Las soluciones cross-domain (CDS, por sus siglas en inglés) consisten en el intercambio seguro de información entre dominios de seguridad. Este tipo de solución, que surgió para dar respuesta tecnológica a la necesidad de compartir datos entre redes segregadas o clasificadas, ha experimentado un gran aumento de demanda debido a su aplicación creciente en los sistemas militares de mando y control y en la protección de infraestructuras críticas. 

La creciente digitalización hace a las sociedades modernas muy dependientes de la disponibilidad de infraestructuras digitales en sectores estratégicos, por lo que la tendencia es aplicar en estos ámbitos los mecanismos de protección proporcionados por este tipo de soluciones. La organización de la información confidencial o sensible de una nación u organismo en niveles, con el fin de controlar el acceso a la misma, recibe el nombre de «esquemas de clasificación de la información». 

En sus orígenes, la información confidencial se manejaba en papel y los accesos se gestionaban mediante controles físicos y procedimentales. Cuando surgieron las redes de ordenadores, se siguieron los mismos criterios: la información de los distintos niveles L se gestionaba en redes separadas de cada nivel, completamente aisladas de cualquier otra red. Los intercambios de información (entradas y salidas) con estas redes se llevaban a cabo mediante la intervención humana, con algún soporte físico y siguiendo estrictos procedimientos. Con el crecimiento de los volúmenes de información y del número de formatos, esta aproximación dejó de ser operativa. Surgió, entonces, la necesidad de automatizar este proceso. Lógicamente, esta automatización no debería poner en riesgo las propiedades de seguridad de las redes entre las que se transfiere la información.

Para comprender las soluciones cross-domain, así como su evolución y los retos de estos sistemas de intercambio de información, es necesario manejar ciertos conceptos clave, como son los dominios de seguridad, las interconexiones o la asimetría, entre otros. En los entornos de información clasificada, se consideran dominios de seguridad aquellas redes que manejan información de un determinado nivel de clasificación y están gestionadas por una determinada autoridad operativa. Pueden existir dominios de seguridad distintos con el mismo nivel de clasificación y que no puedan conectarse directamente por estar gestionados por autoridades operativas distintas. 

En entornos militares, esto es habitual en las redes de misión o en las redes de organismos multinacionales. En ambos casos no se pueden conectar directamente a las redes nacionales, aunque sean de igual o equivalente nivel de clasificación. El concepto de dominio de seguridad puede extenderse también a redes que se mantienen aisladas por conveniencia, aunque no manejen información clasificada ni existan obligaciones formales. Se denomina interconexión al conjunto de intercambios de información entre dos dominios de seguridad. Cuando haya dos dominios de seguridad entre los que exista una necesidad de intercambio de información, se debe analizar la interconexión con los criterios generales de los riesgos y amenazas que puede introducir dicha interconexión a los activos de información de ambos dominios. Los criterios que aplica cada nación no son totalmente transparentes y, por lo general, son, a su vez, materia clasificada. Existe normativa OTAN de referencia que establece criterios y principios generales. 

No obstante, las casuísticas son muy amplias, ya que intervienen muchos factores, como la diferencia de niveles entre los dominios a comunicar, las necesidades operativas, los riesgos, etc. Hablando en sentido amplio, una solución cross-domain no es un único dispositivo o sistema, sino un conjunto de medidas (hardware, software, medias organizativas, etc.) que se despliegan para una determinada interconexión. El número y las características de estas medidas dependen del análisis de riesgos, de los niveles de seguridad de los dominios implicados en la interconexión y de características particulares del entorno, que pueden introducir restricciones adicionales. En sentido estricto, habitualmente se usa el término ‘solución cross-domain’ para referirse al componente central de la interconexión que incluye el medio físico de intercambio de información.

Una característica importante a tener en cuenta en las soluciones cross-domain es la asimetría: el mayor riesgo es la salida de información no autorizada del dominio de mayor clasificación. Se suele hablar de dominios de alta seguridad (o dominio High) y dominios de baja seguridad (o dominio Low). En ocasiones se habla también de dominios interno y externo. En los escenarios habituales de información clasificada, en los que la confidencialidad sea la propiedad más importante a proteger, los flujos de salida o descendentes estarán más restringidos (incluso, en algunas ocasiones no permitidos).

