1 23 Table of Contents 25 108

Seguritecnia 396

24 SEGURITECNIA Abril 2013 Ciberseguridad e Infraestructuras Críticas la respuesta a los mismos con todos los agentes implicados (operadores IC, pro- veedores de servicios de Internet, agen- tes registradores, Fuerzas y Cuerpos de Seguridad del Estado…); soporte ex- perto a los equipos de seguridad de los operadores en la resolución de inciden- tes, tanto internos como externos; co- operación bilateral con investigadores y otros equipos de seguridad de grandes firmas (Microsoft, Google, ShadowSer- ver, TeamCymru, Arbor Network, Trend Micro, Sophos, Panda Security, otros CERT…); soporte preventivo a los equi- pos de seguridad de los operadores, etc. Todo ello, centralizado en el nuevo CERT-IC. La vía que se ha abierto para que los operadores puedan reportar incidentes a CNPIC e Inteco es mediante email , en el que se deberá detallar la información de contacto y una descripción lo más completa posible del incidente. En caso de que la incidencia contenga informa- ción sensible, el operador la deberá en- viar cifrada con una clave PGP. Panorama desolador Miguel Ángel Abad, jefe de Seguridad Lógica del Centro Nacional para la Pro- tección de las Infraestructuras Críticas (CNPIC), reconoce que “estamos ante un panorama desolador” motivado por todos estos ataques zero-day, vulnera- bilidades, ataques de denegación de servicio (DDoS), malware, phishing, hac- king …, aunque asegura que, a raíz del convenio entre sendos ministerios, se están estrechando y potenciando los mecanismos de intercambio de infor- mación. Asimismo, resaltó las funciones que tiene el CERT-IC: prevenir, reaccio- nar, concienciar y coordinar. En la planificación de dicho CERT, Abad explicó las fases que se han plan- teado a lo largo de 2013: “De marzo a diciembre, se abarcará la detección y respuesta; de marzo a julio, los sistemas preventivos; de julio a octubre, la plata- forma de difusión; y de septiembre a di- ciembre, la evaluación y los ejercicios y simulacros”. El servicio de respuesta se basa en la herramienta RTIR de Inteco, coordinado grabar audio, hacer capturas de panta- lla, pulsaciones de teclado y control de tráfico de red; grabar conversaciones de Skype y controlar bluetooth para ob- tener información de dispositivos cer- canos”. Por tanto, para Alberto López, la situa- ción actual requiere cuatro elementos clave: vigilancia tecnológica, protección, colaboración y coordinación y capacita- ción profesional. Aspectos que deben confluir en la actividad de un CERT o CSIRT, que el experto define como: “un equipo de expertos en seguridad de las TI, cuya principal tarea es responder a los incidentes de seguridad informá- tica y que presta los servicios necesarios para ocuparse de estos incidentes y así ayudar a recuperarse a los clientes del grupo al que atienden, después de su- frir uno de ellos”. Más de 80.000 incidentes en 2012 No hay mucho qué pensar si nos dete- nemos en las cifras que arroja este pro- fesional, respecto al número de inci- dentes de seguridad, que pasó de más de 10.000, en 2009, a más de 80.000, en 2012; y al número de accesos a ser- vicios de seguridad, que varió de poco más de un millón, en 2009, a superar los cinco millones, en 2012. El rol de este modelo es el de detec- ción temprana de incidentes en infra- estructuras críticas y coordinación en mayoritario primer lugar el sector ener- gético (con 18 -un 44 por ciento-), se- guido por el intersectorial (con seis -un 15 por ciento-) y el nuclear (con cinco –un 12 por ciento-). Y en 2011, el creci- miento es muy considerable, ya que se llega a un pico de 198 incidentes repor- tados, en los que los sectores del agua y la energía vuelven a ser los protago- nistas (con 81 –un 41 por ciento- y 31 –un 16 por ciento-, respectivamente), seguidos del intersectorial (con 49 –un 25 por ciento-). “Sin duda, Stuxnet (2010) dio el pis- toletazo de salida”, manifiestó Alberto López. Y es que el número de vulnera- bilidades descubiertas fue in crescendo de una, en 2005, a 98 en 2012. Lo malo es que el 41 por ciento de las vulnera- bilidades son críticas, según destacó López, y lo peor es que más del 40 por ciento de los sistemas disponibles en Internet puede ser hackeados por usua- rios no profesionales. Por otra parte, el número de exploits publicados también ha variado en estos años: dos, en 2008; seis, en 2010; 30, en 2011; y 20, en 2012. Para el gerente de Operaciones de Inteco, la bajada en los dos últimos años se debe al descenso de las publicaciones de exploits de los propios fabricantes. Alberto López ‘presentó’ una esque- mática ‘biografía’ de los ‘especímenes’ más conocidos en los últimos tiempos, comenzando con el ‘padre’ de todos ellos: “Stuxnet nació en 2010 para ata- car una instalación industrial. Es el pri- mer gusano conocido que espía y re- programa sistemas industriales de in- fraestructuras críticas, como centrales nucleares, llevando a cabo ataques se- lectivos”. En segundo lugar, Duqu: “Surge en 2011 para recolectar información sobre SCI y pulsaciones de teclas para ataques posteriores. Se ha encontrado en orga- nizaciones, principalmente, fabricantes de componentes para SCADA”. Y un tercero, Flame: “En 2012, este malware modular ataca a sistemas Win- dows para recolectar información y se propaga a otros sistemas a través de la red y por memorias USB. Es capaz de MODELO DE GESTIÓN DE INCIDENTES EN IC Y CASO PRÁCTICO Alberto López, gerente de Operaciones del Instituto Nacional de Tecnologías de la Comunicación (Inteco).

RkJQdWJsaXNoZXIy MTI4MzQz