CICLON vs LINCE: Impulsando la Seguridad en los Servicios Cloud
01 jul 2026CiberseguridadEl panorama de la ciberseguridad evoluciona a un ritmo drástico y su complejidad no hace más que crecer. A medida que las tecnologías digitales se integran en todos los ámbitos de nuestra vida, la superficie de ataque también aumenta.
Esta realidad no afecta solo a las grandes empresas. Según el informe Cyber Readiness Report 2025 de Hiscox, el 59% de las pymes sufrió al menos un ciberataque en los últimos doce meses.
Los datos no mienten: las organizaciones necesitan evaluaciones prácticas, fiables y con garantías reales para proteger sus sistemas, productos y clientes en el ecosistema digital. Con ese objetivo nació la Certificación LINCE: una vía de acceso al catálogo de productos CPSTIC y una herramienta clave para la cualificación bajo el Esquema Nacional de Seguridad (ENS).
Sin embargo, el escenario vuelve a transformarse. La Inteligencia Artificial y la computación en la nube están acelerando la forma en que los productos y sistemas se desarrollan, despliegan y actualizan. En este contexto, los procesos de certificación tradicionales pueden quedarse cortos. Aunque LINCE sigue siendo una metodología de evaluación valiosa, no siempre es la más adecuada para servicios cloud en constante evolución.
La buena noticia: en marzo de 2026, el Centro Criptológico Nacional (CCN) publicó la versión 1.0 de la Metodología de Evaluación de Productos Cloud, conocida como certificación CICLON. Esta nueva metodología da respuesta a la necesidad de evaluar productos TIC desplegados en la nube.
¿No tienes claro qué certificación se adapta mejor a tu caso? A continuación, analizamos ambas metodologías, sus puntos fuertes y el contexto que necesitas para elegir el camino correcto.
Qué es la Certificación LINCE
La Certificación LINCE es una metodología española de evaluación de ciberseguridad diseñada para productos TIC desplegados en entornos con requisitos de seguridad básicos o sustanciales, según lo establecido en el artículo 52 del Reglamento Europeo de Ciberseguridad.
En la práctica, LINCE resulta especialmente útil para fabricantes y proveedores que necesitan demostrar que sus productos cumplen con estándares de seguridad reconocidos y son de confianza en el ámbito público o en sectores regulados. Su principal valor radica en el acceso que facilita al catálogo de productos CPSTIC y a la cualificación bajo el ENS.
Para los proveedores tecnológicos, este reconocimiento es un requisito fundamental cuando se ofrecen productos y servicios a administraciones públicas, sectores críticos u organizaciones que exigen garantías sobre la seguridad de lo que despliegan.
La metodología es especialmente relevante para productos con arquitecturas y ciclos de lanzamiento relativamente estables, donde la versión evaluada puede seguir siendo representativa del producto a lo largo del tiempo. Por ello, LINCE encaja bien con herramientas de seguridad, productos software, componentes de red u otras tecnologías que requieran reconocimiento formal en el ecosistema español de ciberseguridad.
Qué es la Certificación CICLON: todo lo que necesitas saber sobre la infraestructura de seguridad en la nube
Para responder a la necesidad de evaluar la seguridad de los productos TIC desplegados en entornos cloud, el CCN desarrolló la certificación CICLON. Esta nueva metodología aborda un desafío que los modelos tradicionales de certificación no fueron diseñados para resolver: la infraestructura de seguridad en la nube.
Los entornos cloud cambian con rapidez, se actualizan de forma frecuente y no pueden evaluarse con el mismo enfoque que se aplica a productos más estáticos.
Ahí reside la diferencia esencial entre CICLON y LINCE. CICLON está especialmente orientado a proveedores que necesitan demostrar una seguridad continua en sus servicios cloud. Aunque su estructura refleja en parte la de LINCE ,con documentación oficial, plantillas y un proceso de evaluación definido, esta se adapta a la velocidad, la flexibilidad y la realidad operativa de los entornos en la nube.
La certificación CICLON resulta especialmente útil cuando necesitas:
- Garantía continua, en lugar de una evaluación puntual.
- Una metodología adaptada a servicios cloud, actualizaciones frecuentes e iteración ágil.
- Soporte de evaluación automatizado para reducir la carga manual.
- Una puntuación de confianza dinámica, en lugar de un simple resultado de APTO/NO APTO.
- Visibilidad de dependencias basada en SBOM para gestionar el riesgo de terceros.
De LINCE a CICLON: reforzando la infraestructura de seguridad en la nube
En muchos casos, el paso de LINCE a CICLON no implica sustituir una metodología por otra, sino responder a cómo se entrega el producto.
LINCE sigue siendo muy relevante para productos TIC con versiones estables, configuraciones definidas y condiciones de evaluación reproducibles en laboratorio. Sin embargo, cuando ese mismo producto evoluciona hacia un servicio basado en la nube, con actualizaciones continuas, dependencias de terceros, cambios en la infraestructura y sin acceso físico para los evaluadores, el modelo de evaluación tradicional puede volverse difícil de aplicar.
Aquí es donde la certificación CICLON emerge como el paso natural. En lugar de basarse únicamente en una evaluación en un momento concreto, CICLON introduce un modelo iterativo sustentado en una evaluación inicial seguida de una monitorización periódica. Esto permite valorar la postura de seguridad del producto a lo largo del tiempo, algo que refleja con mayor fidelidad la realidad operativa de los servicios cloud.
Para los proveedores, este escenario de transición se activará cuando un producto previamente adecuado para LINCE se convierta en cloud-native, SaaS o híbrido. En ese contexto, la certificación CICLON proporciona una vía más apropiada para demostrar las garantías de seguridad de los servicios TIC en la nube, manteniendo al mismo tiempo el alineamiento con el objetivo más amplio de fomentar la confianza, la cualificación y el acceso al ecosistema español de ciberseguridad en el sector público.
Te acompañamos en tu proceso de certificación
Sobre el papel, el proceso de certificación puede parecer sencillo. En la práctica, navegar por la documentación, coordinar con los distintos grupos de interés, definir una declaración de seguridad sólida y demostrar cómo se protege cada superficie de ataque requiere una experiencia técnica real.
Como laboratorio acreditado por el CCN, DEKRA cuenta con un historial probado en un amplio espectro de certificaciones: Criterios Comunes, LINCE y CPSTIC. A través de nuestro enfoque estructurado, verificamos que los productos TIC cumplen los requisitos básicos de ciberseguridad y alcanzan la conformidad con la normativa y los estándares aplicables.