Ir a contenido

SEGURIDAD EN INTERNET

Los vigilantes de las redes

Los 380 CERT/CSIRT de todo el mundo se coordinan como centros de respuesta ante un ataque informático

Gobiernos, universidades y empresas mantienen las patrullas del ciberpespacio

CARMEN JANÉ / BARCELONA

Los responsables del centro de respuesta ante ataques informáticos de la UPC.

Los responsables del centro de respuesta ante ataques informáticos de la UPC. / JULIO CARBO

Si las redes informáticas son el nuevo canal por el que se mueve la información y la economía mundial, también tienen sus vigilantes que se encargan de que todo el mundo pueda navegar y hacer transacciones sin problemas desde hace casi 30 años. Son los Equipos de Respuesta ante Incidentes de Seguridad Informática (en inglés CSIRT, como se les conoce en Europa, o CERT para los estadounidenses), creados por gobiernos, universidades y empresas para intentar mantener el tráfico de las redes limpio de virus, ataques de denegación de servicio, 'malware' o spam masivo. Y los últimos virus masivos, como el Wannacry o el Petya/NotPetya los han puesto a prueba.

Los CERT son, por lo general, lugares modestos. En el esCERT-UPC, de la Universitat Politècnica de Catalunya (UPC), el más veterano de España, una se espera local lleno de pantallas que van mostrando en directo el flujo de ataques informáticos del mundo sobre un mapamundi en la más pura estética ‘Juegos de Guerra’. Peor lo que hay es un sótano con ordenadores como los de cualquier empresa, lleno de carteles con bromas informáticas y con siete personas trabajando.

“Hay quien tiene que controlar más información, avisos, de muchas fuentes… y necesitan las pantallas”, afirma el catedrático Manel Medina, fundador y director del esCERT-UPC desde 1994. Otros CERT, como el de las entidades bancarias, son más en apariencia más sofisticados, recuerdan otros. Porque como siempre en informática, la realidad es lo que desde fuera no se ve. Y en este sótano, se hacen auditorías de seguridad (se intentan ver los puntos débiles de los sistemas informáticos de otros), análisis forenses (qué ha ocurrido y por qué) o ayuda ante incidentes de administraciones locales, universidades y pymes. Y siempre con una oreja virtual puesta en los foros de seguridad y lo que se cuece en el mundillo underground, según Medina.

380 CENTROS DE VIGILANCIA

Hay más de 380 CERT en todo el mundo, según la red FIRST, en la que se autocoordinan a nivel mundial e intercambian información.centros creados por gobiernos (hasta Bután tiene el suyo), empresas como Amazon, Apple, Caixabank, BBVA, Google, Airbus, Bank of America, Paypal, Telefónica… que se autofinancian y organismos de investigación, que reciben fondos de gobiernos. Solo la Unión Europea acaba de destinar más de 10,8 millones a reforzar la red CSIRT, que se coordina también por el foro Abuses a nnivel español, en el que participan los proveedores de servicios de internet.

En España el CERT más importante es el CNN-CERT, que depende del Centro Nacional del Inteligencia y que emite los niveles de alerta en ciberseguridad. En Catalunya, Cesicat ejerce como CERT de la Administración catalana. entidades locales y empresas.

Cuando los incidentes de seguridad exigen persecución de la delincuencia, el tema deriva al European Cybercrime Center (EC3), en el que participa Europol, la organización de las policías europeas. Igual que a escala nacional, porque los vigilantes de la red denuncian pero no detienen. Y luego está ENISA, la agencia europea para la seguridad informática.

La cooperación lleva a los CERT a compartir desde el análisis de código de una muestra a las estrategias de reacción. La información fluye a través de una lista de correo restringida y con mensajes encriptados e informes ultraconfidenciales. “Hay cuatro niveles de confidencialidad en la información, desde el de divulgación general a el que solo puede leer quien puede ejecutar órdenes concretas, el “solo para sus ojos”. Porque hay datos que no se pueden difundir hasta que se toman medidas porque podría desactivar toda la operación contra un ataque”, señala Antonio Rodríguez, responsable del área de ciberseguridad del esCERT-UPC.

