redseguridad 077

Revista especializada en Seguridad de la Información

Nº 77 segundo trimestre 2017 Época II

I N T R O D U C I N G

C H E C K P O I N T INFINITY

THE CYBER SECURITY ARCHITECTURE OF THE FUTURE

THREAT PREVENTION

MOBILE

CLOUD

www.redseguridad.com

Socios Protectores:

Aeroespacial y Defensa

Patrocinadores:

Colaboradores:

GLOBAL TECHNOLOGY ConsultoríadeSeguridadGlobal e Inteligencia

www.fundacionborreda.org Hazte amigo

editorial

¿Lecciones bien aprendidas?

E l pasado 12 de mayo hizo su aparición en todo el mundo una nueva variante de ransonware, bajo el nombre de WannaCry, que puso en jaque a los expertos y profesionales de ciberseguridad del planeta. Por el camino dejó un reguero de más de 350.000 equipos infectados de cerca de 180 países, y un impacto para las empresas españolas cuantificable, según las estimaciones de la asociación ISMS Forum, en cinco millones de euros, con un coste por equipo afectado de unos 500 euros.

En segundo lugar, es fundamental que las com- pañías actualicen sus sistemas con los últimos parches de seguridad que los fabricantes de soft- ware ponen a su disposición y los desplieguen lo antes posible en todos sus sistemas, incluidos los dispositivos móviles. La complejidad a la hora de aplicar esta medida cuando se trata de múltiples equipos o tecnologías complejas no debe ser una excusa para mantener vulnerabilidades. Pero nada de esto tiene sentido si el eslabón más débil de la cadena de seguridad, el factor humano, comete el error de ejecutar el malware. Precisamente, la masiva expansión de WannaCry fue debido a este hecho. Hay que seguir insistien- do en la necesidad de formar a los empleados en cuestiones básicas relacionadas con la cibersegu- ridad, como no abrir archivos adjuntos de remiten- tes desconocidos o sospechosos. Todo ello conduce a un concepto que desde estas páginas defendemos desde hace años. Se trata de fomentar la seguridad integral en las orga- nizaciones, uniendo tanto la física como la lógica bajo una misma estructura. Para seguir insistiendo en este mensaje, las revistas RED SEGURIDAD y SEGURITECNIA organizan IX Encuentro de la Seguridad Integral (Seg 2 ), un foro que arrancó en 2009 y que se ha convertido en el encuentro de referencia para la convergencia de la seguridad en nuestro país. En esta ocasión, la cita se centrará en la encrucijada normativa actual de trasposiciones y reformas, como las del Reglamento de Protección de Datos, la Ley PIC, el futuro Reglamento de Seguridad Privada o la Directiva NIS. Además, durante el evento se entregará la novena edición de los Trofeos de la Seguridad TIC . Medidas como las comentadas son las que pueden y deben poner en marcha las organizacio- nes internamente para anticiparse a los ataques, pero también es crucial fomentar la coopera- ción con las Administraciones y organismos públicos. Afortunadamente, la prueba de fuego que fue la propagación del WannaCry en nuestro país también puso de relieve el buen funciona- miento de esta relación.

Es momento de reflexionar y sacar

Ante este panorama, es momento de reflexionar y sacar conclusiones que nos ayuden a evitar una situación similar a la vivida hace unas semanas. Lo primero que conviene resaltar es que las grandes compañías han de revisar planes y protocolos de seguridad porque, aunque los que existen sirvieron para atenuar la situación y evitar un impacto mayor, lo cierto es que hay aspectos que mejorar. Por otro lado, el ataque también puso de manifiesto que muchas otras empresas no tienen implementado ningún plan de seguridad, ni medidas de control que eviten que estas amenazas pongan en riesgo su información, con el consiguiente daño que esto puede suponer para su negocio. Por ello, se debe valorar, especialmente entre las pymes, que son las más vulnerables, la implan- tación de un plan de seguridad apoyado en profesionales de TI y herramientas tecnológi- cas que ayuden a anticiparse y mitigar estas amenazas. conclusiones que ayuden a evitar una situación similar a la producida por WannaCry

red seguridad segundo trimestre 2017 3

sumario

reportaje

editorial ¿Lecciones bien aprendidas?

