redseguridad 072
Publicación animada
Revista especializada en Seguridad de la Información
Nº 72 primer trimestre 2016 Época II
al servicio de la seguridad
Socios Protectores:
www.fundacionborreda.org
www.redseguridad.com
editorial
Todo listo para la "ciberSICURidad"
E s posible que el ejemplar de RED SEGURIDAD que tiene en sus manos sea uno de los 5.000 distribuidos por la revista en la feria de la seguridad SICUR 2016, donde, como en años anteriores, estará presente la editorial Borrmart con un stand (10F01). Un evento, celebrado en el recinto ferial de Ifema, que ha apostado este año por divulgar temas relacionados con la ciberseguridad, ya sean organizados por Feria de Madrid o por diferen- tes asociaciones (ISMS Forum, AES, APROSER, ASIS International y Foro EFITEC). Sobre este eje girarán muchas de las ponencias y talleres que se van a llevar a cabo en el evento. Por ejemplo, se abordarán aspectos como los nuevos riesgos tecnológicos surgidos ante la amenaza yihadista, los aspectos relacionados con la seguridad del Internet de las Cosas, las vulnerabilidades en dispositivos móviles y en nuevos desarrollos como los drones, etc. A ello se han de sumar, dentro del contexto de SICUR, las jornadas que organiza el Instituto Nacional de Técnica Aeroespacial (INTA) sobre ciberdefensa. Por otra parte, la feria también es el escenario de las Jornadas Internacionales de Transferencia de Tecnología, organizadas por la Fundación para el Conocimiento madri+d y el Centro para el Desarrollo Tecnológico Industrial (CDTI), que tienen como objetivo facilitar la comunicación y el encuentro entre empresas, centros de investigación y universidades del sector. Tenemos, por tanto, muy buenas expectativas de lo que puede representar el mundo "ciber" dentro de un evento que, hasta hace bien poco, estaba muy centrado en el aspecto físico de la seguridad. El aumento de los ciberataques y la presión que esto ha supuesto para empresas y administraciones ha impul- sado esta evolución. Como también lo han hecho los distintos mecanismos y herramientas necesarios para proteger las infraestructuras críticas país, presentes también en la feria. Precisamente, en este número abor- damos este asunto desde el punto de vista de la ciberse- guridad, con un monográfico especial al que dedicamos más de una docena de páginas. Coincide con la reciente revisión del Plan Nacional para la Protección de las Infraestructuras Críticas (PNPIC), aprobada a través de la Instrucción 01/2016 de 10 de febrero de la Secretaria de Estado de Seguridad. Una actualización necesaria pues la primera versión de documento es de 2007; es decir, cuatro años antes de la aprobación de la 'Ley PIC' y su reglamento. El nuevo
PNPIC se adapta a los avances en la materia y profun- diza en aspectos como la ciberseguridad o el papel de los operadores. Un cambio necesario, sin duda por los muchos cambios producidos en este terreno. En ese sentido, no queda más que destacar la labor que está llevando a cabo el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), así como organismos como la Oficina de Coordinación Cibernética, el CERT de Seguridad e Industria (CERTSI) y el Instituto Nacional de Ciberseguridad (Incibe) o el CCN-CERT. Ahora bien, todo ello no debe funcionar de forma individual, sino de manera coordinada, con la ayuda también de las Fuerzas y Cuerpos de Seguridad del Estado, y articulando los cauces necesarios para conseguir una comunicación fluida y un intercambio de información adecuado que permita mejorar las medidas contra los ciberataques. Sólo así se podrá ir reduciendo paulatinamente este tipo de amenazas. De hecho, únicamente el año pasado, el CERTSI atendió 130 incidentes relativos a sectores estratégicos e infra- estructuras críticas, cifra que, entre todos, se ha de tra- tar de reducir. Los ataques que más se repitieron fueron los que se produjeron a través de malware específico o avanzado, ciberespionaje, denegaciones de servicio o ataques a la disponibilidad, pero también hubo suplan- taciones y ataques de ingeniería social. Precisamente, los ciberejercicios para las infraestruc- turas críticas o CiberEx constituyen un buen caldo de cultivo para asentar todo este trabajo conjunto del que hablamos, y una buena oportunidad para que los pro- fesionales de la seguridad puedan probar sus defensas frente a ataques simulados que bien podrían ser reales. De hecho, estos ejercicios sirven para testar no sólo las infraestructuras, los equipos humanos y técnicos, sino también los procedimientos y la capacidad de coordi- nación frente a incidentes. La celebración este año de la quinta edición de estas prácticas no hace más que confirmar la idoneidad de su realización. En relación con la protección de las infraestructuras críticas, también destacan iniciativas particulares como la llevada a cabo por la Fundación Borredá, que ha edi- tado la Guía PIC. El modelo de protección de infraestruc- turas críticas en España (con la colaboración del CNPIC) que pretende servir de ayuda a los profesionales en este ámbito, y que también podrá adquirir en SICUR.