SOLUCIONES CROSS-DOMAIN ACTUALES

Una solución cross-domain debe garantizar que los flujos que la atraviesan sean los previstos y que no existan otros flujos en paralelo. Debe controlar completamente todos los flujos entre los dos dominios. Las aproximaciones que se siguen son diversas, pero tienen en común que dan soporte específico para los flujos permitidos, es decir, como si se añadiera un puente específico para cada uno de los flujos de datos que se soportan. Esta aproximación es radicalmente distinta a la de un firewall, donde se aplica sólo filtrado para decidir si un flujo pasa o no, pero el flujo se transfiere tal cual. Hay una serie de criterios generales que se aplican en todas las soluciones cross-domain actuales: 

■ Los flujos entre dominios tienen que estar definidos y documentados.

 ■ Separación de los flujos de entrada y salida en la medida de lo posible. 

■ Rotura completa de la pila de protocolos. 

■ Evitar la comunicación interactiva entre los dominios. 

■ Filtrado estricto de todos los datos intercambiados. 

Cuando no se pueda garantizar de otra manera la seguridad de un tipo de transferencia, se recurre a autorizaciones humanas, que los sistemas puedan validar mediante etiquetado y firmas digitales. 

En base a las propiedades de seguridad de los activos a proteger, se pueden distinguir los siguientes escenarios de aplicación de las soluciones cross-domain: 

Escenarios clásicos de redes clasificadas: Su objetivo central es el de proteger la confidencialidad de los datos del dominio de mayor seguridad. La aproximación más drástica consiste en limitar completamente la salida de información, por ejemplo, mediante diodos de datos. En escenarios donde esto no sea posible o necesario se aplicarán mayores restricciones a los flujos de salida que a los de entrada. 

Escenarios de infraestructuras críticas: En estos casos, la red de control industrial se mantiene aislada para garantizar su integridad y disponibilidad. Sin embargo, es necesario enviar datos al exterior para monitorización de gestión y explotación. Este caso se resuelve tradicionalmente mediante diodos de datos situados de manera que permitan el flujo desde la red aislada hacia el exterior, pero no al revés. 

Escenarios corporativos: Consiste en mantener ciertos activos críticos de una organización en una red aislada bien por confidencialidad, bien por disponibilidad o integridad. Es llevar la segmentación un paso más allá. Se pueden aplicar las mismas soluciones que en los otros escenarios adaptándolas convenientemente al caso particular. 

PERSPECTIVAS DE FUTURO 

A medida que los sistemas se vuelven más complejos, las soluciones cross-domain deberán continuar adaptándose para enfrentar nuevos desafíos. En este sentido, se pueden destacar varias tendencias que marcarán el futuro de las CDS en el medio y largo plazo. 

En primer lugar, la integración con arquitecturas multicloud y entornos distribuidos, donde las CDS están evolucionando para garantizar la interoperabilidad segura entre múltiples nubes y redes dispersas permitiendo a empresas y organizaciones operar en entornos complejos mientras se aseguran de que los datos fluyen de manera segura. En segundo lugar, cabe destacar la necesidad de garantizar la seguridad en infraestructuras críticas y entornos del Internet de las Cosas (IoT), algo para lo que los sistemas cross-domain son cruciales, pues deben ser capaces de gestionar grandes volúmenes de datos en tiempo real garantizando que solo la información autorizada cruce los dominios. 

En tercer lugar, con el advenimiento de la computación cuántica, las CDS deberán adaptarse a nuevas amenazas relacionadas con la criptografía. Las soluciones futuras incorporarán criptografía poscuántica, que ofrece nuevas formas de proteger las propiedades de seguridad necesarias en muchas partes de las soluciones cross-domain de los desafíos que plantea la computación cuántica.

EL MERCADO DE SOLUCIONES CROSS-DOMAIN 

En España, el mercado de las soluciones cross-domain está alineado con los sectores de mayor sensibilidad, como son la defensa y las infraestructuras críticas. En el ámbito de la defensa, las Fuerzas Armadas y el Ministerio de Defensa han aumentado su inversión en ciberseguridad y tecnologías de interoperabilidad, como las CDS, para mejorar la protección y el intercambio de información clasificada. Respecto a las infraestructuras críticas, sectores como la energía, el transporte y las telecomunicaciones requieren soluciones cross-domain para asegurar la interoperabilidad segura de sus sistemas de control y operativos. Se espera que, de cara al futuro, el mercado de las soluciones cross-domain siga creciendo en España. 

