En este artículo, Rafael Chust explica cómo la seguridad en infraestructuras OTAN ya no depende solo del cifrado, sino también de la capacidad de neutralizar información sensible antes de que pueda ser explotada por actores adversarios.
La protección del dato dentro de la OTAN, la Organización del Tratado del Atlántico Norte, se fundamenta en un conjunto de acuerdos de estandarización conocidos como STANAG, que establecen cómo deben implementarse los mecanismos de seguridad, interoperabilidad y gestión de la información entre las naciones aliadas.
Estos acuerdos no son documentos teóricos, sino normas operativas que determinan cómo debe protegerse la información en reposo, en tránsito y durante todo su ciclo de vida. Las Allied Joint Publications, o AJP, complementan estos acuerdos proporcionando doctrina conjunta para operaciones, comunicaciones y seguridad de la información, especialmente en el ámbito de los CIS, los Communications and Information Systems, y de INFOSEC, la Information Security.
En este marco doctrinal, la protección del dato no es un acto puntual, sino un proceso continuo que comienza en el momento en que la información se genera y termina únicamente cuando se garantiza que ya no puede ser recuperada por ningún actor, autorizado o no.
La criptografía de almacenamiento constituye la primera capa de defensa en este proceso. Su función es transformar la información en un volumen cifrado cuya lectura depende exclusivamente de la clave autorizada. En entornos OTAN se emplea AES, el Advanced Encryption Standard, porque es un estándar internacional robusto, ampliamente auditado y compatible con los requisitos de interoperabilidad definidos en los STANAG y las AJP.
➡️ Te puede interesar: Qué es el flanco este de la OTAN
Para evitar patrones que puedan ser explotados en análisis forense, se utilizan modos de operación como XTS, el XEX-based Tweaked CodeBook mode with ciphertext Stealing, que introduce variaciones dependientes de la posición física del bloque y evita que dos bloques idénticos generen resultados idénticos. Esto reduce la superficie de exposición y dificulta la extracción de información a partir de patrones repetitivos.
Sin embargo, el cifrado por sí solo no garantiza la seguridad. La verdadera fortaleza del sistema reside en la gestión de claves. En infraestructuras OTAN se emplea una jerarquía compuesta por la DEK, la Data Encryption Key, que cifra directamente los datos; la KEK, la Key Encryption Key, que protege a la DEK; y una clave maestra alojada en un HSM, un Hardware Security Module, que es un dispositivo certificado diseñado para custodiar claves criptográficas y ejecutar operaciones sensibles sin exponerlas.
Esta arquitectura permite rotar, revocar o destruir claves sin necesidad de reescribir volúmenes completos, lo que evita que un compromiso parcial se convierta en un fallo sistémico. Además, los HSM utilizados en entornos OTAN deben cumplir requisitos de seguridad definidos en estándares aliados y en certificaciones reconocidas internacionalmente, lo que garantiza que las claves no puedan ser extraídas ni manipuladas.
Los métodos tradicionales de eliminación de datos, como la sobrescritura o el formateo, funcionaban razonablemente bien en discos magnéticos, pero no garantizan la eliminación completa en tecnologías modernas. En los SSD, los mecanismos internos de wear leveling y over‑provisioning impiden asegurar que todos los bloques se sobrescriban, lo que deja restos de información en zonas inaccesibles para el sistema operativo.
En infraestructuras cloud, la ausencia de control físico sobre el hardware hace imposible verificar la destrucción del soporte. Por estas razones, los STANAG que regulan la eliminación segura del dato establecen que estos métodos no son suficientes para garantizar la no recuperabilidad en entornos actuales.
Supresión criptográfica y destrucción de claves
La supresión criptográfica, definida en los principios de STANAG 4774 y STANAG 4778, es el mecanismo doctrinalmente aceptado para garantizar la neutralización del dato. Su fundamento es sencillo: si los datos están cifrados y se destruye la clave, el contenido queda inutilizable. El procedimiento consiste en identificar la clave asociada al volumen, acceder al HSM que la custodia y ejecutar la orden de borrado seguro conforme a los comandos autorizados. Una vez eliminada la clave, la información se convierte en un conjunto de bits sin valor práctico.
La magnitud del espacio de claves de AES‑256 hace inviable su recuperación por fuerza bruta incluso para actores con capacidades avanzadas. Este enfoque es rápido, verificable y no degrada el hardware, lo que lo convierte en el mecanismo recomendado para infraestructuras críticas, nodos tácticos y entornos cloud.
El borrado seguro constituye el mecanismo esencial que garantiza que un dispositivo perdido, capturado o abandonado no aporte ninguna ventaja operativa al adversario, porque convierte la información almacenada en un elemento criptográficamente inaccesible incluso si el enemigo dispone de capacidades forenses avanzadas.
