December 4, 2021
De parte de Nodo50
405 puntos de vista


El ciberespacio, ese lugar et茅reo formado por una mezcolanza de computadoras, redes inform谩ticas y comunicaci贸n digital, cada vez ocupa m谩s espacio en la vida del ser humano. Gran parte de las relaciones, consumo y ocio del Homo sapiens actual se rige bajo las normas de internet y el sistema digital. Pero debajo de toda esa infraestructura se libran batallas. Muchas, de hecho.

Solo en el a帽o 2020 se registraron m谩s de 10 millones de ataques de denegaci贸n de servicio (DDoS) seg煤n el informe Netscout Threat Intelligence Report, elaborado por la firma NetScout Systems. Suponen un 22% m谩s que en 2019 y este a帽o podr铆a ser mayor. La misma fuente cifra en 5,4 millones los DDoS acaecidos en el primer semestre de 2021.

Basado en la saturaci贸n del ancho de banda de un servidor donde se aloja una web para hacer que la p谩gina caiga y sea imposible acceder a ella, un DDoS es lo que sufrieron El Salto, La Marea y otros medios alojados en el proveedor de servicios de internet Nodo50 el pasado 19 de noviembre. Fueron cuatro d铆as y medio de batalla en los que qued贸 claro un hecho: si una empresa privada sufre uno de esos ataques contar谩 con unas fuerzas de seguridad que investiguen el delito y podr谩 obtener cierto asesoramiento del Instituto Nacional de Ciberseguridad (Incibe), pero est谩 sola a la hora de frenar el ataque.

鈥淒entro del 谩mbito de empresas, ofrecemos nuestra ayuda y colaboraci贸n a aquellas que hayan sufrido un incidente, pero sin sustituir a la empresa privada鈥, apunta Jorge Chinea desde el Incibe

鈥淣o hemos sido capaces de encontrar ninguna instituci贸n p煤blica que se dedique a frenar ataques cuando est谩n sucediendo鈥, apuntan desde Nodo50. S铆 existe el Incibe, organismo dependiente del Ministerio de Asuntos Econ贸micos y Transformaci贸n Digital, el cual ofrece su colaboraci贸n cuando ocurre un ataque, pero su labor se centra en la 鈥渇acilitaci贸n鈥, como explica Jorge Chinea, responsable del 谩rea de Servicios Reactivos del Incibe-CERT, el departamento de gesti贸n de incidentes de ciberseguridad relativos a empresas privadas y ciudadanos del Incibe.

Nacido inicialmente en 2006 como Instituto Nacional de Tecnolog铆as de la Comunicaci贸n (Inteco), Espa帽a cuenta desde entonces con un organismo espec铆fico y centrado en la seguridad en el ciberespacio: el Incibe, que cambi贸 su denominaci贸n a la actual en 2013. Esta organizaci贸n comenz贸 con el objetivo de 鈥渃ontribuir a la convergencia de Espa帽a con Europa en el 谩mbito de la sociedad de la informaci贸n desarrollando proyectos innovadores en el 谩rea de las tecnolog铆as de la informaci贸n y de la comunicaci贸n鈥. Hoy en d铆a sus funciones van desde ser incubadora de empresas, al fomento de la industria de la ciberseguridad, el impulso de estudios relacionados con el 谩rea o la concienciaci贸n ante las amenazas digitales.

Por decreto

Sin embargo, adem谩s de estas labores, el Incibe tiene una serie de obligaciones por decreto. Si bien el Centro Criptol贸gico Nacional Computer Emergency Response Team (CCN-CERT) es el equipo de respuesta a emergencias inform谩ticas que da apoyo a los ataques que sufre la administraci贸n p煤blica, y el Mando Conjunto del Ciberespacio hace lo propio en lo referente a cuestiones de defensa nacional, el Incibe-CERT es 鈥渆l centro de respuesta para incidentes de ciberseguridad para empresas y ciudadanos鈥, apunta Chinea.

