España dispone de un organismo, integrado en el Centro Nacional de Inteligencia, el Centro Criptológico Nacional con su departamento para ‘Capacidad de Respuesta a Incidentes, CCN-CERT’. Su responsabilidad es hacer frente a ciberataques sobre sistemas clasificados, organismos de la Administración y de empresas de estratégicos.
Las amenazas persistentes avanzadas, conocidas por sus siglas en inglés, APT, han pasado en poco más de dos años, a ser el verdadero quebradero de cabeza para los responsables de ciberseguridad en Gobiernos, Administraciones Públicas y organizaciones privadas. Prueba de ello es el reciente informe Mandiant1 en el que se pone de manifiesto el incremento del ciberespionaje, tanto político como industrial, y la importancia de proteger la información como principal activo, tanto en el ámbito público como empresarial.
Por ello, se hace imprescindible una apuesta decidida por la ciberseguridad, como la mantenida por el Centro Criptológico Nacional, y su Capacidad de Respuesta a Incidentes, CCN-CERT, que mantiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas pertenecientes a sectores estratégicos.
El término APT fue acuñado por la Fuerza Aérea de Estados Unidos, en el año 2006, para referirse a aquellos ciberataques contra objetivos específicos y realizados durante largos períodos de tiempo. De hecho, la persistencia en el tiempo y lo avanzado o complejo (tanto por las técnicas empleadas como por los procedimientos de actuación desarrollados) son las características que definen un APT.
El objetivo de un APT es mantener una presencia prolongada (incluso de años) sobre los sistemas de información de la víctima. Una víctima que es escogida convenientemente (nada que ver con las amenazas masivas) por el valor de la información que alberga y/o por la repercusión que su actividad puede tener en el conjunto del país o de la organización en la que trabaja.
Así, el mayor peligro de un APT es que el atacante posee capacidades técnicas significativas que permiten llegar a tener un control absoluto del ordenador de la víctima y sin que los productos de seguridad tradicionales sean capaces de detectarlos.
El CCN-CERT frente a los ataques dirigidos
Su mayor peligro es que el atacante posee capacidades técnicas significativas (utiliza técnicas complejas y a menudo combina varios procedimientos y tecnologías) que permiten llegar a tener un control absoluto del ordenador de la víctima y sin que los productos de seguridad tradicionales sean capaces de detectarlos (antivirus, cortafuegos, cifrados.). Además, emplea numerosas formas de ataque hasta conseguir que la víctima «abra la puerta a la información»: Internet y los distintos dispositivos que permiten su acceso (páginas web, enlaces, correo electrónico, redes sociales), ingeniería social, etc.
Ciberespionaje y ciberespionaje industrial
Desde que a principios del año 2010 saliera a la luz la denominada «operación Aurora» se ha ido poniendo de manifiesto que los objetivos de los atacantes se están moviendo cada vez más hacia el robo de información sensible de grandes corporaciones y organismos gubernamentales3. Algo lógico si tenemos en cuenta que en un mundo interconectado, dependiente absoluto de las nuevas tecnologías, la información es, más que nunca, poder y la información se encuentra almacenada en los sistemas y equipos informáticos de las organizaciones y del personal de las mismas.
De ahí el avance del ciberespionaje, cuyo origen hay que buscarlo tanto en las empresas como en los propios Estados, y cuya naturaleza puede ser política o económica, pero siempre con un mismo motivo: obtener una ventaja sobre otras personas, instituciones o países.
La información valiosa, sensible y/o clasificada de un Gobierno; la propiedad industrial de un nuevo modelo de satélite, las patentes de un laboratorio farmacéutico, el modelo de utilidad de una empresa energética, los procedimientos de seguridad de una central nuclear, el core bancario. sobre toda esta información descansa el normal funcionamiento de un país y su actividad económica. La defensa de este activo, por lo tanto, debe ser una prioridad nacional.
El ataque denominado «Aurora» se detectó a principios del año 2010 (aunque estaba en marcha desde muchos meses atrás) contra diversas empresas, destacando entre ellas a Google es de los ataques dirigidos más sofisticados hasta ahora registrados y conocidos públicamente. Estaba destinado al robo de información sensible (propiedad intelectual, estrategias de actuación..) y fue atribuido por algunos analistas -entre ellos Google- al gobierno Chino.
Desde su creación en el año 2006, el CCN-CERT, del Centro Criptológico Nacional, ha sido consciente de la necesidad de adaptarse a las nuevas formas de ataque. Las defensas tradicionales ya no sirven para hacer frente a unas nuevas amenazas que se desarrollan en el ciberespacio (como nuevo entorno global de actuación) y que tienen en los APT una de sus principales peligros.
Así, por ejemplo, durante el pasado año 2012, el CCN-CERT gestionó más de 4.000 incidentes de ciberseguridad (casi el doble que en 2011), registrados por los distintos sistemas de detección de los que dispone. De ellos, 230 fueron catalogados con una criticidad de muy alto o críticos, buena parte de ellos APT, y no sólo en los sistemas de las Administraciones Públicas (algunas empresas estratégicas también fueron blanco de estos ciberataques).
Como principal organismo responsable de la defensa de los ataques a las Administraciones Públicas y a las empresas estratégicas (aquellos que son básicas para la seguridad nacional y para el conjunto de la economía del país como el de defensa y seguridad, energético, telecomunicaciones, financiero, transporte, sanitario y farmacéutico.), su actuación ha ido siempre encaminada a la defensa preventiva frente a los ciberataques. Todo su esfuerzo se ha desarrollado (y lo seguirá haciendo en el futuro) a incrementar las capacidades de prevención, detección, análisis, respuesta y coordinación ante las ciberamenazas, haciendo énfasis en las Administraciones Públicas, las Infraestructuras Críticas, las capacidades militares y de Defensa, y otros sistemas de interés nacional.
En este sentido, el CCN-CERT ha brindado apoyo técnico y operativo a todas las organizaciones que han sufrido este tipo de ataques, tanto en las etapas de detección, como en la de reacción y contención. A ello se une una política preventiva, en la que trabaja un gran equipo de expertos destinados a investigar sobre técnicas empleadas, funcionamiento de un APT, soluciones y procedimientos más adecuados para hacerlos frente4. Siempre teniendo en cuenta que es fundamental un cambio en la mentalidad de la detección de los ataques, tanto entre las empresas como entre la Administración. Trabajar como si se estuviese infectado, crear y/o potenciar equipos de vigilancia, políticas de seguridad más estrictas e intercambio de información entre el sector público y privado, son algunos de los aspectos que deberían tenerse en cuenta a la hora de hacer frente a las ciberamenazas. La estabilidad y prosperidad de España dependerá en buena medida de ello.
Fuente: Atenea Digital