As¨ª se detectan los ataques en el centro de ciberseguridad de Espa?a

En el tercer piso de un edificio a las afueras de Le¨®n est¨¢ la sala desde la que se controlan y analizan todos los ciberataques que sufre Espa?a. Es un espacio de paredes blancas, amplios ventanales y plagado de ordenadores, donde 25 especialistas supervisan en tiempo real el estado de las redes y dispositivos que utilizan ciudadanos, universidades, empresas e instituciones. Se trata del centro de seguridad CERTSI, el principal centro de alerta del Instituto de Ciberseguridad de Espa?a (INCIBE), que este a?o cumple una d¨¦cada. Desde 2006 se les ha multiplicado el trabajo. Solo los ataques registrados hasta septiembre de este a?o (90.000) doblan ya los que se atendieron en todo 2015. Hace dos a?os, tan solo detectaron 18.000. Los n¨²meros no dejan de aumentar. Tambi¨¦n en ciberdelitos: "En 2015, se registraron 60.400, un 25% m¨¢s que en 2014 y un 61% m¨¢s que hace cuatro a?os", explica?el?Secretario de Estado de Seguridad, Francisco Mart¨ªnez. Una previsi¨®n que sigue creciendo y que ha situado a Espa?a como el tercer pa¨ªs que m¨¢s ciberataques sufre, solo detr¨¢s de EE UU y Reino Unido.?

Las amenazas m¨¢s comunes son los bots y los delitos de fraude electr¨®nico con suplantaci¨®n de identidad e intentos de robos de credenciales?

Sin embargo, a?pesar de las cifras de alarma, hoy el d¨ªa est¨¢ en nivel verde en el centro de Le¨®n. La alerta es del 27%. Un porcentaje que se calcula en funci¨®n del n¨²mero de dispositivos que han sido atacados y del tipo de malware, programa malicioso, que les ha afectado.

Las amenazas m¨¢s comunes a las que suele enfrentarse son los bots (programas que infectan equipos para que puedan ser controlados por un hacker) y los?delitos de fraude electr¨®nico con suplantaci¨®n de identidad e intentos de robos de credenciales personales (cuentas de correo, redes sociales, tarjetas bancarias). Ambos ataques se producen con regularidad y no suelen provocar excesiva preocupaci¨®n en el CERTSI, que recuerda al centro de pantallas de control de la DGT, pero centrado en la ciberseguridad.?

"El nivel de alerta de hoy es habitual", explica tranquilo Javier Berciano, responsable del CERTSI, mirando la gran pantalla principal que preside la sala. Se trata de un mapa de Espa?a que muestra por zonas de calor donde est¨¢ el mayor n¨²mero de ataques en tiempo real. Resalta Madrid por encima de todos, seguido de Barcelona y, con muchas distancia, de M¨¢laga. En este momento hay 12.327 incidencias en la zona de la capital.?

Un mapa de Espa?a muestra en tiempo real donde est¨¢ el mayor n¨²mero de ataques. Resaltan Madrid y Barcelona

Este n¨²mero no significa que todas hayan comenzado ahora, sino que en la mayor parte de los casos llevan d¨ªas, semanas o meses. Al acercarse un poco m¨¢s, se comprueba que de esas incidencias 11.112 son bots: "Lo ¨²nico que puede hacer pensar al usuario que su equipo est¨¢ infectado es que funcione m¨¢s lento y a menor rendimiento". De ah¨ª, que las incidencias se acumulen durante largos per¨ªodos de tiempo.?

Al centro de ciberseguridad llegan m¨¢s datos: cu¨¢l es el n¨²mero IP del equipo infectado, la fecha exacta de cu¨¢ndo se detect¨®, cu¨¢l fue la ¨²ltima conexi¨®n y, el m¨¢s importante, cu¨¢l es el nivel de amenaza.?"Actuamos de diferente manera seg¨²n este nivel de importancia, que normalmente, se corresponde con el tipo de ataque", relata Berciano.?

No pueden solucionar todos los incidentes

"No tenemos los recursos suficientes para solucionar manualmente todos los ataques que sufren ciudadanos, universidades, empresa e infraestructuras", reconoce Berciano. As¨ª, los protocolos son distintos seg¨²n el ataque. Cuando detectan ataques de bots, fraudes o virus a equipos de ciudadanos se ponen en contacto con su proveedor de servicios de Internet (Jazztel, Telef¨®nica, Vodafone...) y le comunican la IP del equipo infectado para que sean ellos quienes contacten con el usuario.

No tenemos los recursos suficientes para solucionar manualmente todos los ataques que sufren ciudadanos, universidades, empresa e infraestructuras

"Para nosotros todo es an¨®nimo, tienen que ser los proveedores quienes traten de solucionarlo". Estos tienen la obligaci¨®n de mandar una notificaci¨®n al cliente quien es, en ¨²ltima instancia, el encargado de solucionarse el problema. Por esa raz¨®n, hacen mucho hincapi¨¦ en las campa?as de concienciaci¨®n ciudadana sobre la importancia de la ciberseguridad.