red seguridad primer trimestre 2016 3
sumario
opinión
28
editorial Todo listo para la "CiberSICURidad"
3
Intercambio de información: pilar básico de la ciberseguridad nacional Javier Candau
Jefe del Departamento de Ciberseguridad del CCN
guardianes de la red Unidad de Investigación Tecnológica del CNP. Tras los delitos en la Red
8
IX Jornadas STIC CCN-CERT actualidad
42
M onográfico PIC
16
reportaje El arte de proteger los recursos más preciados
empresa
58
Entrevista a: José María Ochoa Carriches Director de Estrategia Corporativa, Marketing y Comunicación de Alhambra-Eidos
entrevista Miguel Ángel Abad Jefe de la Oficina de Coordinación Cibernética
22
CONSEJO TÉCNICO ASESOR
Joaquín González Casal A sociación de I ngenieros e I ngenieros T écnicos en I nformática (ALI) Vicente Aceituno Canal A sociación E spañola para la S eguridad de los S istemas de I nformación (ISSA E spaña )
Fermín Montero Gómez D irección G eneral de E conomía , E stadística e
Miguel Rego Fernández I nstituto N acional de T ecnologías de la C iberseguridad (IN CIBE) Ricardo Barrasa ISACA C apítulo de M adrid Gianluca D'Antonio ISMS F orum S pain Vicente Aguilera Díaz O pen W eb A pplication S ecurity P roject (OWASP) Jorge Ramió Aguirre U niversidad P olitécnica de M adrid (UPM)
PRESIDENTE Guillermo Llorente Ballesteros M apfre VOCALES José Luis Rodríguez Álvarez A gencia E spañola de P rotección de D atos (AEPD) José Manuel de Riva A metic Guillermo Martínez Díaz A sociación de E mpresarios de TIC de A ndalucía (ETICOM)
CONSEJEROS INDEPENDIENTES Emilio Aced Félez Tomás Arroyo Javier Moreno Montón Javier Pagès Olof Sandstrom
I nnovación T ecnológica de la C omunidad de M adrid Miguel Manzanas U nidad de I nvestigación T ecnológica (UIT) del C uerpo N acional de P olicía Óscar de la Cruz Yagüe G rupo de D elitos T elemáticos (GDT) de la G uardia C ivil
PRESIDENTE DE HONOR Alfonso Mur Bohigas
Juan Muñoz ASIS E spaña Ricardo López Lázaro
C onfederación E spañola de C ajas de A horros (CECA)
STAFF Borrmart: Presidente: Francisco Javier Borredá Martín. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos, Paloma Melendo, Yolanda Duro, Fco. Javier Borredá García. Directora de Relaciones Institucionales: Mª Victoria Gómez. Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico. Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Reyper.
Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países) suscripciones@borrmart.es Depósito Legal: M-46198-2002 ISSN: 1695-3991
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
23-26 FEBRERO February 2016
ORGANIZA / ORGANISED BY
Seguridad contra incendios y emergencias Fire safety and emergency
Seguridad laboral Safety and health at work
Security
Defensa Defense
LINEA IFEMA / IFEMA CALL CENTRE LLAMADAS DESDE ESPAÑA / CALLS FROM SPAIN INFOIFEMA 902 22 15 15 LLAMADAS INTERNACIONALES (34) 91 722 30 00 INTERNATIONAL CALLS
www. sicur.ifema .es
FAX
(34) 91 722 57 88
sicur@ifema.es
corporativo
noticias
La décima edición de los Trofeos de la Seguridad TIC ya tiene ganadores Cisco Advanced Malware Protection, Logitek, Leet Security, Kaspersky Lab, twitter de la Policía Nacional y Julián Inza
L os T rofeos de la S eguridad TIC 2016 cumplen su décimo aniversario desde que se crearon en 2006. El Pleno del Consejo Técnico Asesor (CTA) de RED SEGURIDAD ha dado a conocer el fallo de este año de entre las más de 30 candidaturas presentadas. Como en ediciones anteriores, este comité de expertos ha deliberado arduamente sobre las empresas, instituciones, profesiona- les, soluciones o proyectos merece- dores de los galardones de este año. A pesar de que sólo algunas candi- daturas resultan elegidas, todas las propuestas que recibe la publicación contribuyen con su participación a prestigiar este certamen, donde se aprecia el potencial de la cibersegu- ridad en España. En este décimo aniversario de los Trofeos de la Seguridad TIC, la revis- ta ha modificado su planteamien- to habitual y celebrará la entrega coincidiendo con la VIII Encuentro de Seguridad Integral (Seg 2 ), orga- nizado por RED SEGURIDAD y SEGURITECNIA. Tras este encuen- tro, que tendrá lugar en junio, se lle- vará a cabo la ceremonia de entrega y una cena para los invitados. Las candidaturas que han obteni- do las distinciones por sus acciones y proyectos han sido en esta edición las siguientes. Producto o sistema de Seguridad TIC El primer premio ha recaído sobre la empresa Cisco Advanced Malware Protection, que ha sido ganado- ra con el T1 "Trofeo al Producto o Sistema de Seguridad TIC de 2016", por su sistema de protección fren- te a malware avanzado durante todas las etapas de los ataques (antes, durante y después). Una solu- ción que además realiza la analítica necesaria para soportar un nuevo modelo de seguridad retrospectiva.
Servicio de Seguridad TIC Logitek ha conseguido el T2 "Trofeo al Servicio en Seguridad TIC" de este año por su solución Managers and Industrial Cybersecurity Director, que ofrece un servicio de auditoría y de análisis de vulnerabi- lidades de entornos OT basado en MAASERISv2.1: metodología para el análisis, auditoría de seguridad y evaluación del riesgo operativo de redes industriales y sistemas SCADA. Innovación en Seguridad TIC El T3 "Trofeo a la Innovación en Seguridad TIC" ha sido concedi- do a la empresa Leet Security, por su Servicio de Calificación y Etiquetado de Seguridad de los Servicios TIC. Dicho servicio cuen- ta con un sistema de evaluación y valoración de la ciberseguridad de los servicios de Tecnologías de la Información y las Comunicaciones, así como de todos aquellos ser- vicios que manejen información o datos de las empresas o perso- nas que los utilizan. Asimismo, esta solución proporciona información fiable sobre aquello que está com- prando una compañía previa a la adquisición. Formación, capacitación… El T5 "Trofeo a la Formación, Capacitación, Divulgación o Concienciación en Seguridad TIC" irá a parar a Kaspersky Lab por su iniciativa Kaspersky Cybersafety Games. Se trata de un proyecto que fusiona la gamificación y la seguridad con el objetivo de con- cienciar a todos los miembros de una compañía, no sólo sobre cuá- les son las conductas de riesgo o inadecuadas, sino también facilitán- doles ejemplos de buenas prácticas y modelos a imitar.