18

3

Wannacry pone en alerta al mundo

8

entrevista Juan Ignacio Zoido Ministro del Interior

especial seguridad integral

34

Los profesionales de la ciberseguridad Ricardo Cañizares Sales Director de Consultoría de Eulen Seguridad

sobre la mesa Ciberinteligencia, más allá de la prevención en ciberseguridad Participaron: CEUSS, EY, GMV, IBM, everis Aeroespacial y Defensa, ISACA Madrid, S21Sec, Cyrity, Deloitte y 4iQ Patrocinado por la Fundación Borredá

10

54

monográfico seguridad en cloud

reportaje Asegurar los entornos 'cloud', prioridad para las organizaciones

CONSEJO TÉCNICO ASESOR

Joaquín González Casal A sociación de I ngenieros e I ngenieros T écnicos en I nformática (ALI) Vicente Aceituno Canal A sociación E spañola para la S eguridad de los S istemas de I nformación (ISSA E spaña )

Fermín Montero Gómez D irección G eneral de E conomía , E stadística e I nnovación T ecnológica de la C omunidad de M adrid

Alberto Hernández I nstituto N acional de T ecnologías de la C iberseguridad (IN CIBE) Ricardo Barrasa ISACA C apítulo de M adrid Gianluca D'Antonio ISMS F orum S pain Vicente Aguilera Díaz O pen W eb A pplication S ecurity P roject (OWASP) Jorge Ramió Aguirre U niversidad P olitécnica de M adrid (UPM)

PRESIDENTE Guillermo Llorente Ballesteros M apfre VOCALES José Luis Rodríguez Álvarez A gencia E spañola de P rotección de D atos (AEPD) José Manuel de Riva A metic Guillermo Martínez Díaz A sociación de E mpresarios de TIC de A ndalucía (ETICOM)

CONSEJEROS INDEPENDIENTES Tomás Arroyo Javier Moreno Montón Javier Pagès Olof Sandstrom

Rafael Pérez Pérez brigada central de

PRESIDENTE DE HONOR Alfonso Mur Bohigas

investigación tecnológica (UCIT) del C uerpo N acional de P olicía Óscar de la Cruz Yagüe G rupo de D elitos T elemáticos (GDT) de la G uardia C ivil

Juan Muñoz ASIS E spaña Ricardo López Lázaro

C onfederación E spañola de C ajas de A horros (CECA)

STAFF Borrmart: Presidente: Francisco Javier Borredá Martín. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos, Paloma Melendo, Yolanda Duro, Fco. Javier Borredá García. Directora de Relaciones Institucionales: Mª Victoria Gómez. Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Redactor: Juanjo Sanz. Colaboradores: Bernardo Valadés, David Marchal, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico. Responsable soportes online: Laura Borredá. Soportes audiovisuales: Ancor Morales. Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Reyper.

Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países) suscripciones@borrmart.es Depósito Legal: M-46198-2002 ISSN: 1695-3991

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.

corporativo

noticias

Simarks Software, Secure and IT Proyectos, CNPIC, Carlos Manuel Fernández, Kaspersky Lab, IES Las Veredillas, Emilio Aced y CCN-CERT, galardonados Fallados los premios de la XI edición de los Trofeos de la Seguridad TIC

L a undécima edición del certa- men internacional Trofeos de la Seguridad TIC, otorgados por la revista RED SEGURIDAD, ya tiene galardonados. El 30 de mayo, el Consejo Técnico Asesor (CTA) de la publicación se reunió para deliberar los premiados de entre todas las candidaturas presentadas. Como ya ocurriera el año pasado, dichas condecoraciones se entregarán en el IX Encuentro de la Seguridad Integral (Seg 2 ), evento que organi- zan conjuntamente esta publicación y SEGURITECNIA, y que tendrá lugar el 22 de junio. Así, poniendo de manifiesto el gran nivel de ciberseguridad que existe en España, y después de conocer el fallo de las diversas comi- siones creadas para estudiar las can- didaturas, el CTA tomó las siguientes decisiones de concesión de los tro- feos correspondientes a esta edición: Innovación El primer premio ha sido concedido a la empresa Simarks Software , que ha ganado el "Trofeo al Producto, Servicio o Sistema de Seguridad más Innovador". Esto ha sido gracias a su solución de gestión de privilegios Simarks Bestsafe , una herramienta modular de asignación de permisos de acceso al sistema que destaca por su sencillez y fácil aplicación, así como su capacidad de prevención frente al malware . Empresa de Seguridad TIC El "Trofeo a la Empresa de Seguridad TIC del año" ha sido para Secure and IT Proyectos , compañía fun- dada en 2009 especializada en ser- vicios integrales de seguridad de la información para administracio- nes y organizaciones de todos los tamaños y sectores. Además, cabe