?Cu¨¢l es el porcentaje de equipos desinfectados? "Pues sorprendentemente alto. Var¨ªa mucho, pero oscila ente el 35% al 65% de ciudadanos que limpian su dispositivo".?

En el caso de equipos que pertenecen a universidades o a infraestructuras estatales, el CERTSI se pone en contacto telef¨®nico inmediato con los servicios t¨¦cnicos de estas instituciones para avisar del ataque. Y trata de realizar una investigaci¨®n sobre el origen del ataque.?

El INCIBE considera infraestructura cr¨ªtico todo servicio indispensable y cuya ca¨ªda impedir¨ªa el?desarrollo normal de una ciudad y un pa¨ªs. As¨ª, mantiene bajo control permanente todas las redes que pertenecen a los sectores de agua,?energ¨ªa, transporte, telecomunicaciones, recogida de residuos y sector financiero.

Los ciberataques contra redes de sectores como el agua, los transportes, la energ¨ªa o el financiero se duplican cada a?o

Los ataques a estas infraestructuras tambi¨¦n aumentan cada a?o: solo los incidentes que se registraron en el primer semestre de 2016 (231) ya doblaban todos los ocurridos en 2015, que, a su vez, duplicaban los sufridos en 2014.?"Es un hecho que los ciberataques contra nuestras empresas e infraestructuras han aumentado en n¨²mero, complejidad y gravedad", sosten¨ªa el secretario de Estado de Seguridad durante la cumbre del ENISE10 en Le¨®n.

En este momento en el centro de Le¨®n, solo hay un ataque contra una infraestructura cr¨ªtica. Una red relacionada con el sector del agua en Murcia. Se trata de un conficker, un gusano inform¨¢tico que ataca al sistema, puede propagarse y recolectar informaci¨®n personal. "Nos ponemos en contacto inmediato y directo con el equipo t¨¦cnico de all¨ª para que lo solucionen", explica el responsable del CERTSI.?

La mayor oleada de ataques del a?o

Es muy dif¨ªcil predecir cu¨¢ndo pueden ocurrir algunos de estos ataques.?"Aqu¨ª no hay temporadas fijas de m¨¢s o menos intensidad, sino que va por oleadas". Una de las m¨¢s graves la sufrieron en junio y julio de este a?o. Fue denominada como la "campa?a Endesa".

El proceso era sencillo: un empleado de Endesa recib¨ªa un correo en nombre de la empresa con una factura muy superior a las cuotas normales, alrededor de 900 euros. Cuando pinchaba en el enlace, "Consulta tu factura y consumo", se descargaba autom¨¢ticamente un virus que cifraba todos los archivos y datos del ordenador y los dejaba inservibles. El hacker solicitaba entonces una cantidad de dinero para que el usuario pudiera "rescatarlos".

Este tipo de ataques, conocidos como ransomware, son secuestros de una cierta complejidad, bastante frecuentes y uno de los ataques m¨¢s graves, ya que implican el pago de un rescate monetario.

?Qui¨¦n nos ataca?

"Hay virus de 2007 que est¨¢n afectando a nuestro parque tecnol¨®gico, eso significa equipos que no se actualizan o parchean desde hace nueve a?os", describe con sorpresa Alberto Hern¨¢ndez, reci¨¦n nombrado director general de INCIBE, durante la conferencia de inauguraci¨®n de ENISE10. Este dato da una perspectiva de lo vulnerables que son una gran parte de los equipos en Espa?a, tanto de ciudadanos como de empresas.?

Esa vulnerabilidad convierte a Espa?a en un posible foco de ataques. "Principalmente provienen de Europa del Este, de Brasil y de China. Aunque una gran parte tambi¨¦n de servidores de Estados Unidos", explica Berciano se?alando a la pantalla principal. Ah¨ª se muestra en tiempo real con flechas de luz de donde llegan los ataques. En este momento la m¨¢s fuerte tiene su origen en EE UU: 11.849 ataques en este momento. Alemania tambi¨¦n se cuela en la lista: 2.566 incidentes registrados provienen de servidores alemanes. En total, en tiempo real, Espa?a recibe 128.087 ataques, pero tambi¨¦n env¨ªa: 32.700 ataques salen de nuestros servidores.?"Las fronteras no existen ya en el cibercrimen", sosten¨ªa el secretario de Estado de Cooperaci¨®n Internacional, Jes¨²s Manuel Gracia.

Para hacer frente a estos incidentes, y al resto de objetivos que promueve, el INCIBE cuenta con un presupuesto de 20,7 millones. Y aun as¨ª, el actual director del INCIBE reconoce: "Nos estamos perdiendo el 70%". Su predecesor, Miguel Rego, le secunda: "Todo lo que vemos no es todo lo que hay. Todav¨ªa no estamos haciendo suficiente".