fue creada formalmente por la Directiva NIS2 (artículo 16), aunque ya existía como proyecto piloto desde 2020 tras los incidentes de SolarWinds y la oleada de ransomware contra hospitales durante la pandemia.

El problema que resuelve es específico: cuando un incidente cibernético tiene impacto político (afecta a servicios esenciales de múltiples países, requiere decisiones a nivel gubernamental), los CSIRTs técnicos necesitan un puente con los decisores políticos. EU-CyCLONe es ese puente.

Composición y funcionamiento

EU-CyCLONe está compuesta por representantes de las autoridades de gestión de crisis cibernéticas de los Estados miembros (normalmente, las agencias nacionales de ciberseguridad) y la Comisión Europea. ENISA proporciona la secretaría y el soporte técnico.

Criterios de activación. EU-CyCLONe se activa cuando un incidente cibernético cumple al menos uno de estos criterios:

• Afecta a servicios esenciales en dos o más Estados miembros
• Tiene impacto potencial en el funcionamiento del mercado interior
• Requiere coordinación política a nivel de la UE
• Los CSIRTs nacionales solicitan la activación

Flujo de crisis:

1. Un CSIRT nacional detecta un incidente significativo y lo reporta a la Red de CSIRTs
2. Si el incidente cumple los criterios de escala, la Red de CSIRTs informa a EU-CyCLONe
3. EU-CyCLONe evalúa el impacto político y activa los procedimientos de crisis
4. Coordina la comunicación entre nivel técnico (CSIRTs) y nivel político (gobiernos, Comisión)
5. Elabora informes de situación (situation reports) para los decisores
6. Coordina la comunicación pública si es necesario

Relación con otros mecanismos de crisis de la UE

EU-CyCLONe no opera en el vacío. Se integra con el IPCR (Integrated Political Crisis Response) del Consejo de la UE, que es el mecanismo general de gestión de crisis políticas. Si un ciberincidente escala a nivel de jefes de Estado, el IPCR toma el relevo con EU-CyCLONe proporcionando el asesoramiento técnico.

FIRST: la red global de CSIRTs

Alcance y misión

FIRST (Forum of Incident Response and Security Teams) es la organización internacional de referencia para equipos de respuesta a incidentes. Fundada en 1990 tras el incidente del gusano Morris (1988), agrupa a más de 700 equipos miembros en más de 100 países.

A diferencia de la Red de CSIRTs de la UE, que es una estructura institucional, FIRST es una comunidad. No tiene autoridad sobre sus miembros ni mandato legal. Su fuerza reside en la confianza construida durante décadas de colaboración.

Contribuciones clave

CSIRT Services Framework. FIRST ha desarrollado el marco de referencia para definir qué servicios debe ofrecer un CSIRT maduro. El framework organiza los servicios en cinco áreas:

Área de servicio	Ejemplos
Gestión de eventos e incidentes	Triage, coordinación, análisis forense
Gestión de vulnerabilidades	Descubrimiento, coordinación de divulgación, remediación
Situational awareness	Monitorización, inteligencia de amenazas, alertas
Transferencia de conocimiento	Formación, ejercicios, publicaciones
Gestión de la seguridad	Consultoría, auditoría, desarrollo de herramientas

SIM3 (Security Incident Management Maturity Model). Modelo de madurez para CSIRTs que evalúa 44 parámetros organizados en cuatro categorías: organización, recursos humanos, herramientas y procesos. SIM3 es el estándar de facto para medir la madurez de un equipo de respuesta. En Europa, TF-CSIRT y Trusted Introducer lo utilizan como base para sus procesos de acreditación.

CVSS (Common Vulnerability Scoring System). FIRST mantiene el estándar CVSS, actualmente en versión 4.0, utilizado universalmente para puntuar la severidad de vulnerabilidades. También mantiene el EPSS (Exploit Prediction Scoring System), que complementa CVSS con una estimación de la probabilidad de explotación.

Conferencia anual. La conferencia FIRST es el punto de encuentro global de la comunidad de respuesta a incidentes. Combina presentaciones técnicas, talleres operativos y reuniones bilaterales entre equipos. No es un evento comercial: es donde los CSIRTs construyen las relaciones que necesitan cuando llega una crisis.