destacar que esta compañía pro- porciona una cobertura completa a sus clientes a través del servicio "Seguridad 360 grados". Institución pública en Seguridad TIC El tercer galardón, correspondiente al "Trofeo a la Mejor Institución u Organismo Público en materia de Seguridad TIC" ha recaído en el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) por su encomiable contribución al desarrollo de la seguridad integral para la protección de los servicios estratégicos de España a lo largo de sus diez años de existencia. Trayectoria profesional El "Trofeo a la Trayectoria Profesional Pública o Privada en Seguridad TIC" ha sido concedido a Carlos Manuel Fernández , por su intachable tra- yectoria profesional y su trabajo serio en la creación de certificaciones y normas de seguridad TIC, así como el impulso en España de iniciativas como la BSA (Business Software Alliance), dedicada a la defensa del software original y la antipiratería. Captación y divulgación El quinto premio, el "Trofeo a la Capacitación, Divulgación, Concienciación o Formación en Seguridad TIC", ha recaído en la empresa Kaspersky Lab , por su campaña " Familia Segura ", en colaboración con la Fundación Alia2, cuyo objetivo es concienciar mediante talleres de formación y otros encuentros a padres, niños y colegios sobre los riesgos de un uso irresponsable de Internet. Centro educativo en Seguridad TIC El sexto premio, que se convoca por primera vez en esta edición, es

el "Trofeo al Centro Educativo de Seguridad TIC del año". El centro galardonado ha sido el IES Las Veredillas de Torrejón de Ardoz , por la original iniciativa llamada " Soy Nico ", llevada a cabo por una de sus profesoras para concienciar a sus alumnos de la capacidad de viralización de los contenidos a tra- vés de aplicaciones móviles y redes sociales, alertando de esta manera de los riesgos que entraña un uso incorrecto de estos medios. Trofeos extraordinarios del jurado El CTA ha decidido conceder dos "Trofeos Extraordinarios" este año, al igual que ocurriera en la pasa- da edición. Por un lado, se ha concedido uno a título póstumo a Emilio Aced , por su imprescindi- ble y sobresaliente trayectoria en el desarrollo de la legislación sobre protección de datos personales en España y su encomiable labor res- pecto a la difusión de conocimientos sobre dicha materia. Además, se ha otorgado otro al CERT del Centro Criptológico Nacional (CCN-CERT) por su apre- miante y eficaz respuesta al ataque global del ramsonware WannaCry, especialmente a través del rápido desarrollo de la herramienta NoMoreCRy, capaz de detener dicha amenaza y que ha sido referencia internacional.

6 red seguridad segundo trimestre 2017

TE AYUDAMOS A DAR EL SALTO DIGITAL

Desde hace más de 30 años, GMV lleva sumergiéndose en la más alta tecnología para ayudar a empresas e instituciones a llegar a lo más alto del pódium en sus negocios. Liderazgo tecnológico, capacidad de innovación, calidad, eficiencia y flexibilidad son el trampolín perfecto que GMV proporciona a sus clientes para acompañarles a dar el salto al mundo digital.

GMV, CONSEGUIR TUS RETOS ES NUESTRA MEDALLA

GMV www.gmv.es marketing.TIC@gmv.es

www.facebook.com/infoGMV @infoGMV_es

AERONÁUTICA I ESPACIO I DEFENSA I SANIDAD I CIBERSEGURIDAD I ITS I TELECOMUNICACIONES I TECNOLOGÍAS DE LA INFORMACIÓN

administración pública

entrevista

Juan Ignacio Zoido

Ministro del Interior

"La Directiva NIS contribuirá a garantizar aún más la continuidad de los servicios esenciales"

El ministro del Interior, Juan Ignacio Zoido, ha concedido una entrevista en exclusiva para la revista SEGURITECNIA (perteneciente a la editorial Borrmart) en la que opina sobre el estado de la ciberseguridad en España y algunos de los retos normativos que tiene el país por delante. Publicamos un extracto del encuentro, que puede leer de manera íntegra en el número 443 de dicha cabecera, hermana de RED SEGURIDAD.