MÁS COMPLEJO DE UN VIRUS

Ante un ataque como el del ransomware Wannacry, que aprovechaba un fallo de seguridad en Windows que Microsoft ya había parcheado pero que muchos administradores de sistemas no habían actualizado, tuvieron que hacer trabajos extra. Su día a día incluye lidiar con intentos de intrusión, ataques, virus, correos con archivos fraudulentos o spam. Y avisar cuando hay algo anómalo. “Las alertas de los antivirus ya no saltan mucho, ahora son cosas más complejas”, señala Rodríguez.

“Puede ser porque alguien quiera copiar artículos protegidos por ‘copyright’, intentos de entrada en servidores no autorizados, usar las máquinas para alojar porno infantil, lo que quieran… A veces te enteras porque te vienen los Mossos. Una red universitaria, como tiene mucha capacidad, es un objetivo preferente para enviar desde aquí un ataque a otros, por ejemplo”, señala Manel Rodero, técnico de esCERT-UPC. “Cada vez más gente se conecta desde otros lugares a los ordenadores de la UPC, así que eso también hay que asegurarlo”, añade Antonia Gómez, responsable del área de sistemas de inLab.

SISTEMAS DE DETECCIÓN

Entonces hay que recopilar información sobre las entradas a las máquinas, las ‘sondas’ en los puntos delicados de la red, cruzar datos y analizarlos. Y para eso es muy valioso tener automatizados los sistemas de detección. “A veces la información sobre lo que está pasando no la tienes en directo, sino que hay que cotejar herramientas para hacerte una idea. Las hay comerciales y propias, propietarias y sofware libre”, señala Gómez. “Lo de analista de datos es una profesión de futuro, porque hay que ser capaz de interpretar qué ocurre antes de tomar una decisión”, afirma Rodero. “También puede ocurrir que te hagan un ataque que sirva para distraerte mientras te la colocan por otro lado. Hay que estar muy atento”, afirma Rodríguez.

Del origen de los CERT al Wannacry

Los CERT se crearon tras la primera gran crisis mundial por un gusano informático, el Morris, en 1988, que saturó el 10% de los 60.000 servidores de internet existentes entonces. El culpable fue Robert Tappan Morris, un estudiante de 23 años hijo de Robert Morris, un criptógrafo de la NSA que había sido uno de los padres del Unix. Morris hijo aplicó la ciencia de su padre para crear un programa capaz de reproducirse a sí mismo a través de las redes y esconderse después. Había creado el primer gusano informático que se difundiría por internet, una de las mayores pesadillas de los administradores de sistemas desde entonces.  

El autor fue finalmente condenado en el juicio, en el que intentó demostrar ante el juez que solo había pretendido medir internet, que “todo había sido un accidente” y que el programa se le fue de las manos. Pasó tres años bajo libertad condicional y pagó una buena multa, pero acabó dando clases en el MIT, que creyó en su buena fe.

Y la DARPA, la agencia estadounidense que controlaba internet se convenció de que iba a necesitar una acción coordinada si quería que no se repitiera un ataque igual, que solo se pudo mitigar apagando servidores. Así nacieron los CERT, el primero de ellos en Carnegie Mellon, la prestigiosa universidad estadounidense donde un año antes, en 1993, se había creado la red primera wifi.

Los CERT en EEUU hoy dependen del macrodepartamento Homeland Security, igual que la NSA, autores del programa de vigilancia masiva que reveló Snowden y cuyas herramientas Eternal Blue, robadas y filtradas por Shadow Brokers, sirvieron para crear Wannacry.

Para darle la mejor experiencia posible estamos cambiando nuestro sistema de comentarios, que pasa a ser Disqus, que gestiona 50 millones de comentarios en medios de todo el mundo todos los meses. Nos disculpamos si estos primeros días hay algún proceso extra de 'login' o el servicio no funciona al 100%.