Cómo se para un ciberataque contra un hospital: así trabajan los agentes que defienden sus sistemas
España cuenta con una lista de infraestructuras críticas para el funcionamiento del Estado. Centrales eléctricas, vías de comunicación, redes de telecomunicaciones o industrias esenciales que reciben una protección especial tanto física como digital por parte de las fuerzas de seguridad. Aunque la lista en sí es secreta, es público que incluye infraestructuras de 12 sectores diferentes. Uno de ellos es la sanidad, con centros cuya integridad es vital para que España supere la pandemia de coronavirus.
La Policía ha alertado a los profesionales sanitarios de que deben estar más atentos que nunca ante posibles ciberataques, tras detectar una campaña “muy peligrosa” de ransomware (un virus informático que bloquea los sistemas informáticos de la víctima y pide un rescate a cambio de la clave para liberarlos) que apuntaba directamente a los centros sanitarios. El aviso recordó automáticamente a la infección Wannacry, que en 2017 por las “consecuencias devastadoras” que podría tener un ataque así durante la pandemia.
Desde de la Oficina de Coordinación Cibernética (OCC), el órgano del Ministerio del Interior que coordina la defensa de las infraestructura críticas españolas, aseguran que “muy difícil que algo así vuelva a pasar”. “El ransomware de hace dos años nos pilló un poco desprevenidos, porque era un tipo de ataque nuevo y no se sabía cómo evitar que nos hiciera daño. Ahora sí lo sabemos y tenemos muchas medidas de seguridad para evitarlo”, dice en entrevista con eldiario.es Alberto Francoso, responsable de la OCC, integrada en el Centro Nacional de Protección de Infraestructuras Críticas.
El ataque fue detectado porque un sanitario clicó donde no debía: le habían lanzado un señuelo que era parte de un ciberataque. Es algo habitual, puesto que “en los últimos años ha habido muchos ataques de ransomware que se han cebado con los sistemas sanitarios”, continúa el experto. Pero si esa ofensiva no provocó un colapso de centros sanitarios fue precisamente por esas nuevas salvaguardas, basadas “en la segmentación de los sistemas”: “Ahora un ciberataque de ransomware no podría extenderse al resto del sistema, sólo afectaría a una parte, que sería la que habría que reponer. No perturbaría el funcionamiento general”, recalca Francoso.
Primero detectar, después contener
“La tipología es muy amplia, pero en principio hay dos maneras de detectarlo”, adelanta Francoso, que se calzó en 1987 el uniforme de policía raso, se especializó en la interceptación de información en 2004 y en 2010 pasó a defender los sistemas de comunicación de la Policía de intrusiones no deseadas. Una de esas maneras, explica, es que los detecte “una de las sondas” que los CERT (siglas en inglés de Equipo de Respuesta ante Emergencias Informáticas) tienen en las diferentes infraestructuras críticas. La otra es que sea su propio equipo de seguridad el que detecte que algo va mal y avise al Ministerio.
“Los sistemas de protección que tenemos actualmente son sistemas inteligentes capaces de aprender el comportamiento normal de un sistema informático”, detalla. Estas herramientas pueden tardar un mes en asimilar todos los patrones de funcionamiento de un sistema. Una vez hecho eso, localizan cualquier comportamiento anormal. “Todo lo que se salga de ese patrón se detecta. Un ejemplo sencillo: si por la noche no trabaja nadie, no puede haber salida de información. Puede haber entrada, pero nunca salida. Si se detectara que a las tres de la mañana hay un volumen de salida de 300 megas, saltarían las alarmas y nos pondríamos a trabajar”, continúa. Se cortaría la comunicación y se investigaría qué ocurre.
Los miembros de los CERT son la primera fuerza de choque contra los cibercriminales, pero en la OCC, compuesta por policías y guardias civiles al 50%, hay diferentes roles, al igual que en las fuerzas de seguridad del mundo físico. Los analistas serían los agentes de calle, que “patrullan” la red para intentar detectar amenazas que puedan afectar a los servicios esenciales que proveen las infraestructuras críticas. Se les denomina “sección de prospectiva”. También hay un equipo de análisis forense, la sección de I+D, cuyos miembros “se encargan de conocer, casi al nivel de bit, el funcionamiento de los sistemas, sobre todo industriales”, expone Francoso. Es el equipo que analiza por dónde pudo entrar el ciberdelincuente y por qué había un agujero por el que colarse.
“A la hora de responder, el primer paso es contenerlo, evitar que se propague. Luego, en función del ataque se actúa de diferentes maneras o se pide ayuda a otros CERTS”, explica Francoso. La OCC coordina los esfuerzos de diferentes organismos: los principales son el Instituto Nacional de Ciberseguridad (Incibe), responsable del sector privado; y el Centro Criptológico Nacional (CCN), que se encarga de las infraestructuras críticas del sector público. Además, también están los militares con el Mando Conjunto de Ciberdefensa y todos los equipos de ciberseguridad de las grandes empresas. “La comunicación es vital”, adelanta.
España, séptimo país más ciberseguro
España ocupó el séptimo puesto del Global Cybersecurity Index del 2018, elaborado por la Unión Internacional de Telecomunicaciones (UIT), un organismo de la ONU. Es una subida de 12 puestos respecto al análisis del año anterior. Para 2019 Francoso cree que España podría subir incluso un par de puestos más.
“Muchos países europeos están implantando procedimientos siguiendo el modelo español”, presume. El experto señala la colaboración público-privada y el hecho de que España se adelantara unos años al resto de países europeos en el lanzamiento de su estrategia de ciberdefensa como las claves de esta posición de relevancia. “Tenemos mucho talento en ciberseguridad, tanto para lo bueno como para lo malo”, ríe.
Uno de los últimos éxitos de la OCC, desvela su responsable, fue la Cumbre del Clima de la ONU que se celebró en diciembre en Madrid. Su ciberprotección se le encargó a la OCC “de una semana para otra”. “Estábamos en el foco y todo el mundo sabía que haber conseguido romper los sistemas hubiera sido una muy buena propaganda para el grupo que lo consiguiera. Afortunadamente superamos el reto y la ciberseguridad pasó desapercibida”. Algo similar intentan ahora: que España pueda centrarse por combatir el virus que provoca la COVID-19 y no tenga que preocuparse por los informáticos.
3