La modernización militar y la creciente cooperación internacional en el ámbito de la defensa (OTAN, UE) impulsarán la adopción de CDS para garantizar la interoperabilidad segura de los sistemas de defensa. Se espera, de hecho, que la inversión en CDS en el sector defensa crezca en torno a un 10-12 % anual hasta 2030. Además, la protección de infraestructuras críticas será uno de los principales motores de crecimiento de las CDS. Con la adopción del internet de las cosas en estos sectores, la necesidad de asegurar las comunicaciones entre sistemas OT y TI aumentará. Se espera que este sector experimente un crecimiento anual del 8-10 % en la implementación de CDS. 

Como importante factor de crecimiento, cabe destacar también la modernización de los sistemas de la administración pública y el cumplimiento con el ENS, que seguirá impulsando la adopción de sistemas cross-domain, especialmente en proyectos de interoperabilidad segura entre ministerios y agencias públicas. Se estima que este mercado tendrá un crecimiento anual sostenido en torno al 8-10 %. En Europa, el mercado del cross-domain es todavía más amplio debido a la presencia de múltiples organizaciones gubernamentales, alianzas militares como la OTAN, y la necesidad de interoperabilidad entre los miembros de la Unión Europea. Las CDS son cruciales para la defensa, la ciberseguridad, y el cumplimiento normativo en sectores como las infraestructuras críticas y los servicios financieros. Se estima que el mercado europeo de CDS tenga una tasa de crecimiento anual del 10-12 % hasta 2030. El mercado de CDS está en una fase de crecimiento acelerado a nivel español, europeo y mundial, impulsado por la creciente digitalización, la necesidad de proteger la información clasificada y crítica y el cumplimiento normativo en sectores estratégicos. La ciberseguridad en defensa, las infraestructuras críticas y el uso de arquitecturas multicloud serán los principales impulsores de este mercado en los próximos años.

AUTEK, LÍDER EN SOLUCIONES CROSS-DOMAIN 

Autek es una empresa española especializada en el desarrollo de soluciones cross-domain con tecnología propia, certificada por entidades como el Centro Criptológico Nacional (CCN) y la OTAN. La compañía es pionera en España en ofrecer productos avanzados de intercambio seguro de información entre redes con distintos niveles de clasificación de seguridad. Autek se enfoca en sectores estratégicos, como defensa y seguridad, protegiendo los intercambios seguros de información clasificadas de la Administración y las Fuerzas Armadas, infraestructuras críticas, asegurando las interconexiones entre redes de control industrial y redes administrativas en sectores como energía y transporte así como en el ámbito aeroespacial, colaborando en proyectos de alta seguridad para asegurar el intercambio de información en sistemas complejos. Autek no solo destaca por su innovación tecnológica en CDS, sino también por su enfoque en la mejora continua y la colaboración cercana con sus clientes para garantizar soluciones seguras y a la medida de sus necesidades. Con estos productos y su enfoque en la ciberseguridad, Autek ha ganado una sólida reputación en sectores críticos, posicionándose como un socio clave para la protección de la información clasificada en España y más allá.

Principales productos de Autek en soluciones cross-domain: 

PSTgateways: Estas pasarelas de seguridad son dispositivos bidireccionales que permiten el intercambio de datos entre dominios de alta y baja seguridad. Están diseñadas para proporcionar separación física de redes, rotura de la pila de protocolos TCP/ IP y filtrado avanzado. Su arquitectura incluye dos dispositivos (appliances) que gestionan la comunicación desde ambos dominios. Se comercializan como productos COTS, pero también existen soluciones específicas para ciertos casos de uso (escenarios JISR, información de control de tráfico aéreo, información de mando y control, etc.) 

PSTdiode: Son diodos de datos hardware que permiten la transferencia unidireccional de información entre dominios, ofreciendo una garantía física de que la transmisión solo puede realizarse en una dirección. Estos diodos se utilizan en entornos donde la seguridad extrema es crítica, como en redes militares o infraestructuras críticas, evitando cualquier posibilidad de retorno de datos que pudiera comprometer la seguridad. Los productos de Autek cuentan con la certificación Common Criteria hasta EAL 4+, un estándar internacional que certifica la seguridad de los productos. Además, la empresa ha sido incluida en los listados del NIAPC (Nato Information Assurance Product Catalog), lo que subraya su compromiso con los más altos estándares de seguridad.