Así responde una empresa cuando es víctima de un ciberataque

El número de ataques cibernéticos contra empresas europeas ha crecido un 30% en el último año, según ThreatMetrix. Además, las pequeñas empresas corren un mayor riesgo que las grandes organizaciones, al concentrar el 43% de los ataques, que además son fatales para su negocio: el 60% de las pymes acaban cerrando las persianas justo en unos seis meses tras un ataque cibernético.

Ante este panorama, complicado todavía más con la proliferación de amenazas avanzadas y una amplia heterogeneidad de tipologías de ataques, las compañías cada vez lo tienen más difícil para protegerse en un mundo convulso. De hecho, una de las premisas que más se repiten en los mentideros del sector es que la seguridad absoluta no existe: lo único que se puede hacer es estar preparados para responder al ciberataque cuando (y no "si") se produzca.

Decirlo suele ser más fácil que hacerlo, pero la mayoría de empresas suelen seguir unos mismos protocolos y contar con unos recursos y estrategias más o menos similares a la hora de responder a los ciberataques. Entre todo ello, destaca la existencia de planes de respuesta perfectamente detallados con anterioridad a las amenazas, la creación de equipos especializados en situaciones críticas o la puesta en marcha (o subcontratación) de centros operativos de seguridad.

¿Cómo se responde a un ciberincidente?

Para poder responder ante un ciberataque en el menor tiempo posible, las compañías suelen diseñar lo que se conocen como planes de respuesta ante incidentes. Se trata de una suerte de hoja de ruta donde se contemplan aspectos tan variados como la evaluación de daños, la gestión del equipo humano que debe afrontar el problema o los sistemas de recuperación de desastres y de continuidad de negocio.

Leer más: Qué es el Esquema Nacional de Seguridad y cómo protege nuestro ciberespacio

La importancia de disponer de este plan es máxima. Imagina un ciberataque, ya sea uno relativamente sencillo (como uno de denegación de servicio, DDoS) o uno más complejo (phishing, ransomware, etc.): en caso de que los ciberdelincuentes hayan conseguido burlar las defensas, es muy probable que la empresa sólo sea consciente de que está comprometida en el instante de que todos sus sistemas TIC caigan o muestren alguna incidencia grave. En ese momento, no hay demasiado tiempo para pensar o trazar estrategias, ya que la prioridad es volver a la normalidad cuanto antes, por lo que es esencial tener perfectamente trazados todos los pasos a dar con anterioridad.

El INCIBE recomienda organizar este plan en base a cuatro momentos clave que se suceden en todo ciberataque: preparación (aquí entran medidas de prevención —filtros y bloqueos, firewall, políticas de uso de dispositivos personales, etc.— y de monitorización —que permiten detectar cualquier anomalía sospechosa—), detección y análisis (entendiendo tanto la parte técnica —herramientas— como humana —expertos en ciberseguridad—, que evalúen no solo el ataque en sí sino además los daños causados y la información comprometida), contención, resolución y recuperación (entran en juego también los equipos y tecnologías —como backups o servidores alternativos— que tengamos para solventar el problema) y las acciones posteriores al cierre (principalmente el análisis forense y la ingeniería inversa que nos ayudarán a entender mejor lo sucedido y tomar medidas correctivas de cara al futuro).

La importancia de los SOC y los CERT

En todo este proceso, entran en juego los equipos de respuesta a emergencias de computación (CERT). Se trata de grupos de trabajo especializados en actuar rápidamente en estas situaciones críticas, que cuentan con personal especializado en ciberseguridad desde todas sus vertientes: administración de redes, sistemas, protección de datos, etc. Su único cometido es, por tanto, vigilar cualquier posible intrusión en el ecosistema de la entidad a la que protegen y activar los planes correspondientes para asegurar la continuidad de las operaciones y mitigar al máximo los daños de la ciberamenaza.

Los CERT se crearon por primera vez en 1988 en la Universidad Carnegie Mellon, en Estados Unidos y desde entonces se han ido extendiendo principalmente en el ámbito público y de investigación. En España, por ejemplo, el más conocido es el CERT del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia. Creado en 2006, este equipo está especializado en proteger y realizar alertas tempranas sobre cualquier ciberataque que aceche a sistemas clasificados o estratégicos de las Administraciones Públicas y de algunas empresas cuya operativa es considerada crítica para el funcionamiento del país.

En paralelo a los CERT (a los cuales puede englobar o no), ha surgido otro término más técnico y con una base física (instalaciones dedicadas) como es el de SOC (Centro Operativo de Seguridad, por sus siglas en inglés). La filosofía que subyace es parecida: concentrar un equipo multidisciplinar especializado en la detección, análisis y respuesta ante ciberamenazas de todo tipo. Como detalle, cuando uno entra en cualquiera de estos SOC, que no dejan de ser grandes salas de mando con mesas de trabajo dispuestas a lo largo y ancho de la habitación, uno de los elementos imprescindibles suele ser una gran pantalla central en la que se muestran, en tiempo real, los distintos ataques detectados, su origen y otra información clave para el trabajo de todos los expertos.

La mayoría de grandes corporaciones disponen de su propio SOC para vigilar y responder a cualquier incidencia que les afecte, pero en muchos otros casos (y como es norma en el caso de compañías medianas o con menos capacidad técnica) se opta por centros operativos de seguridad de terceros. Así pues, consultoras tecnológicas, proveedores de red y operadores de telecomunicaciones han encontrado en esta necesidad un importante nicho de actividad con el que complementar los servicios que ya venían ofreciendo a sus clientes.

Es el caso, por ejemplo, del SOC de Entelgy en Madrid. Inaugurado en 2016, dispone de más de 350 profesionales en ciberseguridad que, solo en el primer año de vida del centro, gestionaron unos 20.000 incidentes de gran impacto y más de 2.000 casos de fraude online que afectaban a otras 250 compañías, tanto españolas como latinoamericanas. Eso sin olvidar el enfoque preventivo para los clientes, para lo que esta consultora -a través de su filial especializada InnoTec- realizó más de 1.200 pruebas de hacking ético y test de intrusión, así como más de 5.000 análisis de malware al mes. 

Mismo patrón se repite en la visita al SOC de la británica BT en nuestro país, uno de los 14 que dispone esta firma a escala global, también localizado en la capital. Allí, 30 profesionales trabajan las 24 horas del día en turnos de 18 personas en un centro de acceso restringido que quizás no tenga el glamour de otras instalaciones similares, pero que esconde capacidades tecnológicas de primer nivel como MISP, una base de datos de ciberamenazas en el entorno de la OTAN. Seguro que, además, todos nuestros lectores recuerdan el escándalo mediático que suscitó el ransomware WannaCry el pasado año. Pues bien, fue en este centro donde comenzó a desentrañarse el funcionamiento del mismo apenas una hora más tarde de detectarse la amenaza.

Otro de los grandes actores del sector, Telefónica, ha dado incluso un paso más allá en esta apuesta por los centros operativos en seguridad al abrirlo a otros actores para favorecer la cooperación en la lucha contra la ciberdelincuencia. Así pues, el pasado abril se anunciaba una alianza entre el operador español con Etisalat, Singtel y SoftBank para poner en común sus 22 SOC con alcance en 60 países, 6.000 expertos en la materia y 1.200 clientes en total.