SIGs (Special Interest Groups)

FIRST organiza grupos de trabajo temáticos que desarrollan estándares y mejores prácticas:

• PSIRT SIG: equipos de respuesta de producto (vendors)
• Vulnerability Coordination SIG: coordinación de divulgación de vulnerabilidades
• Ethics SIG: aspectos éticos de la respuesta a incidentes
• Training and Education SIG: formación para nuevos CSIRTs
• Automation SIG: STIX/TAXII, OpenC2, automatización de intercambio

TF-CSIRT y Trusted Introducer

TF-CSIRT

TF-CSIRT (Task Force CSIRT) es la comunidad europea de CSIRTs, operada bajo el paraguas de GÉANT (la red académica y de investigación europea). Fundada en 2000, precede a las estructuras de NIS/NIS2 y sigue siendo relevante como red de confianza operativa.

TF-CSIRT se reúne tres veces al año en sesiones que combinan presentaciones técnicas con reuniones a puerta cerrada donde los equipos comparten inteligencia sobre incidentes activos. La asistencia está restringida a equipos verificados.

Trusted Introducer

Trusted Introducer (TI) es el servicio de acreditación de CSIRTs en Europa, gestionado por TF-CSIRT. Establece tres niveles de confianza:

Nivel	Requisitos	Beneficios
Listed	Registro básico: datos de contacto, PGP key, constituency definida	Aparecer en el directorio de CSIRTs europeos, recibir notificaciones
Accredited	Evaluación SIM3 completa, visita in-situ, cumplimiento de estándares operativos	Acceso a listas de distribución restringidas, participación en ejercicios, intercambio de inteligencia con nivel de confianza elevado
Certified	Evaluación externa completa (basada en SIM3), renovación periódica, cumplimiento demostrado continuo	Máximo nivel de confianza, acceso a comunidades restringidas, reconocimiento formal por parte de otros CSIRTs

El proceso de acreditación es riguroso. Incluye una autoevaluación, una evaluación por pares (peer review) y, para el nivel Certified, una auditoría externa. El objetivo no es burocrático: es garantizar que cuando un CSIRT acreditado comparte un IOC o solicita asistencia, el receptor puede confiar en la calidad y la fiabilidad de la información.

A junio de 2026, Trusted Introducer lista más de 600 equipos, de los cuales aproximadamente 100 están acreditados y unos 30 certificados.

Compartición de inteligencia

TLP (Traffic Light Protocol)

El TLP es el protocolo estándar para clasificar la sensibilidad de la información compartida entre CSIRTs. Mantenido por FIRST, define cuatro niveles:

Nivel	Color	Distribución permitida
TLP:RED	Rojo	Solo los participantes directos de la reunión o comunicación. No redistribuir
TLP:AMBER	Ámbar	Solo dentro de la organización del receptor y sus clientes directos que necesiten actuar
TLP:AMBER+STRICT	Ámbar oscuro	Solo dentro de la organización del receptor. No compartir con clientes
TLP:GREEN	Verde	La comunidad del receptor puede redistribuir, pero no publicar
TLP:CLEAR	Blanco	Sin restricciones. Puede publicarse

El TLP no es un marco legal. Es un acuerdo de confianza. Violarlo no tiene consecuencias legales directas, pero destruye la confianza que hace funcionar la cooperación entre CSIRTs. Un equipo que filtra información TLP:RED no vuelve a recibirla.

MISP: la plataforma de compartición

MISP (Malware Information Sharing Platform) es la plataforma de referencia para el intercambio automatizado de indicadores de compromiso entre CSIRTs. Desarrollada inicialmente por CIRCL (el CSIRT de Luxemburgo) y financiada parcialmente por la UE, MISP es software libre y ampliamente desplegado.