Tx: A. Borredá y E. González Ft: E.G.H.

nologías como elemento facilitador de técnicas de promoción, captación y comunicación entre los individuos y organizaciones que cometen este tipo de ataques. Si bien las tipologías de inciden- tes más apreciables gestionados en 2016 por la Oficina de Coordinación Cibernética (OCC) del Ministerio del Interior, a través de su CERT de referencia, siguen siendo los acce- sos no autorizados, el fraude y el malware ; se ha visto un decremento global con respecto al año 2015. Los datos refrendan la utilidad y evolu- ción de las medidas de detección, contención y mitigación del CERT de Seguridad e Industria, que redundan en una reducción general de inciden- tes materializados. ¿De qué manera está aumentando el Ministerio del Interior sus capaci- dades en ciberseguridad? En lo que respecta a la preparación para combatir este tipo de amenaza ciberterrorista, es algo que requiere

La ciberseguridad es una de las grandes preocupaciones actuales para los Estados. Cada vez se producen más delitos a través de la Red y éstos son más sofistica- dos. ¿Cuál es su percepción sobre estas amenazas? Para poder hacer frente a los diferen- tes riesgos y amenazas que afectan al ciberespacio, se hace necesario potenciar las capacidades del Estado desde la prevención y detección, hasta la reacción, análisis, recupe- ración y respuesta, pasando por la investigación y coordinación. El escenario actual nos está mos- trando nuevas formas de ataques terroristas que suelen ir acompaña- das de elementos tecnológicos que facilitan su difusión o que incluso sustentan ataques cibernéticos com- plementarios. En este sentido, es ya un hecho el uso de las nuevas tec-

8 red seguridad segundo trimestre 2017

administración pública

entrevista

de una labor continuada en el tiempo y de colaboración internacional. En el caso de España, desde el Ministerio del Interior se han llevado a cabo importantes avances en la materia, entre los que cabe destacar: Por un lado, la Instrucción del Secretario de Estado de Seguridad para el establecimiento de un proto- colo de colaboración entre el CITCO [Centro de Inteligencia contra el Terrorismo y el Crimen Organizado] y el CNPIC [Centro Nacional para la Protección de las Infraestructuras Críticas] para el intercambio de infor- mación, análisis y evaluación de la amenaza terrorista en materia de pro- tección de infraestructuras críticas. Por otro, la creación de la OCC como órgano técnico de coordinación en ciberseguridad de la Secretaría de Estado de Seguridad. En tercer lugar, la creación, en 2013, del CERTSI, que da servicio a los operadores estratégicos y al sec- tor privado, aunando esfuerzos de la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital del Ministerio de Energía, Turismo y Agenda Digital, a través del Instituto Nacional de Ciberseguridad (Incibe), y de la Secretaría de Estado de Seguridad, a través del CNPIC. También la actualización del Plan Nacional de Protección de Infraestructuras Críticas, que incluye la necesidad de incorporar medidas de ciberseguridad. Asimismo, otro avance ha sido la Instrucción por la que se regula la coordinación en materia de ciberse- guridad, incluyendo la capacidad de respuesta durante las 24 horas del día los siete días de la semana. Por último, hemos llevado a cabo el fortalecimiento de las capacida- des humanas y tecnológicas de las Unidades de las Fuerzas y Cuerpos de Seguridad del Estado dedicadas al ciberterrorismo y a la ciberdelin- cuencia. Europa acaba de aprobar la Directiva NIS para lograr un nivel mínimo de ciberseguridad en todos los Estados Miembros. ¿Cómo valora esta norma y cómo avanza España en su cumplimiento?