➡️ Te puede interesar: ¿Puede Trump sacar a Estados Unidos de la OTAN?
La doctrina aliada establece que la negación al adversario es un requisito de misión y que la pérdida de un solo dispositivo puede comprometer información multinacional, por lo que la protección del dato debe asegurar trazabilidad completa del ciclo de vida, destrucción irreversible de las claves y plena interoperabilidad entre naciones.
Cuando el dispositivo incorpora cifrado robusto y el procedimiento de borrado destruye de forma inmediata y verificable las claves que protegen los datos, el contenido permanece matemáticamente irrecuperable: aunque el adversario extraiga chips, clone memorias o intente ingeniería inversa, solo encontrará bloques cifrados sin posibilidad de reconstrucción.
Esta neutralización del contenido implica también la neutralización de la cadena de explotación, porque el enemigo no puede obtener credenciales, configuraciones, rutas de acceso ni información operativa que le permita replicar o comprometer sistemas aliados.
Para que esta negación sea doctrinalmente válida, la trazabilidad debe registrar quién generó la información, quién la accedió, qué claves la protegían y en qué momento se destruyeron, manteniendo evidencias verificables conforme a los requisitos de auditoría establecidos en las AJP de seguridad CIS, que exigen registros íntegros y mecanismos de supervisión capaces de demostrar que los procedimientos se ejecutaron correctamente.
El resultado operativo es que la pérdida física del dispositivo deja de constituir una brecha: la información queda neutralizada, el adversario no obtiene inteligencia y la interoperabilidad aliada se mantiene porque todos los actores aplican mecanismos equivalentes de protección, destrucción y verificación.
El catálogo NIAPC: Garantía de interoperabilidad y certificación
La OTAN mantiene un catálogo oficial denominado NIAPC, el NATO Information Assurance Product Catalogue. Este catálogo existe realmente y recoge productos (hardware, software y soluciones criptográficas) que han sido evaluados y acreditados para su uso en entornos OTAN. El NIAPC incluye información sobre fabricantes aprobados, productos certificados, niveles de acreditación y conformidad con STANAG aplicables.
La existencia de este catálogo permite a las naciones aliadas seleccionar productos que cumplen los requisitos de seguridad y que han sido evaluados conforme a criterios comunes, lo que facilita la interoperabilidad y reduce el riesgo asociado a la adquisición de soluciones no verificadas.
El NIAPC se consulta a través del NIAPC Portal, accesible para personal autorizado de las naciones aliadas. La versión pública del catálogo es NATO UNCLASSIFIED y muestra únicamente productos cuya acreditación no implica información clasificada. La versión completa requiere credenciales OTAN y se utiliza en procesos de adquisición, despliegue y evaluación de seguridad. Para conocer qué fabricantes están incluidos en el catálogo, se debe acceder al portal NIAPC mediante los canales oficiales de la OTAN.
Los productos acreditados aparecen listados por categoría (cifrado, almacenamiento seguro, HSM, comunicaciones seguras, etc.) junto con su estado de certificación y su conformidad con los STANAG correspondientes. Este catálogo no solo identifica productos aprobados, sino que también establece qué soluciones pueden emplearse en infraestructuras clasificadas y bajo qué condiciones.
➡️ Te puede interesar: Política de defensa y geopolítica: España frente a las tensiones atlánticas y europeas en la OTAN
La existencia del NIAPC garantiza que los productos utilizados en entornos OTAN han sido sometidos a evaluaciones rigurosas y cumplen los requisitos de seguridad establecidos por la Alianza. Esto es especialmente importante en el ámbito de la criptografía, donde la confianza en los mecanismos de protección depende de la verificación independiente y de la conformidad con estándares reconocidos.
La acreditación de productos no es un proceso permanente; los fabricantes deben mantener sus certificaciones y actualizar sus productos conforme a los cambios en los STANAG y las AJP. Esto asegura que las soluciones empleadas en infraestructuras aliadas se mantengan actualizadas frente a nuevas amenazas y vulnerabilidades.
En conjunto, la criptografía de almacenamiento, la gestión jerárquica de claves, la supresión criptográfica y el uso de productos acreditados en el NIAPC conforman un marco coherente y verificable para garantizar la protección del dato en infraestructuras OTAN.
Este marco no es opcional; es un requisito doctrinal que asegura que la información aliada permanezca protegida durante todo su ciclo de vida y que, cuando sea necesario, pueda ser neutralizada de forma irreversible para impedir su recuperación por parte de actores no autorizados.
➡️ Si quieres ser un experto en Ciberseguridad, te recomendamos el siguiente curso formativo:
