Si se busca arrancar información, descifrar un mensaje o cualquier otro aspecto vinculado a la "seguridad", la tortura es una de las formas más "efectivas" para conseguir los objetivos marcados. Así lo describe el Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia (CNI), en un manual elaborado en 2013 para luchar contra los ciberataques en el mundo de la Administración. 

La "Guía/Norma de Seguridad de las TIC (Tecnologías de la Información y la Comunicación)" figura entre los manuales "sin clasificar" del CNI, que lo puso "a disposición de las distintas administraciones públicas" junto a otras 16 guías, todas ellas dirigidas "mejorar los requisitos de ciberseguridad exigibles en los sistemas de información y comunicaciones de la Administración". 

Se trata de un aspecto que el CNI considera de primer orden. Dos meses antes de la publicación de este manual, el organismo de inteligencia destacaba en una nota que "la estabilidad y prosperidad de España dependerá en buena medida de la seguridad y confiabilidad del ciberespacio".

El prólogo del documento está firmado por Félix Sanz Roldán, quien entonces se desempeñaba como presidente del CNI y director del Centro Criptológico Nacional. "El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y agresiones, y donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las administraciones públicas", destacaba.

En esa línea, indicaba que "una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración, materializada en la existencia de la serie de documentos CCN-STIC". A dicha serie correspondía, precisamente, este texto, que se englobaba dentro de las "guías generales".

Sanz Roldán subrayaba precisamente que la serie de documentos buscaba "dar cumplimiento a los cometidos del Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad".

En el apartado sobre "criterios de diseño de un criptosistema", el documento indica que "cualquier algoritmo de cifrado, para ser considerado seguro", ha de soportar todos estos ataques y otros no citados", en alusión a las distintas vías que pueden ser empleadas para poner en jaque la seguridad de los sistemas.

"Sin embargo, en la criptografía, como en cualquier aspecto de la seguridad, informática o no, no se debe olvidar un factor muy importante: las personas", apunta, tras lo cual subraya que "el sistema más robusto caerá fácilmente si se tortura al emisor o al receptor hasta que desvelen el contenido del mensaje, o si se le ofrece a uno de ellos una gran cantidad de dinero; este tipo de ataques (sobornos, amenazas, extorsión, tortura...) se consideran siempre los más efectivos". 

Tras conocer este documento, Público contactó en cinco ocasiones con el área de Prensa del CNI para conocer su impresión al respecto, así como para tratar de determinar el uso dado a este documento hasta ahora y saber si existen actualizaciones posteriores que hayan modificado esa terminología sobre la tortura. A pesar de los requerimientos formulados por este periódico, no ha sido posible obtener una respuesta.

En otro punto dedicado a analizar "el factor humano", el documento expresa que "las personas constituyen el elemento más vulnerable en el marco de la seguridad de las tecnologías de la información y comunicaciones". "Voluntaria o involuntariamente, el punto más débil de la seguridad de la información lo constituyen las personas que la tratan: errores, desconocimiento, ataques intencionados… Por este motivo, son las personas un objetivo prioritario en cualquier atacante que quiera acceder de forma no autorizada a la información corporativa", indica.

"Normaliza la tortura"

Jorge del Cura, portavoz del Centro de Documentación contra la Tortura, señala a Público que "la ambigüedad del documento en relación a la tortura es, cuanto menos, preocupante". "En el texto la tortura está normalizada. Da por supuesto que es una práctica normal, habitual... ni siquiera la plantea como una posibilidad excepcional. El párrafo en cuestión es muy ambiguo, pero deja abierta la opción de la tortura para garantizar la seguridad de infraestructuras o informaciones", afirmó.

A su juicio, "si se trataba de avisar de un riesgo, hubiese bastado con decir que el emisor o receptor podrían sufrir presiones, pero en su lugar nombran la tortura, la extorsión o el soborno". Destaca además que el propio manual indica que el Centro Criptológico Nacional "se ocupa de la seguridad de las personas, las infraestructuras o la información corporativa".

Con esos datos sobre la mesa, se plantea cómo actuaría ese organismo en caso de tener que "desencriptar y desactivar" un virus informático y salvar así las infraestructuras estatales". "¿La tortura sería una de las medidas de protección adecuadas para alcanzar la condición de seguridad que el Centro Criptológico Nacional debe proporcionar?", se preguntó.