Certificación LINCE: lo que debes saber para incluir tu software en el catálogo CPSTIC

En el ámbito de la ciberseguridad, las empresas tecnológicas que desarrollan software para sectores sensibles —como defensa, infraestructuras críticas o administración pública— se enfrentan al reto de acreditar la seguridad de sus productos. Aquí es donde entra en juego la certificación LINCE, un mecanismo ágil y reconocido para evaluar la robustez técnica de un producto y facilitar su inclusión en el catálogo CPSTIC del CCN-CERT.

¿Qué es la evaluación LINCE y en qué consiste?

La evaluación LINCE (acrónimo de Evaluación Nacional de Seguridad de Productos de Tecnologías de la Información) es un esquema de certificación promovido por el Centro Criptológico Nacional (CCN). Su objetivo es comprobar que un producto cumple con los requisitos mínimos de seguridad necesarios para ser utilizado en entornos críticos del sector público español.

Esta certificación se caracteriza por su enfoque práctico, ágil y menos costoso que otras evaluaciones como Common Criteria. Está diseñada para:

• Facilitar la incorporación de nuevos productos al mercado de la administración.
• Establecer una garantía objetiva de seguridad en productos TIC.
• Ser accesible a pymes tecnológicas españolas que no pueden asumir las exigencias de esquemas internacionales.

La evaluación LINCE se centra en identificar vulnerabilidades, revisar el ciclo de vida del producto, analizar el código fuente y simular ataques reales para validar la solidez del software evaluado.

¿Por qué es importante estar en el catálogo CPSTIC?

El catálogo CPSTIC (Catálogo de Productos y Servicios de Tecnologías de la Información y la Comunicación Cualificados) del CCN-CERT es la referencia oficial para que las administraciones públicas puedan adquirir soluciones tecnológicas seguras.

Solo los productos que han superado una certificación LINCE o poseen otras acreditaciones equivalentes pueden ser incluidos en este catálogo. Estar dentro del catálogo CPSTIC:

• Aumenta la visibilidad del producto entre organismos públicos y contratistas principales.
• Facilita procesos de contratación pública.
• Aporta confianza a clientes que exigen cumplimiento normativo en materia de seguridad.

Antes de empezar: relación entre LINCE, ENS y el proceso de inclusión

El movimiento más inteligente que puede hacer una empresa que desarrolla software es certificar primero su organización contra el Esquema Nacional de Seguridad (ENS) —especialmente si ya cuenta con una base ISO 27001— y posteriormente certificar sus productos con LINCE para acceder al catálogo CPSTIC.

Este proceso requiere conocer tres documentos clave:

• CCN-STIC 106: guía oficial que detalla el proceso completo de inclusión en el CPSTIC, con anexos específicos según el tipo de producto o servicio.
• CCN-STIC 140: define las taxonomías y familias en las que los productos y servicios pueden ser clasificados dentro del catálogo.

Una vez determinado el modo de inclusión y la familia correspondiente, se debe identificar el tipo de evaluación:

• Producto: debe superar una evaluación LINCE.
• Servicio: evaluación específica con pruebas funcionales y de pentest.
• Producto o servicio de conformidad y gobernanza: también se requiere pentest.

Cómo incluir tu producto en el catálogo CPSTIC con certificación LINCE

El proceso para incluir un producto en el catálogo CPSTIC mediante evaluación LINCE consta de varios pasos clave:

1. Pre-evaluación técnica: se analiza si el producto es apto para someterse a la evaluación. Esta fase suele realizarse en colaboración con una empresa de ciberseguridad acreditada.
2. Contratación de un laboratorio evaluador LINCE: el CCN-CERT mantiene un listado oficial de laboratorios autorizados para realizar evaluaciones bajo este esquema. Si ya trabajas con uno acreditado y tienes buena experiencia, no es necesario cambiar.
3. Desarrollo de la evaluación: incluye la revisión de documentación técnica, análisis de código, pruebas funcionales y ensayos de penetración.
4. Informe final y envío al CCN: si la evaluación resulta satisfactoria, el informe se remite al CCN para su validación.
5. Publicación en el catálogo CPSTIC: una vez aprobado, el producto aparece listado en el catálogo como solución cualificada.