鈥淒entro del 谩mbito de empresas, ofrecemos nuestra ayuda y colaboraci贸n a aquellas que hayan sufrido un incidente, pero sin sustituir a la empresa privada鈥, especifica el responsable. El Incibe ofrecer铆a as铆 a las compa帽铆as, en caso de ataque, 鈥渞ecomendaciones que deben de seguir para contener, mitigar y recuperarse lo antes posible de ese incidente en base a lo que nosotros observamos a nivel nacional鈥. 

鈥淟a polic铆a y el Incibe no tienen respuesta a incidentes, tienen un tipo de respuesta forense, a posteriori鈥, relata la experta en ciberseguridad

鈥淓n el lado de la empresa habr谩 alguien que lo tiene que aplicar, nosotros en ning煤n caso ni vamos a ir a la casa del ciudadano ni a la empresa resolverlo, pero s铆 prestarle un apoyo鈥, prosigue. 鈥淎parte de que necesitar铆amos ser un ej茅rcito infinito, no podemos ir a cada una de las empresas a resolver el problema porque para eso hay un conjunto de empresas privadas que tienen ese negocio por as铆 decirlo鈥. 

Es lo que ocurri贸 con el ataque a Nodo50 y El Salto, en el que el Incibe ofreci贸 dicha colaboraci贸n y recopil贸 informaci贸n sobre el ataque, aunque solo el proveedor de servicios de internet pod铆a ejecutar una respuesta para frenar la agresi贸n y conseguir que los medios afectados pudiesen continuar con su actividad informativa. El Incibe-CERT se erigir铆a as铆 como base de datos sobre ciberseguridad que podr铆a servir de ayuda para futuros incidentes. De hecho, los operadores cr铆ticos y de servicios esenciales, as铆 como los proveedores de servicios digitales est谩n obligados a notificar los incidentes. 鈥淐omo CERT nacional gubernamental tenemos establecidas redes de contactos con otros pa铆ses鈥, relata Chinea. Informaci贸n como la recopilada en el ataque a Nodo50 podr铆a compartirse desde el Incibe con otros equipos de respuesta ante emergencias inform谩ticas nacionales de otras naciones, datos que estos notificar铆an a operadores y empresas, en su caso.

Siempre a posteriori

Consultada por El Salto, una experta del sector de la ciberseguridad que prefiere no dar su nombre se帽ala que 鈥渓a polic铆a y el Incibe no tienen respuesta a incidentes, tienen un tipo de respuesta forense, a posteriori鈥. De hecho, seg煤n su experiencia, 鈥渉asta las propias instituciones p煤blicas, cuando reciben un ataque, contratan servicios privados para repelerlo; casi siempre a Telef贸nica, aunque tambi茅n a Deloitte y las llamadas Big Four鈥, un grupo de multinacionales en el que, adem谩s de Deloitte, se encuentran KPMG, Ernst & Young y PwC.

Tras pasar por varias empresas de ciberseguridad, la experta habla de un 鈥渄茅ficit p煤blico鈥 y, en su opini贸n, no existe un proceso p煤blico real de respuesta ante ataques DDoS como el recibido por La Marea y El Salto, algo que echa en falta. 鈥淟o m谩s parecido es el Incibe y lo que hace es un trabajo m谩s preventivo, de forma forense. Pero est谩n hasta arriba, tienen pocos recursos鈥. 

En un DDoS, el ataque tiene su origen en unas direcciones IP. 鈥淓sas IP pertenecer谩n a diferentes pa铆ses, que a su vez pertenecer谩n al ISP 鈥擨nternet Service Provider, proveedores de conexi贸n a internet鈥 que a lo mejor est谩 en Hungr铆a, EE UU, Brasil o Turqu铆a鈥, explica el responsable del Incibe-CERT. 鈥淭odas esas direcciones IP, que muy probablemente suelen ser de equipos de ciudadanos o empresas que est谩n comprometidos y ellos no lo saben, que est谩n bajo el control de alg煤n tipo de ciberdelincuente, con todo eso que nos remiten las empresas realizamos una notificaci贸n a nuestro hom贸logo del pa铆s correspondiente y a veces al ISP de ese pa铆s鈥, prosigue. 鈥淓l CERT de Hungr铆a conoce Incibe-CERT, sabe que es una entidad confiable, ve que este le remite una serie de direcciones IP de equipos que han participado en un ataque de denegaci贸n de servicio y, a partir de ah铆, puede hacer la labor de decirle al ISP de all铆: mira, estas IP han atacado a una empresa espa帽ola, posiblemente sean usuarios que est茅n comprometidos y pertenecen a tu red de comunicaciones. Por favor, contacta con ellos y diles que sus equipos est谩n comprometidos鈥.