Desde el Ministerio del Interior valo- ramos este instrumento normativo de manera muy positiva, ya que va a contribuir a garantizar aún más la con- tinuidad de los servicios esenciales para los ciudadanos que se asientan sobre las redes y los sistemas de información, y a reforzar el concepto de seguridad integral acuñado desde hace años por este ministerio. Para la transposición de esta direc- tiva a nuestro ordenamiento jurídico, se ha constituido un grupo de trabajo dirigido y coordinado por el Ministerio de Energía, Turismo y Agenda Digital. El Ministerio del Interior forma parte activa de este Grupo de Trabajo a través del CNPIC, adscrito a la Secretaria de Estado de Seguridad. Los trabajos siguen la planificación estimada y pronto habrá un primer borrador de la norma de transposi- ción. Estamos dentro del plazo de transposición fijado por la Comisión Europea de mayo de 2018. Creemos que es crucial que la nueva norma que transponga esta direc- tiva esté alineada con la normativa sobre Protección de Infraestructuras Críticas (PIC) con el objeto de evitar una inseguridad jurídica innecesaria sobre los sujetos obligados, principal- mente aquellos operadores esencia- les, coincidentes en su mayoría con operadores críticos, ya que gran parte del trabajo que exige esta directiva ya está siendo abordado y desarrollado por la legislación PIC española. La directiva afecta principalmen- te a las infraestructuras estraté- gicas y críticas. España ha avan- zado mucho en la protección de éstas últimas desde la creación del Sistema PIC. ¿En qué posición nos encontramos en esta materia en comparación con nuestros princi- pales socios europeos? España es uno de los países más avanzados en Europa en materia de protección de infraestructuras críticas, sobre el concepto de seguridad inte- gral al que hacía referencia hace unos instantes, y que cuando se impulsó desde el Ministerio del Interior era prácticamente inédito en el continen- te. Este concepto engloba, además de la seguridad física de las instalacio-

nes, la seguridad de las personas y la continuidad de negocio, la seguridad de las redes y sistemas de informa- ción, por lo que enlaza a su vez con el objeto y espíritu de la Directiva NIS. En las reuniones y foros a nivel europeo e internacional en los que participa el CNPIC se ha podido evidenciar la existencia de un claro reconocimiento de otros estados y organizaciones internacionales hacia España por el grado de avance y madurez del Sistema PIC, el cual tiene su máximo exponente en la colabo- ración público-privada que estamos sabiendo implantar en nuestro país en materia de seguridad. La consecución de un escenario de colaboración público-privada eficaz como el que tenemos no es una tarea fácil, ni rápida: se basa en aspectos tan esenciales como lograr una con- fianza mutua entre los operadores y la Administración, la implantación de la conciencia de responsabilidad compartida en materia de seguridad por todos los agentes integrantes del sistema, y una planificación de la seguridad a nivel estratégico y ope- rativo donde cada agente tenga su ámbito de actuación. Es indudable que la colaboración internacional y el intercambio de infor- mación entre Estados en materia de protección de infraestructuras críticas es vital frente a las amenazas, entre las que destaca la del terrorismo. El año 2017 es especial para la protección de las infraestructuras crí- ticas española, ya que se cumplen 10 años de la puesta en funcionamiento de todo este sistema a través de un Acuerdo del Consejo de Ministros de 2 de noviembre de 2007. Por ello, quiero aprovechar la ocasión para felicitar a la Secretaría de Estado de Seguridad como responsable máxi- mo del citado sistema, a través del CNPIC, y agradecer a los más de cien operadores críticos y otros agentes públicos y privados que forman parte de este sistema, por su colaboración y apoyo, sin el cual no hubiera sido posible adquirir este grado de avance. Lea la entrevista íntegra al ministro del Interior en el número 443 (junio) de la revista SEGURITECNIA.

red seguridad segundo trimestre 2017 9

ciberinteligencia

sobre la mesa

El acto de recopilar, evaluar, analizar e interpretar los datos para convertirlos en información útil para la toma de decisiones es lo que podríamos llamar "inteligencia". Sin embargo, desde hace algún tiempo se utiliza también el concepto de "ciberinteligencia" asociado a estos procesos en el ámbito de la ciberseguridad. Pero, ¿qué es realmente este término y qué aporta a las organizaciones? Eso es, precisamente, lo que intentamos responder en este "Sobre la mesa". Ciberinteligencia, más allá de la prevención en ciberseguridad

De izda. a dcha., Emmanuel Roeseller (IBM), Joaquín Collado (CEUSS), Elena Maestre (EY), Javier Zubieta (GMV), Enrique González (RED SEGURIDAD), Javier Bordonada (everis Aeroespacial y Defensa), César Álvarez (colaborador de la Fundación Borredá), Antonio Ramos (ISACA Madrid), Xavier Mitxelena (S21sec), Joaquín Castillejo (Cyrity), Ana Borredá (RED SEGURIDAD), Rubén Frieiro (Deloitte) y Borja Moreno (4iQ).