Puedes gestionar la solicitud directamente a través de los formularios del sitio oficial del CCN, o delegar la gestión completa en el laboratorio, si así lo has acordado con ellos.

Empresas de ciberseguridad: apoyo esencial para el proceso LINCE

Muchas empresas de ciberseguridad actúan como guías en este proceso, especialmente si el desarrollador no cuenta con experiencia previa. Su labor puede ser determinante para:

• Preparar al equipo técnico del fabricante.
• Resolver dudas sobre documentación o pruebas necesarias.
• Acompañar la relación con el laboratorio y el CCN.

En Edorteam ayudamos a empresas tecnológicas a adaptar sus soluciones a los requisitos de seguridad, documentar correctamente el proceso y presentarse a la evaluación LINCE con garantías.

LINCE frente a Common Criteria: diferencias, costes y tiempos

Una pregunta frecuente entre los CISO y responsables técnicos de software es: ¿Qué diferencias hay entre la certificación LINCE y Common Criteria?

Característica	LINCE	Common Criteria
Ámbito	España	Internacional
Duración media	3-6 meses	12-18 meses
Coste estimado	Bajo / medio	Alto
Complejidad técnica	Moderada	Elevada
Reconocimiento público	CPSTIC (España)	Reconocimiento global

Mientras que Common Criteria sigue siendo el estándar de referencia internacional, LINCE se posiciona como una alternativa práctica y eficiente para el mercado nacional, especialmente útil en fases iniciales de comercialización o en sectores donde se prioriza el cumplimiento local.

¿Qué tipo de productos deben optar a una certificación LINCE?

La certificación LINCE está pensada para productos que tengan potencial aplicación en entornos públicos o críticos. Algunos ejemplos:

• Firewalls y sistemas de detección de intrusos.
• Software de cifrado y comunicaciones seguras.
• Gestores de identidades y control de accesos.
• Plataformas de gestión documental y ERP utilizados por administraciones.

Los responsables de seguridad (CISO) de estas empresas deben considerar la evaluación LINCE no solo como un requisito, sino como una palanca para abrir nuevos mercados.

¿Qué documentación y requisitos son necesarios?

Durante la evaluación, el fabricante debe proporcionar:

• Manual de instalación y operación.
• Documentación de arquitectura y componentes.
• Código fuente (o binarios en ciertos casos).
• Evidencias del ciclo de vida seguro del software.

El proceso también exige que el producto esté en una versión estable, con un roadmap claro de mantenimiento y una política de gestión de vulnerabilidades.

Consejos prácticos para preparar tu producto a la evaluación LINCE

1. Realiza un preanálisis de seguridad antes de entrar al proceso formal.
2. Documenta bien tu producto: cuanto más claras estén las funciones de seguridad, más ágil será la evaluación.
3. Consulta con expertos: una consultora como Edorteam puede ayudarte a presentar tu producto con garantías.
4. Prepara a tu equipo: deben conocer qué partes del código o documentación pueden ser auditadas.

Conclusión: la certificación LINCE como puerta de entrada al sector público

La certificación LINCE representa una oportunidad para empresas tecnológicas que quieran posicionar sus soluciones en el sector público español. Incluir tu software en el catálogo CPSTIC del CCN mejora tu imagen como fabricante, abre nuevas oportunidades de negocio y fortalece tu reputación ante clientes exigentes en términos de cumplimiento.

En Edorteam acompañamos a desarrolladores de software y fabricantes TIC durante todo el proceso de preparación, evaluación e inclusión en el catálogo CPSTIC. Si quieres saber si tu producto es elegible, contacta con nosotros para una valoración inicial sin compromiso.