Desde Nodo50 echan en falta as铆 un mayor protagonismo de instituciones p煤blicas en la eliminaci贸n de amenazas inform谩ticas

Asimismo, el responsable explica que, en otras ocasiones, Incibe detecta sistemas m谩s expuestos o vulnerables. 鈥淎 partir de diferentes t茅cnicas de comprobaci贸n, lo que hacemos es detectar cu谩les son esos servidores que pertenecen a Espa帽a, est谩n expuestos y pueden ser comprometidos. Y lo que hacemos luego es notificarles que tienen, por ejemplo, un servidor Exchange que es vulnerable y sabemos que est谩n explot谩ndolo para lanzar otros ataques: por favor, parch茅elo lo antes posible porque si no la seguridad de sus  organizaci贸n se puede ver comprometida鈥.

Asesorar, no ejecutar

Dar pautas y asesoramiento, as铆 como coordinar y recopilar informaci贸n para ayudar en futuros ataques, pero no frenarlos, algo que quedar铆a en manos de la persona o empresa afectada. Esa ser铆a la funci贸n de Incibe-CERT aunque, como remarcan desde Nodo50, el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Informaci贸n especifica que 鈥渆l INCIBE-CERT ser谩 equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades […]鈥.

Tampoco lo har铆an los cuerpos policiales del Estado. La Brigada Central de Investigaci贸n Tecnol贸gica de la Polic铆a Nacional tiene como misi贸n 鈥渙btener las pruebas, perseguir a los delincuentes y poner a unas y otros a disposici贸n judicial鈥. Son labores similares a las que se dedica el Grupo de Delitos Telem谩ticos de la Guardia Civil. Solo podr铆an truncar un ataque si durante la investigaci贸n dan con el responsable actuando, como ocurri贸 en 2013 con el ataque que sufrieron Nodo50 y Diagonal 鈥攄iario precursor de El Salto鈥, entre otros medios: los agentes detuvieron al responsable, un militante de Falange, en medio de su acci贸n.

En el v铆deo de la detenci贸n difundido por la Polic铆a Nacional entonces, se puede ver incluso la herramienta que estaba utilizando el autor del ataque: IPstresser, un servicio contratable que sirve para 鈥榚stresar鈥 o poner a prueba las redes y servidores de empresas que los contratan para 鈥渆valuar鈥 su capacidad de defensa ante un ataque real. Son servicios que usan botnets 鈥攔edes de equipos infectados con software malicioso鈥 creadas para este fin y que usan la infraestructura del gigante de la ciberseguridad CloudFlare para proteger sus webs comerciales, algo que, como remarcan desde Nodo50, esta compa帽铆a consiente.

Ciberseguridad


El negocio de los ataques de denegaci贸n de servicio DDoS

Hoy en d铆a casi cualquier persona con un m铆nimo de poder adquisitivo puede contratar servicios de ataques de fuerza contra servidores. La manera barata de evitarlo es pasar por el aro de un pu帽ado de empresas.

As铆, para los responsables de Nodo50, el Incibe ser铆a 鈥渦na instituci贸n financiada por el Estado para una mejor salud de internet y las redes, con una vocaci贸n de formar al usuario, para que sea este 煤ltimo el responsable del mantenimiento de su red: es el usuario es el que tiene el problema鈥. Echar铆an en falta as铆 un mayor protagonismo de instituciones p煤blicas en la eliminaci贸n efectiva de amenazas inform谩ticas. 鈥淓l Incibe acaba siendo una empresa de promoci贸n e instalaci贸n de antivirus鈥, finalizan.




Fuente: Elsaltodiario.com