Características clave para la cooperación entre CSIRTs:

• Sharing groups: permite definir comunidades de intercambio con diferentes niveles de confianza
• Taxonomías: clasificación estandarizada de eventos e indicadores (TLP, tipo de amenaza, sector afectado)
• Galaxies: clusters de información contextual (actores, familias de malware, herramientas)
• Correlation engine: detección automática de correlaciones entre eventos de diferentes fuentes
• STIX/TAXII export: interoperabilidad con otros sistemas de intercambio

La red de CSIRTs de la UE opera instancias MISP interconectadas. Cada CSIRT nacional mantiene su propia instancia y sincroniza selectivamente con las de otros CSIRTs según los sharing groups configurados.

Otras plataformas de intercambio

Además de MISP, la comunidad de CSIRTs utiliza:

• IntelMQ: pipeline de procesamiento automatizado de feeds de inteligencia, desarrollado por CERT.at
• CIRCL MISP feeds: feeds públicos y comunitarios mantenidos por CIRCL
• CERT.pl n6: plataforma de intercambio de datos de incidentes a gran escala

Ejercicios Cyber Europe

Qué son

Los ejercicios Cyber Europe son los mayores ejercicios de ciberseguridad paneuropeos. Organizados por ENISA cada dos años desde 2010, simulan incidentes cibernéticos de gran escala que afectan a múltiples Estados miembros simultáneamente.

Objetivos

1. Probar los mecanismos de cooperación entre CSIRTs nacionales, la Red de CSIRTs y EU-CyCLONe
2. Evaluar los procedimientos de notificación bajo NIS2 en condiciones realistas
3. Identificar gaps en las capacidades de respuesta a nivel nacional y europeo
4. Construir relaciones personales entre los equipos que tendrán que cooperar en una crisis real
5. Validar herramientas y plataformas de intercambio de información

Historial de ejercicios

Ejercicio	Año	Escenario	Participantes
Cyber Europe 2010	2010	Ataque DDoS a infraestructuras críticas	22 países, 70 organizaciones
Cyber Europe 2012	2012	Ataques coordinados a sector financiero	25 países, 300+ participantes
Cyber Europe 2014	2014	Ataque a telecomunicaciones y energía	29 países, 200+ organizaciones
Cyber Europe 2016	2016	Cloud y IoT como vectores de ataque	28 países, 300+ organizaciones
Cyber Europe 2018	2018	Ataques al sector aeronáutico	28 países, 900+ especialistas
Cyber Europe 2022	2022	Ataques a infraestructuras sanitarias	29 países, 800+ participantes
Cyber Europe 2024	2024	Ataques a infraestructura energética y supply chain	30 países, 1.000+ participantes

La tendencia es clara: cada edición involucra a más participantes, escenarios más complejos y un alineamiento creciente con el marco regulatorio (NIS2, CER Directive).

CERT/CC: el origen histórico

El CERT Coordination Center (CERT/CC), operado por el Software Engineering Institute de la Universidad Carnegie Mellon, fue el primer equipo de respuesta a incidentes, creado en 1988 tras el gusano Morris. Aunque es una entidad estadounidense, su influencia en el ecosistema global de CSIRTs es fundacional.

CERT/CC estableció los modelos operativos que todavía se utilizan: coordinación de vulnerabilidades, advisories estandarizados, triage de incidentes. La marca CERT es una marca registrada de Carnegie Mellon, aunque muchos equipos la usan de forma genérica.

En el contexto europeo, CERT/CC sigue siendo relevante como:

• Coordinador de vulnerabilidades de alcance global (CVE, CNA program)
• Fuente de formación para nuevos CSIRTs (CERT/CC courses)
• Punto de contacto para incidentes que involucran infraestructura en EE.UU.

Cooperación transatlántica UE-EE.UU.

La cooperación en ciberseguridad entre la UE y Estados Unidos opera a través de varios canales:

EU-US Cyber Dialogue. Diálogo formal establecido en 2014, con reuniones anuales a nivel de funcionarios senior. Cubre intercambio de amenazas, protección de infraestructuras críticas, normas internacionales, capacitación y lucha contra el cibercrimen.

CISA y ENISA. Ambas agencias mantienen canales operativos de intercambio de inteligencia sobre amenazas. Los advisories conjuntos (joint advisories) sobre amenazas de actores estatales (grupos APT rusos, chinos y norcoreanos) son cada vez más frecuentes.