Tx: David Marchal Ft: RED SEGURIDAD

Precisamente, es en este contexto donde toma sentido el concepto de "inteligencia", definido, tal y como esta- blece el diccionario de la RAE, entre otras acepciones, como "la capacidad de entender o comprender". No obstante, desde hace varios años este concepto se aplica también al entorno tecnológico con el nombre de "ciberinteligencia". De ahí que, con la idea de entender algo más sobre él, RED SEGURIDAD, en colaboración con la Fundación Borredá, organizara una mesa redonda para tratar este aspecto, a la que asistieron una dece- na de expertos. La primera conclusión que se puede extraer del debate es la propia confu-

sión que genera el término tanto entre los profesionales del sector como entre las organizaciones que buscan este tipo de servicios. Por ejemplo, Joaquín Collado, vicepresidente pri- mero de la Confederación Empresarial de Usuarios de Seguridad y Servicios (CEUSS), entiende que este término se puede ver desde dos puntos de vista: "El primero es la captación de información en el mundo informático, en muchos casos con fuentes abier- tas y no contrastadas. El segundo se refiere a la seguridad informática o ciberseguridad, donde la inteligencia es clave para saber qué amenazas van a atacar a un sistema informático y qué medidas se deben tomar para evitarlo.

S i algo han demostrado los últi- mos ciberataques detectados en todo el mundo durante los últimos meses es que las organizaciones, por muy protegidas que se crean, no son invulnerables; en cualquier momento pueden sufrir una brecha de seguridad. Por eso, actuar de forma reactiva y a posteriori no tiene ningún sentido. El objetivo primor- dial es anticiparse a las amenazas para poder estar preparado ante un ataque informático de cualquier naturaleza.

10 red seguridad segundo trimestre 2017

ciberinteligencia

sobre la mesa

amplio espectro, cubriendo aspec- tos relacionados con la tecnología, la seguridad física y la industria", opinó. De la misma forma se expresó Joaquín Castillejo, CEO de Cyrity: "Ante el escenario que tenemos de riesgos híbridos, hay que evolu- cionar el concepto de inteligencia no solo a ciber, sino en general a riesgos y amenazas, partiendo de la base de que hay que tener capaci- dades técnicas para poderlo hacer y una cultura de inteligencia". Servicios de ciberinteligencia Al respecto, también se pronun- ció Javier Bordonada, director de la división de Seguridad de everis Aeroespacial y Defensa: "La ciberin- teligencia no es solo tecnología, sino que donde verdaderamente aporta valor es en los servicios de consul- toría". Para el directivo, tiene que haber una plataforma que automati-

Joaquín Collado vicepresidente primero de CEUSS "Entiendo la ciberinteligencia desde dos puntos de vista: uno es la captación de información en el mundo informático; y el segundo se refiere a la seguridad informática, donde la inteligencia es clave para saber qué amenazas van a atacar a un sistema" En este último, hay que trabajar mucho con el departamento TIC; en cambio, en el primero no es necesario". Para Antonio Ramos, vicepresi- dente de ISACA Madrid, es impor- tante no incurrir en una sinécdoque en este ámbito y "llamar al todo por la parte", ni caer en el error de denominar ciberinteligencia a la automatizacion de la inteligencia. "Eso es inteligencia con herramien- tas automáticas, pero no ciberinteli- gencia", apuntó el directivo. Desde el punto de vista de Elena Maestre, socia responsable de Risk Advisory Services en EY, la ciberinteligencia "no va dedicada exclusivamente a la prevención de amenazas tecnológicas", sino que "pone a disposición todo el ámbito tecnológico y ciber para poder tra- bajar en alertas de seguridad en un

Elena Maestre socia responsable de Risk Advisory Services en EY "Descubrir que hay un

fallo en el sistema informático no es

ciberinteligencia, sino un servicio de alerta. Sí sería el hecho de anticiparse, partiendo de una información analizada, a

situaciones como un ataque a operadores críticos, por ejemplo"

ce la obtención de información y un analista de negocio que convierta los datos en información útil. Y todo proceso de ciberinteligencia, añadió, ha de tener "un componente básico unido, que es la convergencia de las partes ciber y física. Hay riesgos físicos que generan problemas ciber y al revés", confirmó. Este proceso, para Rubén Frieiro, socio de riesgos cibernéticos de Deloitte, resulta muy similar. Según explicó el directivo, "las amenazas son globales y la única herramienta capaz de anticiparse a ellas es la cibe- rinteligencia o la inteligencia aplicada a las ciberamenazas", entendida como "un servicio que combina tres facto- res: metodología, tecnología y aspecto humano". Precisamente, para Javier Zubieta, responsable de desarrollo de negocio de Ciberseguridad de GMV,