Trofeos Extraordinarios 2016 El comité de expertos ha otorga- do dos Trofeos Extraordinarios este año. Por un lado, al twitter de la Policía Nacional @policia, con más de dos millones de seguidores y que depende de la Oficina de Prensa y Relaciones Informativas del Cuerpo, por la magnífica labor de concien- ciación y difusión de la cultura de ciberseguridad que hace la institución a través de los consejos prácticos y sencillos que publica en su perfil social desde su creación. El CTA de RED SEGURIDAD tam- bién ha concedido este premio Julián Inza, por su brillante trayectoria pro- fesional en el sector de la Seguridad TIC. Inza ha realizado una gran con- tribución a la extensión de la seguri- dad en las transacciones electrónicas mediante la incorporación de la certi- ficación digital y la firma electrónica. Comenzó su carrera profesional en Banesto, donde implantó el primer sistema de banca electrónica, el pri- mer TPV virtual y la primera autoridad de certificación. Ha sido también director general de Camerfirma, direc- tor gerente de FESTE, senior vicepre- sidente de Mobipay Internacional y presidente de AECODI (asociación sobre certificación digital). En la edición de este año ha que- dado desierto el T4 "Trofeo a la Investigación en Seguridad TIC".
6 red seguridad primer trimestre 2016
guardianes de la red
reportaje
Tras los delitos en la Red
Visitamos la UIT de la Policía Nacional
CERCA DE 90 AGENTES COMPONEN LA UNIDAD DE INVESTIGACIÓN TECNOLÓGICA (UIT),
DESDE DONDE LA POLICÍA NACIONAL
PERSIGUE LOS CIBERDELITOS.
DESDE PEDERASTAS HASTA EMPLEADOS DESHONESTOS,
PASANDO POR PIRATAS Y OTROS 'MALOS', CAEN CADA AÑO EN SUS REDES. ilícitas a través de Internet. Hoy, la estructura de la UIT está dividida en dos brigadas, la de Seguridad Informática y la de Investigación Tecnológica, y una Sección Técnica. Nos recibe en su despacho el comisario principal Eugenio Pereiro, un profesional con un amplio bagaje policial que ahora dirige a un equipo de 85 funcionarios de diferentes escalas y perfiles. “Aquí combina- mos la capacitación técnica con la experiencia policial”, explica este firme defensor del trabajo en equipo como elemento imprescindible en una labor tan compleja como per- seguir los delitos en la Red. La UIT cuenta con ingenieros, peritos y téc- nicos informáticos que, además de reunir las capacidades tecnológicas
Tx.: Ana Borredá y Enrique González Ft.: RED SEGURIDAD
logías para intercambiar sus delez- nables imágenes. Sin ir más lejos, el pasado octubre fueron arrestadas 81 personas en una de las últimas macro operaciones contra la explota- ción sexual infantil online , cuya inves- tigación partió de un 'ciberpatrullaje' de los agentes de esta Unidad. RED SEGURIDAD ha accedi- do al centro de operaciones de estos 'guardianes de la red', que desde 2013 forman la Unidad de Investigación Tecnológica (UIT). Antes de ese año, la Policía Nacional perseguía los ciberdelitos a tra- vés de la Brigada de Investigación Tecnológica (conocida como la BIT) que ha conseguido muchos éxitos policiales pero que necesitaba cre- cer ante el aumento de las prácticas
B ucean diariamente en las profundi- dades de la Red para pescar a los malos. Desde organizaciones crimi- nales hasta empleados desleales, pasado por explotadores sexuales infantiles, estafadores o piratas infor- máticos caen cada año en manos de la Justicia gracias a la labor que des- empeñan los agentes de la Unidad de Investigación Tecnológica de la Policía Nacional. El año pasado fue- ron capaces de detener en el com- plejo entramado de Internet a más de 750 presuntos delincuentes, entre los que predominaron los pedófilos que se sirven de las nuevas tecno-
8 red seguridad primer trimestre 2016
guardianes de la red
reportaje
El año pasado, la Unidad de Investigación Tecnológica llevó a cabo 516 investigaciones y detuvo a 750 personas, la mayor parte por delitos de explotación sexual infantil 'online'
que requiere su trabajo, participan en todo tipo de foros nacionales e internacionales donde “cada día es más necesario estar”. No en vano, según indica el comisario principal Pereiro, una gran parte de las ope- raciones que llevan a cabo tienen conexiones internacionales. El año pasado, la UIT realizó 516 investigaciones entre las que desta- can 188 relacionadas con la explota- ción sexual infantil online , 76 fraudes digitales (sobre todo en las tele- comunicaciones), 67 de seguridad lógica (antipiratería, ciberataques o hacktivismo) y 66 en redes sociales. Además, la Sección Técnica parti- cipó en 119 operaciones para reali- zar volcados en caliente o gestionar evidencias digitales procedentes de ordenadores y otros dispositivos. Seguridad Informática El comienzo de nuestra visita nos lleva a conocer la Brigada de Seguridad Informática, que está dividida en dos secciones: Seguridad Lógica y Fraudes Digitales. “Las investigacio- nes que practicamos aquí son muy diferentes unas de otras, pero el grupo dedicado a los ciberataques es el que quizás más complejidad tiene”, explica el comisario Tomás Vicente, jefe de esta brigada. La Sección de Seguridad Lógica está especializada en perseguir la piratería online , los ciberataques y el hacktivismo. Cuenta para ello con dos grupos: el de antipiratería y el de ciberataques. El primero de ellos se encarga de averiguar los delitos contra la propiedad intelectual, como pueden ser la descarga de películas, series, videojuegos o música. Un pro- blema que ha aumentado tanto que hoy “el 95 por ciento de la piratería se produce a través de Internet”, apunta el inspector jefe de la Sección Lógica. Los miembros del grupo antipira- tería sacan pecho por haber llevado
a cabo con éxito operaciones que han dado como resultado el cierre de varias páginas web de descargas. Como fue el caso de la Operación Youkioske (una plataforma de des- cargas gratuitas de libros y revistas), en el año 2012, “que fue paradigmá- tica porque por fin se condenaba a los autores como grupo criminal”. Otros ejemplos son la clausura de Series Pepito o SeriesLy. Pero si la piratería en Internet es un delito al alza, también lo son los ciberataques. Con el añadido de que el grupo dedicado a este asunto se encuentra “todas las complejidades que puedan imaginarse” a la hora de investigar. La anonimización, las redes Peer to Peer , el crime as a service , los black markets , el cifrado de las comunicaciones y los equipos… son muchos los obstáculos tras los que se esconden los malos para evitar que les descubran. Aún con eso, son también numerosos los logros en este campo, entre los que destaca el des- mantelamiento de la organización cri- minal que estaba detrás del llamado "virus de la policía”, un ransomware predecesor de Criptolocker, uno de los ciberataques más dañinos para las empresas el año pasado. Continuamos la visita a la Brigada de Seguridad Informática a través de la Sección de Fraudes Digitales , que está compuesta por tres grupos: fraude bancario, fraude en Internet y fraude en el uso de las telecomu- nicaciones. Entre las paredes de esta sección se ha conseguido des- mantelar organizaciones criminales como la de la Operación Triangle, que utilizaba técnicas de ingeniería social y aplicaciones malware para obtener las credenciales de correos electrónicos de empresas. De esta manera terminaban accediendo a las claves que les permitían solicitar a las entidades bancarias transferencias en nombre de sus víctimas.
La Operación Overyn fue otra de las llevadas a cabo por la Sección de Fraudes Digitales, concretamen- te desde el grupo de fraude en el uso de las telecomunicaciones. Según relata Enrique, uno de los miembros de este grupo, los delin- cuentes utilizaron como gancho el casting celebrado el año pasado en España para aparecer como extra en la popular serie de televisión Juego de Tronos . “Se hacían pasar por la productora encargada del casting a través de una página web con la misma apariencia que la real. En ella publicitaban un número de abonado de tarificación superior a una llamada normal, pero hacían creer a los can- didatos que era el teléfono con el que acceder a la prueba. De ese modo obtuvieron por las llamadas una ele- vada cantidad de dinero". Cuando preguntamos a los miem- bros de la Brigada de Seguridad Informática sobre las dificultades a la hora de investigar los ciberdelitos, a técnicas como el cifrado o la anoni- mización que utilizan los malos para esconderse, se suma la complejidad judicial internacional. “Para acceder a un servidor de otro país hay que solicitar un comisión rogatoria. Los pitaras saben que esto tarda en apro- barse el tiempo suficiente como para cambiar sus parámetros, o directa- mente se sitúan en países no colabo- rativos”, lamenta el comisario Vicente. Colaboración Aunque la Brigada de Seguridad Informática es proactiva a la hora emprender investigaciones, por lo general todo comienza tras una denuncia. En el caso de la Operación Storm, realizada el año pasado, un insider que trabajaba para una empresa española extraía informa- ción para después venderla en black markets mediante transferencias en Bitcoins (moneda virtual). La compa-
red seguridad primer trimestre 2016 9
guardianes de la red
reportaje
ñía lo denunció y, gracias a la colabo- ración con la UIT, los agentes dieron con él. En total, con su actividad causó un perjuicio de al menos tres millones de euros para la compañía. Otro ejemplo de colaboración fue la Operación Walker: “desde hace un par de años detectamos que se robaban muchos teléfonos móviles de turistas extranjeros que visita- ban Barcelona. Días después de la sustracción, recibían llamadas de sus operadoras que les informa- ban de que sus tarjetas telefónicas habían sido utilizadas para realizar llamadas por grandes sumas de dinero. Trabajamos junto con varios operadores internacionales para conseguir desmantelar la organiza- ción. Una sola de estas operadoras estimó pérdidas de 53 millones en sólo tres años”, nos cuenta uno de los agentes que participó en el caso. La colaboración con las empresas es, pues, una práctica habitual y necesaria para perseguir los deli- tos informáticos. “Las denuncias se ponen directamente aquí o a través de canales como la Red Azul de la
Policía Nacional. Lo normal es que si una empresa tiene un incidente nos informe y le orientemos sobre cómo enfocar la denuncia”, expli- ca el comisario Tomás Vicente. En cualquier caso, “la colaboración con las empresas es imprescindible; por eso una de nuestras funciones con- siste en mantener abiertas las vías de comunicación con los CISO y otros profesionales de la seguridad. Fomentamos las relaciones bilatera- les”, añade. La BIT Nuestra visita avanza hacia las dependencias de la Brigada de Investigación Tecnológica, conoci- da como la BIT. Hasta 2013, esta brigada asumía dentro de la Policía Nacional los delitos en la Red. Hoy forma parte de la UIT para hacerse cargo especialmente de los relacio- nados con el abuso infantil online y en las redes sociales. Como explica el comisario Miguel Manzanas, jefe de la BIT, estamos ante un área que “se centra más en las personas que en el patrimonio”. La creación de la UIT potenció actividades que entonces la BIT rea- lizaba de manera menos estructu- rada que en la actualidad, como la investigación de delitos en las redes sociales y redes abiertas. Ahora cuenta con más recursos, agentes especializados en estos entornos y herramientas específicas. “Es una brigada proactiva, porque en Internet no tenemos que ir sólo a demanda”, asegura el comisario Manzanas. La BIT consta actualmente de dos grandes bloques: la Sección de Protección al Menor y la Sección de Redes. Operaciones como Nanisex supusieron en su momento un gran golpe contra la explotación sexual infantil online , pero se trata de una lacra que no sólo permanece sino que ha ido en aumento en los últimos años. Este tipo de delitos se persi-
30 AÑOS DE HISTORIA
P ara encontrar el origen de la investigación de delitos infor- máticos por parte de la Policía Nacional hay que remontarse a 1986, en el ámbito de la Unidad de Delincuencia Económica y Financiera (UDEF). Pero hubo que esperar hasta nueva años después para que se creara en esta unidad el Grupo de Delitos Informáticos, "del que formaban parte sólo dos compañeros que investigaban fraudes, la venta de ordenadores sin factura, progra- mas informáticos pirata...", recuer- da el inspector Enrique, uno de los veteranos de la UIT. Entre 1995 y 1999 se crearon nuevos grupos especializados y comenzó a definirse una estructu- ra contra los delitos informáticos. En 2002 se creó la Brigada de Investigación Tecnológica, que seguiría enmarcada en la UDEF hasta 2006, cuando paso a formar parte de la Unidad de Delincuencia Especializada y Violenta. Así llegó al año 2013, en el que fue constituida la actual Unidad de Investigación Tecnológica. guen desde la Sección Operativa de Protección al Menor . Según nos explica su responsable, el inspector jefe Luis García, está dividida en tres grupos: el de Colaboración con el FBI, mediante el cual se organizan y coordinan operaciones de cola- boración con la institución policial estadounidense; el de Investigación de Redes P2P, donde se investi- ga el intercambio de archivos y la ‘red oculta’; y el Grupo primero de Protección al Menor, que se dedica al acoso sexual a menores y a la coordinación de la oficina virtual con la Interpol para la identificación de víctimas. La principal dificultad del trabajo de esta sección está en el anonimato en la Red de los pedófilos, tal y como afirman los componentes de la sec-
La Sección de Protección al Menor investiga en las redes sociales y plataformas de intercambio de datos delitos como los de explotación sexual infantil online.
10 red seguridad primer trimestre 2016
guardianes de la red
reportaje
ción. “Los delincuentes utilizan herra- mientas opacas para ocultarse, pero la Policía cuenta con la colaboración de todas las instituciones y las uni- versidades. Normalmente llegamos hasta ellos, si bien cuando tenemos controlada una aplicación se van a otra para que no les detectemos”, explica el inspector jefe García. Según el responsable de la Sección de Protección al Menor, en los últi- mos años se han producido avances judiciales para la persecución de los delitos sexuales online relacionados con menores. Pero también, subra- ya, es fundamental la colaboración que existe con los proveedores de Internet y redes sociales. “La sensi- bilidad de los operadores en materia de protección sexual infantil online es muy grande y, por ello, nos facilitan mucho la labor de investigación”, añade el comisario Manzanas. La BIT también cuenta en su estruc- tura actual con la Sección de Redes , “la más joven de la Unidad” puesto que se creó a principios de 2014 “con el boom de las redes sociales”, explica el inspector jefe de esta área, Roberto Fernández. “La actividad de las sección se divide, por un lado, en la monitorización para ver qué está pasando en Internet, en general y, por otro lado, en las redes sociales, espe- cialmente con temas que son trending topic ”, explica el policía. No obstante, en esta sección tam- bién se lleva a cabo la investigación de otros delitos. Existen ejemplos de operaciones relacionadas con el juego online , la extorsión, injurias, calumnias… En torno a estos últimos, el inspector jefe de la Sección de Redes indica que “en Internet se dan muchas acciones que están entre la libertad de expresión y el delito”. Sección Técnica Dejamos atrás a los miembros de la Brigada de Investigación Tecnológica para conocer el área donde se con- centra el mayor conocimiento técni- co de toda la UIT, es decir, la Sección Técnica, que depende directamente del comisario principal Pereiro. La inspectora Silvia Barrera es la res- ponsable de esta sección, que no sólo da soporte a las brigadas de la
la prueba está en algún ordenador o dispositivo móvil”. De ahí la cada vez mayor cantidad de material con datos que llegan hasta esta área de la UIT. Una tendencia que va en aumento. Más si se repiten casos como la Operación Emperador (organización de blanqueo de capi- tales y fraude fiscal), que dejó tantos ordenadores para analizar y extraer datos que podría “ponerse una tien- da”, afirma con ironía la jefa de la Sección Técnica. Ella y el resto de miembros de la UIT saben que el volumen de su trabajo irá a más cada día que pase. El uso de las tecnologías es hoy la principal vía para llevar a cabo deli- tos de todo tipo y los malos están cada vez mejor preparados para ocultarse en la Red. La UIT estará detrás para tratar de evitarlo. RED SEGURIDAD agradece la dis- posición de la Unidad de Investigación Tecnológica para que visitemos sus instalaciones, especialmente al comisario principal Eugenio Pereiro. Queremos reconocer la labor de profesionales como Tomás, Carlos, Miguel, Luis, Roberto, Silvia, Enrique, Isabel, Francisco, María José… que han facilitado este reportaje y que trabajan diariamente con el resto de sus compañeros para que la Red sea un poco más segura.
Los agentes de la Brigada de Seguridad Informática utilizan para sus investigaciones tanto herramientas especializadas como aplicaciones de software libre.
UIT sino a todas las unidades de la Policía. “Analizamos equipos en los registros durante las operaciones, realizamos análisis forenses de los equipos, hacemos I+D de algunas herramientas…”, enumera la inspec- tora Barrera. La Sección Técnica cuenta con un laboratorio equipado con tecnología para extraer información en diferen- tes soportes. En él trabajan agentes como David, que recurre a potentes ordenadores forenses para analizar copias de los discos duros de los equipos de los presuntos delincuen- tes o herramientas para obtener evidencias digitales de dispositivos móviles. Aunque, como explica, “hay ocasiones en las que se sacan las pruebas en el propio juzgado porque alguna de las partes quiere ver cómo se extraen”. Hoy en día, gran parte de las ope- raciones policiales acaban de una manera u otra con un soporte elec- trónico en esta sección. Y es que, como señala la inspectora Barrera, “en el 95 por ciento de los casos
red seguridad primer trimestre 2016 11
guardianes de la red
entrevista
Comisario principal Eugenio Pereiro
Jefe de la Unidad de Investigación Tecnológica de la Policía Nacional
Confiesa que no es un experto en el aspecto técnico, pero el comisario principal Eugenio Pereiro cuenta con una extensa hoja de servicios que le ha llevado a liderar una de las áreas con más proyección de la Policía Nacional, la Unidad de Investigación Tecnológica. Gracias a su labor y a la de los 85 miembros de esta Unidad, el año pasado se detuvieron a más de 750 personas por delitos tan graves como la explotación sexual infantil online o el fraude. En esta entrevista desgrana algunas de las claves y dificultades de la investigación policial en la Red.
“Necesitamos procedimientos más ágiles y eficaces para afrontar los desafíos tecnológicos”
Tx.: A.B. y E.G. Ft.: CNP
les de carácter multilateral (Europol, Interpol y Ameripol).
¿A qué amenazas se enfrenta la sociedad española cuando hablamos de la Red? Las amenazas son reales, graves y crecientes. En general se caracteri- zan por su globalidad, transnacio- nalidad, sofisticación y constante evolución. El espectro en el que operan es muy variado, pero desta- ca la explotación sexual infantil onli- ne , los fraudes digitales, los cibe- rataques y la comisión de variadas actividades delictivas a través de las redes sociales, especialmente las que adoptan formas de acoso. ¿Qué tipo de técnicas y herra- mientas utilizan más los ciberde- lincuentes? La ingeniería social constituye una técnica recurrente para los ciberdelin- cuentes. Combinan actividades de los mundos offline y online para engañar
La ciberseguridad es actualmen- te una de las principales pre- ocupaciones para el Ministerio del Interior. ¿Qué acciones lleva a cabo el Cuerpo Nacional de Policía (CNP) frente a este reto? El Plan Estratégico del Cuerpo Nacional de Policía 2013-2016 reconoce la ciberseguridad como una de las prioridades de la ins- titución. El Plan establece como objetivos generales la lucha espe- cializada contra el cibercrimen; la colaboración con los sectores públi- co, privado y académico; la forma- ción específica en el ámbito de la ciberseguridad; la contribución al establecimiento de una cultura de la ciberseguridad en la sociedad, las instituciones y el sector privado; y la participación en las principales estructuras policiales internaciona-
12 red seguridad primer trimestre 2016
guardianes en la red
entrevista
Además, es preciso avanzar en algunos aspectos que no gozan de un consenso generalizado. La tipificación de los actos cibercrimi- nales no es uniforme a nivel global. Sirvan como ejemplo las activida- des relativas al spam y, en menor medida, al racismo y la xenofobia online , así como el fenómeno del grooming . Incluso la libertad de expresión constituye un elemento de desencuentro en el plano glo- bal. Mientras que la mayoría de los países persiguen formas de expre- sión extremas, como la incitación al genocidio, odio, discriminación, violencia, terrorismo o propaganda para la guerra, otros países man- tienen un cierto margen de apre- ciación por razones culturales o tradiciones legales. ¿Qué mecanismos ha articula- do el CNP en los últimos años para potenciar la colaboración en ciberseguridad con los acto- res públicos y los privados? En el CNP se ha instalado la nece- saria concienciación en materia de ciberseguridad. A este respecto, hay diferentes unidades policiales que operan en varios ámbitos: pre- vención, protección, investigación. En el plano investigativo, a la con- cienciación se suma una inequívoca mentalidad abierta, flexible y cola- boradora con los principales agen- tes críticos que operan en el ámbito de la ciberseguridad, como pueden ser jueces, fiscales, instituciones, empresas, universidades… La UIT está representada en la Fiscalía de Criminalidad Informática de la Fiscalía General del Estado. Además, mantiene canales de comunicación permanentes con los departamentos de seguridad de las principales empresas y corporacio- nes de nuestro país. Miembros de esta Unidad partici- pan de forma continua y activa en la mayoría de foros de cibersegu- ridad, ya sean públicos, privados o académicos.
La Sección Ténica es quizás el área más especializada de todas las que forman parte de la Unidad de Investigación Tecnológica, que dirige el comisario principal Eugenio Pereiro.
Cuando hablamos de Internet, el concepto de territorio es algo difuso porque lo que se provoca en un país se manifiesta en otro u otros; es decir, no hay fronteras. Desde esta perspectiva, ¿cómo se pueden perseguir los delitos eficazmente cuanto hay tal inde- finición de la normativa interna- cional para el entorno online ? Desde un punto de vista técnico- jurídico, la eficacia en la lucha contra una amenaza eminentemente trans- nacional como el cibercrimen pasa por tres exigencias. La primera es la adopción de legislaciones naciona- les adecuadas, que contemplen la tipificación, la persecución, los pro- cedimientos, la jurisdicción y la res- ponsabilidad de los proveedores de servicios de Internet. La segunda es la armonización de las legislaciones nacionales en el plano internacional. Y la tercera es la cooperación inter- nacional, cimentada a través de la extradición, la asistencia legal mutua, el reconocimiento de las sentencias judiciales de otros países y, debido a la naturaleza volátil de las evidencias digitales, la preservación de los datos informáticos. Y todo ello bajo pará- metros de dinamismo y rapidez.
a las potenciales víctimas obtenien- do información muy relevante para la posterior comisión de ciberdelitos. También las técnicas basadas en el anonimato y la encriptación están de plena actualidad. Igualmente la ciberextorsión a ciu- dadanos, instituciones y empresas ha experimentado un notable incre- mento. En estos casos, los pagos económicos se exigen, de forma prioritaria, a través de criptomone- das, lo que supone un añadido a la complejidad investigativa dada su difícil trazabilidad y la ausencia de un organismo centralizado y regulador. Las principales herramientas uti- lizadas por los cibercriminales son las redes anónimas, como TOR, la Deep Web, las VPN, foros cerrados, datos de registro falsos, conexiones ajenas, bullet proof hostings o servi- dores anónimos, sistemas de pago anónimo y el uso de servicios de comunicación cifrados.
14 red seguridad primer trimestre 2016
guardianes de la red
entrevista
"Mientras que la mayoría de los países persiguen formas de expresión extremas, otros mantienen un cierto margen de apreciación por razones culturales o tradiciones legales"
Dependiendo de las circunstan- cias, la investigación se desarrollará por los ámbitos local, provincial, regional o central. En todo caso, las denuncias serán investigadas. Además, a nivel central, el CNP dis- pone de canales de notificación de cualquier sospecha o consulta en este ámbito: vía web, redes sociales y correos electrónicos gestionados por especialistas de la UIT. En el ámbito empresarial, esta- mos a disposición de los usuarios de la Red Azul. En España, la seguridad en Internet ha calado en normativas como la nueva Ley de Seguridad Privada. ¿Cuál es su valoración sobre esta norma? La referencia en este asunto es el artículo 6 de la Ley 5/2014 de Seguridad Privada. Ese aparta- do establece que a las empresas, sean o no de seguridad privada, que se dediquen a las activida- des de seguridad informática se les podrán imponer reglamentaria- mente requisitos específicos para garantizar la calidad de los servi- cios que presten. Obviamente, esta incorporación es necesaria. En este momento se sigue trabajando sobre el borrador de Reglamento de desarrollo de la cita- da ley en tres aspectos concretos: la anotación en el Registro Nacional de Seguridad Privada de las empresas dedicadas a la seguridad informática; la posibilidad de establecer requisitos a dichas empresas, en función de los servicios que prestan, para ase- gurar su calidad; y definir una serie de medidas exigibles en materia de seguridad informática, así como un catálogo de sujetos obligados a su cumplimiento.
En el escenario internacional, ¿qué iniciativas en las que parti- cipa el CNP están dando fruto en ese sentido? Estamos representados y parti- cipamos muy activamente en los principales foros de carácter multi- lateral, como son el Interpol Global Complex for Innovation, con sede en Singapur, y el Centro de Lucha con- tra el Cibercrimen (EC3) de Europol, con sede en La Haya (Holanda). Además, el Cuerpo Nacional de Policía ha protagonizado en la últi- ma cumbre de directores de policía de Ameripol, celebrada en México DF, la presentación de un proyecto de creación de un centro de lucha contra el cibercrimen en el seno de dicho organismo. Asimismo, varios especialistas investigadores de la UIT participan –y en varios casos lideran– en gru- pos de trabajo específicos del ámbi- to internacional competentes en las principales actividades de las tres grandes áreas del cibercrimen: la explotación sexual infantil online , los fraudes digitales y los ciberataques. En ocasiones, las compañías que quieren denunciar un caso tienen dudas en torno a qué institución deben dirigirse para abordar su problema. ¿En qué casos deben acudir a la UIT? En materia de lucha contra el ciber- crimen, el CNP dispone de una estructura integrada por miembros de la Policía Judicial coordinada en los ámbitos central y territorial. En cada comisaría provincial y en las principales comisarías locales disponemos de grupos específicos dedicados a la investigación de los ciberdelitos. A nivel central se encuentra la UIT. En cualquier comisaría de Policía se pueden presentar denun- cias por la comisión de ciberdelitos.
litar y hacer más eficaz la perse- cución de los delitos en la Red? En el plano técnico-jurídico, el año pasado se caracterizó por las relevantes reformas que hubo en materia de Derecho Penal sustan- tivo y Procesal Penal, introducien- do y actualizando nuevas figuras delictivas y mejores instrumentos para la lucha contra el cibercrimen. En este momento, demandamos medios y procedimientos que ase- guren más agilidad, rapidez y efi- cacia para afrontar los continuos desafíos que plantean los avances tecnológicos. La concienciación y la formación son la base de muchas accio- nes dirigidas a la sociedad para hacer un uso seguro de Internet. ¿Cuáles ha emprendido en ese sentido la UIT con las empresas? La primera concienciación es la de los profesionales del CNP que luchan contra el cibercrimen. A con- tinuación contribuimos a la necesa- ria concienciación de los sectores afectados y potenciales víctimas a través de diferentes iniciativas. Las más visibles son nuestras aportaciones y participaciones en las redes sociales oficiales (como Twitter y Facebook), la página web de la Policía, correos electrónicos específicos, etcétera. Además, participamos en reunio- nes, eventos, foros, grupos de tra- bajo organizados por los sectores empresarial y académico. De igual modo, esa participación y colaboración se traduce en la pro- moción de actividades formativas para nuestros investigadores, que necesitan no sólo una formación y especialización policial, sino tam- bién la actualización que nos pro- porcionan las instituciones, empre- sas y corporaciones que sufren la actividad cibercriminal.
¿En qué aspectos ha de avanzar la legislación española para faci-
red seguridad primer trimestre 2016 15
PIC monográfico
R eportaje
El arte de proteger los recursos más preciados
LA COORDINACIÓN Y LA COOPERACIÓN SON LAS CLAVES QUE ESTÁN PERMITIENDO QUE LAS COMPAÑÍAS QUE OPERAN EN LOS SECTORES MÁS
ESTRATÉGICOS Y LAS ADMINISTRACIONES PÚBLICAS LUCHEN CONJUNTAMENTE CONTRA LAS CIBERAMENAZAS.
Tx.: David Marchal Ft.: Archivo
titución firma en octubre de 2012 un acuerdo con la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información y el Instituto Nacional de Ciberseguridad (Incibe), renovado el pasado mes de noviembre, según el cual "se diseñan y desarrollan acciones conjuntas en la lucha contra el ciberde- lito y el ciberterrorismo, la protección de las infraestructuras críticas, y la con- cienciación a los diferentes sectores", en palabras de Marcos Gómez Hidalgo, subdirector de Operaciones de Incibe. Fruto de dicho convenio se puso en marcha el Computer Emergency Response Team (CERT) de Seguridad e Industria (CERTSI), que es el orga- nismo competente en la prevención, mitigación y respuesta ante incidentes cibernéticos en el ámbito de las empre- sas, los ciudadanos y los operadores de infraestructuras críticas. "Su labor tiene una gran relevancia, ya que una parte importante de estas acciones están dirigidas a incrementar la ciber- seguridad de aquellas infraestructuras críticas que dan soporte a la actividad de los sectores estratégicos naciona-
les, esencial para el normal transcurrir del día a día en nuestra sociedad: suministro eléctrico, de carburantes, servicio de transporte, potabilización de agua, servicios financieros, etc.", expli- ca Abel González Bello, responsable de Operaciones del CERT de Seguridad e Industria. Por tanto, un incidente que afecte a una de estas infraestructuras puede dañar gravemente la estabilidad y la economía del país. Precisamente, el año pasado, el CERTSI registró 134 incidentes a operadores de infraestructuras estra- tégicas, a los cuales dio respuesta exitosamente. "Este valor supone un incremento de un 112 por ciento con respecto al ejercicio anterior, reflejando la mejora en las capacidades de detec- ción y la confianza de los operadores en nuestro equipo", añade González Bello. De las APT al 'ransomware' Ahora bien, este aumento de las amena- zas también puso de manifiesto la sofis- ticación de los ciberataques y cuáles son los principales tipos de incidentes que se están llevando a cabo. Según
L as infraestructuras críticas son aquéllas que proporcionan servicios esenciales cuyo funcionamiento es indispensable y no existen solucio- nes alternativas, por lo que su per- turbación o destrucción tendría un grave impacto en la sociedad. Así define este ámbito la normativa sobre Protección de Infraestructuras Críticas recogida en la Ley 8/2011 y en el Real Decreto 704/2011. En ambos casos, además, se reconoce la necesidad de garantizar la adecuada prestación de los servicios esenciales a través de mecanismos que posibiliten una seguridad integral. Partiendo de esta base, en 2011 se crea el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), dependiente de la Secretaría de Estado de Seguridad. Para reforzar su com- promiso con las empresas que ope- ran en las industrias estratégicas en materia de ciberseguridad, dicha ins-
especial
16 red seguridad primer trimestre 2016
PIC
monográfico
R eportaje
Aaron Flecha, consultor de Seguridad Industrial en S21sec, "los peores proble- mas que puede tener una infraestructura crítica son las amenazas persistentes avanzadas (APT) y ataques cuyo objeti- vo sea una denegación de servicio". Es más, Flecha lo constata con un ejemplo reciente. "Un malware que posee gran complejidad y que además tiene las dos características anterior- mente mencionadas es BlackEnergy", afirma. Se trata de un código dañino que afectó a la región ucraniana de Ivano-Frankvisk dejando sin electrici- dad a unos 600.00 habitantes de la zona durante unas horas a finales de 2015. Inicialmente BlackEnergy fue detectado en 2007 como un malware cuyo objetivo era infectar máquinas con el objetivo de crear una botnet y poder realizar denegaciones de servicio gra- cias a su panel C&C. Posteriormente, añade, "evolucionó hasta convertirse en 2015 en una de las amenazas más sonadas dentro de entornos indus- triales, al igual que Stuxnet, Duqu o Dragonfly en su momento". Por su parte, Alejandro Villar Assenza Parisi, director de Ciberseguridad y Riesgo Tecnológico de Repsol, también confirma que "los ataques APT, dota- dos de una gran cantidad de recursos económicos y con fuertes intereses, principalmente de ámbitos internacio- nales, son sin duda la mayor preocu- pación en el mundo empresarial" y en el ámbito de las infraestructuras estratégicas. Este tipo de amenazas, eso sí, son similares a las que se puede encontrar cualquier otra organización. Sin embar- go, Javier Zubieta, director de Desarrollo
de Negocio de Ciberseguridad de GMV Secure e-Solutions, considera que donde realmente se nota la diferencia es "en el impacto sobre la disponibi- lidad ante la materialización de una ciberamenaza". Para el directivo, todas aquellas amenazas que impacten direc- tamente sobre la disponibilidad del ser- vicio de una infraestructura crítica serán gestionadas antes que cualquier otra. Por ejemplo, añade, "una parada de generación eléctrica provocada por un
les ciberamenazas son los ataques dirigidos hacia la toma de control o la destrucción de sus sistemas de gestión asociados a la producción". Este tipo de ataques se han repetido también en otros sectores importantes como el financiero. Por ejemplo, el año pasado se descubrió que un grupo de hackers llevaba robando desde 2013 cientos de millones de dólares en cuen- tas de sistemas de pago electrónico y de bancos de distintos países. Para el
En 2015, el CERTSI registró 134 incidentes a operadores de infraestructuras estratégicas
ciberataque de denegación de servicio a su sistema de control industrial será más importante que el acceso no auto- rizado a una aplicación de facturación". Precisamente, algo así es lo que sucedió a finales del pasado mes de enero en Israel. La Autoridad Eléctrica de este país (Israel’s Electricity Authority) sufrió un ciberataque a sus sistemas informáticos que los dejó inutilizados durante dos días, y en un momento en el que el consumo de electricidad estaba siendo máximo debido a las frías temperaturas que se registraban en esas fechas. Y es que, como pun- tualiza Ricardo Cañizares, director de Consultoría de Eulen Seguridad, "si hablamos de infraestructuras críticas del sector de la energía, las principa-
ataque utilizaban técnicas spear phis- hing para infiltrarse en los sistemas de los bancos objetivo. Una vez dentro, los atacantes estudiaban el comportamien- to de los empleados del banco, para posteriormente imitar sus movimientos típicos, aunque destinando el dinero a cuentas falsas. También comprometían cajeros automáticos, de los que retira- rían el dinero en horas predeterminadas. Por otro lado, hay quien también llama la atención sobre el aumento que se está produciendo de los ataques tipo ransomware y sus diferentes variantes, la más conocida como Cryptolocker. "Este tipo de ataques ponen de mani- fiesto que cualquier entorno puede ser corrompido y que es indispensable fomentar la cultura de la seguridad, así
Los ciberjercicios sientan las bases de la protección de infraestructuras críticas
Coordinados por Incibe y CNPIC, en 2015 se llevó a cabo la cuarta edición de los ciberjercicios, cuyo objetivo es analizar el grado de seguridad y formación en materia de ciberseguridad de las empresas, con el fin de mejorar su capacidad de respuesta ante posibles ciberataques. Estas pruebas están enfocadas, sobre todo, a los operadores de infraestructuras estratégicas y supone una base importante para probar sus sistemas, sus equipos humanos y técnicos, sus procedimientos y su capacidad de coordinación frente a incidentes. De hecho, gracias a los beneficios que esto supone para las compañías participantes, el número de organizaciones se
ha incrementado con el tiempo hasta superar la docena de empresas de todo tipo de sectores. Paralelamente, el año pasado también se puso en mar- cha la primera edición de los ciberejercicios International CyberEx, gracias a la colaboración entre Incibe, CNPIC y la Organización de Estados Americanos (OEA). Con la partici- pación de 20 países y 300 ingenieros de ciberseguridad en diferentes equipos, todo ellos tuvieron que superar una serie de pruebas tecnológicas para ayudar a fortalecer las capaci- dades de respuesta ante ataques cibernéticos, así como sen- tar las bases para mejorar la colaboración y cooperación ante este tipo de incidentes desde el punto de vista internacional.
especial
red seguridad primer trimestre 2016 17
Made with FlippingBook