NEWSLETTER
ALERTAS
Los SWAT de la red: así trabaja un equipo de respuesta a ciberataques graves
En paralelo a los campos de batalla convencionales como los de la guerra en Ucrania existe una guerra no declarada, silenciosa y oculta, que no ocupa grandes titulares, en el ciberespacio, un dominio donde no hay barreras militares ni fronteras entre países y el que cualquier institución o persona puede ser el objetivo; desde las infraestructuras críticas de un Estado, hasta la red sanitaria o bancaria, pasando por el empleado de una de las cientos de empresas de la cadena de suministro de una multinacional que una mañana abre por error el correo que no debe.
En el ciberespacio, los grupos criminales al igual que los ejércitos tienen un presupuesto para actuar -la financiación, millones en algunos casos, corre a cargo frecuentemente de actores estatales- y armas que no disparan como el ransomware, pero que pueden robar información clave sobre un desarrollo industrial valorado en miles de millones o destrozar la reputación y el valor bursátil de una empresa en cuestión de días, si no se cede al chantaje y se paga. Otras veces el único objetivo es inutilizar un servicio y provocar el caos.
"No hay ningún sector que esté a salvo". Esta es la respuesta corta y directa de Pablo Echevarría, el CEO de la compañía Thales S21sec ante la pregunta de quién son las entidades más expuestas a los ciberataques. La empresa ha abierto este semana las puertas de su Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) en Madrid a un pequeño grupo de periodistas, entre los que estaba Infodefensa.com, para dar a conocer cómo es el proceso de neutralización de un ataque. Desde aquí, monitoriza en tiempo real la seguridad de clientes en medio mundo y trabaja para detectar cualquier incidencia o fallo de seguridad.
El SOC es el núcleo de una compañía que cuenta con más de 300 ingenieros. En él trabajan una veintena de personas que siguen indicadores de clientes constantemente; pero al final toda la plantilla está conectada al centro de operaciones de una forma u otra. La compañía ofrece un servicio de ciberseguridad 24/7. Este SOC recibe las alertas, comprueba si el incidente es real y prioriza según el tipo y el alcance. Si la cosa se complica entra en acción unidad de respuesta a incidentes graves, algo así como un equipo SWAT, pero del ciberespacio, que toma el control de la situación para apoyar al cliente en casos de crisis.
Además un grupo de ingenieros trabajan en el análisis e investigación de las amenazas y los ataques, lo que se conoce como inteligencia, fundamental para entender el modus operandi de los criminales en el ciberespacio, intentar ir un paso por delante y tener claro las medidas a tomar en un determinado ataque. Entre los clientes de Thales S21sec se encuentran algunas de las grandes multinacionales del Ibex o administraciones públicas.
Al frente de la respuesta a incidentes graves está David Conde, DFIR and Threat Hunting de la compañía. "Somos como un equipo SAWT, cuando todo falla entramos en acción", subraya. En un incidente de entidad, con la propiedad intelectual, la imagen o la reputación comprometidas, resalta, "hay que tomar decisiones eficientes en mitad de la tormenta", en esos casos, "guiamos al cliente desde que aparece el fuego hasta que salimos con él de la crisis".
Guerra digital
Empresas como Thales S21sec apoyan a sus clientes en lo que podríamos llamar el campo de batalla digital contra criminales con objetivos muy claros y bien financiados. "Están organizados con armas digitales en forma de software de millones de euros con las que esperan ganar muchos millones más", incide Conde. El trabajo de este equipo no es solo apagar ese fuego, sino también responder a preguntas del cliente que surgen de forma inmediata. "Una de las principales preguntas es por qué han atacado".
Para contestar es clave el análisis de la acción en cuestión hasta el más mínimo detalle, un trabajo al final de inteligencia más complejo en ocasiones que la propia detección y neutralización de la amenaza. En el momento geopolítico actual, remarca este experto, cualquier empresa del sector de la defensa o persona involucrada en este ámbito a nivel empresarial o gubernamental es "objeto de ataque".
En este mundo del ciberespacio, las firmas de seguridad prefieren ir con mucho cuidado y no revelar ninguna información que pueda usar el enemigo, así que tanto los clientes como el número de incidentes al día e incluso el tiempo de respuesta exacto es confidencial.
En todo caso, explica Echevarría, en algunos incidentes existen automatismos para aislar el terminal infectado "en cuestión de segundos" y se compara con el tiempo estimado que un ciberatacante necesita para entrar y comprometer el sistema. "En ransomware hay ataques todas las semanas, con mayor o menor impacto; en el caso de los incidentes, todos los días", matiza Igor Unanue, CTO de Thales S21sec. "Los ataques ransomware normalmente se producen el viernes o el fin de semana, estadísticamente el tiempo de respuesta es menor; hay estamos nosotros para cubrir este gap", puntualiza Echevarría.
Tendencias en 2025
De cara a este 2025, la compañía ha identificado una serie de tendencias en los ciberataques, como explica Unanue. Entre ellas destaca la consolidación de la Inteligencia Artificial como nueva herramienta clave para los atacantes que ayuda a perfeccionar ataques como el pishing -correo electrónico- y la creación de malware o el enfoque cada vez más entornos cloud y en aplicaciones de terceros utilizadas por empresas.
Desde Thales S21sec también apunta a que el ransomware -el secuestro de datos y el bloque de dispositivos para extorsionar al propietario- continuará siendo una de las principales amenazas y prevé un aumento de las conocidas como vulnerabilidad zero day, fallos en la seguridad recién descubiertos que aún no han sido corregidos o parcheados.