NATO CCDCOE. El Centro de Excelencia en Ciberdefensa Cooperativa de la OTAN, con sede en Tallin (Estonia), organiza los ejercicios Locked Shields (el mayor ejercicio de ciberdefensa del mundo) y desarrolla investigación sobre ciberdefensa. Aunque no es estrictamente UE, la mayoría de sus participantes son europeos.

Five Eyes y más allá. Los países anglosajones (EE.UU., Reino Unido, Canadá, Australia, Nueva Zelanda) comparten inteligencia de señales (SIGINT) a través de la alianza Five Eyes, que incluye inteligencia de amenazas cibernéticas. La UE no es parte, pero los CSIRTs de los países europeos de la OTAN mantienen canales bilaterales con los CSIRTs de Five Eyes.

Retos de la cooperación internacional

Soberanía y jurisdicción

Cada Estado miembro tiene su propia legislación sobre ciberseguridad, protección de datos y seguridad nacional. Compartir información sobre un incidente puede implicar compartir datos personales (IPs de víctimas, por ejemplo), lo que activa las restricciones del RGPD. La tensión entre la necesidad de compartir rápidamente y la obligación de proteger datos personales no está completamente resuelta.

Barrera lingüística

Un advisory técnico redactado en finés por NCSC-FI tiene que ser comprensible para CERT.PT en Portugal. En la práctica, el inglés funciona como lingua franca operativa, pero no todos los CSIRTs tienen personal con fluidez en inglés técnico. Los informes de situación durante una crisis requieren precisión, y la ambigüedad lingüística puede tener consecuencias operativas.

Niveles de clasificación

Los sistemas nacionales de clasificación de información (CONFIDENCIAL, RESERVADO, SECRETO en España; VS-NfD, VS-Vertraulich en Alemania; Confidentiel Défense en Francia) no son directamente equivalentes. Compartir información clasificada entre CSIRTs de diferentes países requiere acuerdos bilaterales de seguridad de la información que no siempre existen o no cubren la ciberseguridad específicamente.

Asimetría de capacidades

Los CSIRTs nacionales varían enormemente en recursos. El BSI alemán cuenta con más de 1.500 empleados. El CSIRT de Malta opera con un equipo de una docena de personas. Esta asimetría significa que la cooperación no puede asumir capacidades uniformes: los procedimientos tienen que funcionar para el CSIRT más pequeño.

Velocidad vs. proceso

En una crisis, la velocidad importa. Pero los procedimientos de validación, clasificación TLP y coordinación institucional añaden latencia. Un IOC que tarda 48 horas en llegar al CSIRT que lo necesita puede llegar demasiado tarde. La automatización (MISP, STIX/TAXII) reduce esta latencia, pero no todos los CSIRTs tienen la misma capacidad de automatización.

Recursos y referencias

Documentos de referencia

• ENISA Threat Landscape 2025: panorama de amenazas actualizado, disponible en enisa.europa.eu
• NIS2 Directive (2022/2555): texto legal completo, disponible en EUR-Lex
• FIRST CSIRT Services Framework v2.1: marco de servicios para CSIRTs, disponible en first.org
• SIM3 v2: modelo de madurez para CSIRTs, documentación en opencsirt.org
• TLP v2.0 specification: protocolo de clasificación, en first.org/tlp

Directorios de CSIRTs

• Trusted Introducer directory: trusted-introducer.org (directorio europeo de CSIRTs)
• FIRST member directory: first.org/members (directorio global)
• ENISA CSIRTs by country: enisa.europa.eu/topics/csirts-in-europe

Herramientas de intercambio

• MISP: github.com/MISP (plataforma de intercambio de inteligencia)
• IntelMQ: github.com/certtools/intelmq (pipeline de procesamiento de feeds)
• OpenCTI: github.com/OpenCTI-Platform (plataforma CTI)

Formación

• ENISA CSIRT trainings: cursos gratuitos para CSIRTs europeos
• FIRST CSIRT courses: formación internacional para equipos de respuesta
• CERT/CC courses: formación avanzada en gestión de incidentes y vulnerabilidades
• TRANSITS (TF-CSIRT): programa de formación europeo para nuevos CSIRTs