Los vigilantes de las redes

Si las redes informáticas son el nuevo canal por el que se mueve la información y la economía mundial, también tienen sus vigilantes que se encargan de que todo el mundo pueda navegar y hacer transacciones sin problemas desde hace casi 30 años. Son los Equipos de Respuesta ante Incidentes de Seguridad Informática (en inglés CSIRT, como se les conoce en Europa, o CERT para los estadounidenses), creados por gobiernos, universidades y empresas para intentar mantener el tráfico de las redes limpio de virus, ataques de denegación de servicio, 'malware' o spam masivo. Y los últimos virus masivos, como el Wannacry o el Petya/NotPetya los han puesto a prueba.

Los CERT son, por lo general, lugares modestos. En el esCERT-UPC, de la Universitat Politècnica de Catalunya (UPC), el más veterano de España, una se espera local lleno de pantallas que van mostrando en directo el flujo de ataques informáticos del mundo sobre un mapamundi en la más pura estética ‘Juegos de Guerra’. Peor lo que hay es un sótano con ordenadores como los de cualquier empresa, lleno de carteles con bromas informáticas y con siete personas trabajando.

“Hay quien tiene que controlar más información, avisos, de muchas fuentes… y necesitan las pantallas”, afirma el catedrático Manel Medina, fundador y director del esCERT-UPC desde 1994. Otros CERT, como el de las entidades bancarias, son más en apariencia más sofisticados, recuerdan otros. Porque como siempre en informática, la realidad es lo que desde fuera no se ve. Y en este sótano, se hacen auditorías de seguridad (se intentan ver los puntos débiles de los sistemas informáticos de otros), análisis forenses (qué ha ocurrido y por qué) o ayuda ante incidentes de administraciones locales, universidades y pymes. Y siempre con una oreja virtual puesta en los foros de seguridad y lo que se cuece en el mundillo underground, según Medina.

380 CENTROS DE VIGILANCIA

Hay más de 380 CERT en todo el mundo, según la red FIRST, en la que se autocoordinan a nivel mundial e intercambian información.centros creados por gobiernos (hasta Bután tiene el suyo), empresas como Amazon, Apple, Caixabank, BBVA, Google, Airbus, Bank of America, Paypal, Telefónica… que se autofinancian y organismos de investigación, que reciben fondos de gobiernos. Solo la Unión Europea acaba de destinar más de 10,8 millones a reforzar la red CSIRT, que se coordina también por el foro Abuses a nnivel español, en el que participan los proveedores de servicios de internet.

En España el CERT más importante es el CNN-CERT, que depende del Centro Nacional del Inteligencia y que emite los niveles de alerta en ciberseguridad. En Catalunya, Cesicat ejerce como CERT de la Administración catalana. entidades locales y empresas.

Cuando los incidentes de seguridad exigen persecución de la delincuencia, el tema deriva al European Cybercrime Center (EC3), en el que participa Europol, la organización de las policías europeas. Igual que a escala nacional, porque los vigilantes de la red denuncian pero no detienen. Y luego está ENISA, la agencia europea para la seguridad informática.

La cooperación lleva a los CERT a compartir desde el análisis de código de una muestra a las estrategias de reacción. La información fluye a través de una lista de correo restringida y con mensajes encriptados e informes ultraconfidenciales. “Hay cuatro niveles de confidencialidad en la información, desde el de divulgación general a el que solo puede leer quien puede ejecutar órdenes concretas, el “solo para sus ojos”. Porque hay datos que no se pueden difundir hasta que se toman medidas porque podría desactivar toda la operación contra un ataque”, señala Antonio Rodríguez, responsable del área de ciberseguridad del esCERT-UPC.

MÁS COMPLEJO DE UN VIRUS

Ante un ataque como el del ransomware Wannacry, que aprovechaba un fallo de seguridad en Windows que Microsoft ya había parcheado pero que muchos administradores de sistemas no habían actualizado, tuvieron que hacer trabajos extra. Su día a día incluye lidiar con intentos de intrusión, ataques, virus, correos con archivos fraudulentos o spam. Y avisar cuando hay algo anómalo. “Las alertas de los antivirus ya no saltan mucho, ahora son cosas más complejas”, señala Rodríguez.

“Puede ser porque alguien quiera copiar artículos protegidos por ‘copyright’, intentos de entrada en servidores no autorizados, usar las máquinas para alojar porno infantil, lo que quieran… A veces te enteras porque te vienen los Mossos. Una red universitaria, como tiene mucha capacidad, es un objetivo preferente para enviar desde aquí un ataque a otros, por ejemplo”, señala Manel Rodero, técnico de esCERT-UPC. “Cada vez más gente se conecta desde otros lugares a los ordenadores de la UPC, así que eso también hay que asegurarlo”, añade Antonia Gómez, responsable del área de sistemas de inLab.

SISTEMAS DE DETECCIÓN

Entonces hay que recopilar información sobre las entradas a las máquinas, las ‘sondas’ en los puntos delicados de la red, cruzar datos y analizarlos. Y para eso es muy valioso tener automatizados los sistemas de detección. “A veces la información sobre lo que está pasando no la tienes en directo, sino que hay que cotejar herramientas para hacerte una idea. Las hay comerciales y propias, propietarias y sofware libre”, señala Gómez. “Lo de analista de datos es una profesión de futuro, porque hay que ser capaz de interpretar qué ocurre antes de tomar una decisión”, afirma Rodero. “También puede ocurrir que te hagan un ataque que sirva para distraerte mientras te la colocan por otro lado. Hay que estar muy atento”, afirma Rodríguez.

{"zeta-legacy-despiece-horizontal":{"title":"Del origen de los CERT al Wannacry","text":null}}