Antonio Ramos vicepresidente de ISACA Madrid "Todos los servicios de ciberinteligencia tienen un gran reto, que es la industrialización. No obs- tante, sí se puede contar con métodos adecua- dos que se ajusten a las necesidades de cada caso"

red seguridad segundo trimestre 2017 11

ciberinteligencia

sobre la mesa

Además, esta oferta tiene un gran reto, a juicio de Ramos, de ISACA, que es la industrialización. "La inteligen- cia es difícil de industrializar", aunque sí se pueden "tener métodos que se adecuen a las necesidades de cada caso", comentó. De hecho, para este profesional, "construir servicios de inte- ligencia es complicado, porque no es lo mismo trabajar para el sector del petróleo que para el de las finanzas", apuntó. Esta idea también la compartió Emmanuel Roeseler, director de IBM Security Systems España, Portugal, Grecia e Israel, para quien "solo se pue- den industrializar determinados casos de uso, pero no toda la ciberinteligen- cia", señaló. Aquí la clave está en encontrar el objetivo adecuado o el entorno espe- cífico para utilizar la ciberinteligencia. Uno de ellos, según apuntó Zubieta, de GMV, es "la lucha contra el fraude". En este caso, concretó: "Existe una casuística determinada con un retorno de inversión calculable que ayuda a la toma de decisiones". Ahora bien, la ciberinteligencia, según confirmaron todos los asisten- tes a la mesa redonda, también se puede llevar a cabo en otros ámbitos. Así lo apuntó Bordonada, de everis: "La ciberinteligencia se puede utilizar para el levantamiento de riesgos físi- cos en entornos de operaciones; para obtener información de clientes en el ámbito comercial y de marketing; o incluso para el análisis de las planti- llas por parte de los departamentos de recursos humanos". Y subrayó a continuación: "Si queremos que la ciberinteligencia sea clave, hay que llevarla a otros ámbitos estratégicos como el negocio". Precisamente, los

Javier Bordonada director de la división de Seguridad de everis Aeroespacial y Defensa

Joaquín Castillejo CEO de Cyrity "Cuando alguien aborda un proceso de ciberinteligencia, necesita conocimiento para poder tomar decisiones, ya sea sobre un tema estratégico, de contratación de personas, de seguridad o de reacción ante incidentes de mercado"

"La ciberinteligencia no es solo tecnología, sino que donde verdaderamente aporta valor es en los servicios de consultoría. Tiene que haber una plataforma que automatice la obtención de información y un analista que convierta los datos en información útil" "los servicios de ciberinteligencia tienen que ir más allá de la mera interpretación de datos". "A nosotros se nos demanda servicios de ciberinteligencia a medida, específicos para determinadas compa- ñías y sectores, con el objetivo de que los clientes puedan tomar las mejores decisiones", puntualizó. Es algo que también llevan haciendo durantemuchos años en S21Sec, según apuntó Xavier Mitxelena, vicepresi- dente del Consejo de Administración de dicha compañía. "Cuando empezamos a ofrecer servicios de ciberinteligencia, encontramos en el mercado una falta de entendimiento de lo que podríamos hacer", explicó. Y es que, según el directivo, "para hacer ciberinteligencia, hay que entender muy bien quién es el cliente y qué tipo de servicios se le pueden ofrecer".

participantes en el debate echaron en falta una mayor demanda de este tipo de servicios entre los directivos de las empresas españolas para ayudarles a gestionar mejor las organizaciones. Y

Establecer una definición adecuada de ciberinteligencia fue uno de los temas tratados durante la celebración de esta mesa redonda patrocinada por la Fundación Borredá.

12 red seguridad segundo trimestre 2017

EMPIEZA AQUÍ TU LUCHA CONTRA EL RANSOMWARE Consejos de prevención Herramientas de descifrado Descarga nuestros whitepapers gratuitos

ciberinteligencia

sobre la mesa

de uso relacionados con la seguri- dad", manifestó. En estas ocasiones, según apuntó Frieiro, de Deloitte, "el primer aspecto es analizar sobre qué queremos hacer el ejercicio de ciberinteligencia. Eso nos va a decir qué información tenemos que buscar para poner el foco". Y el segundo es descubrir "cómo se puede llegar a automatizar el proceso cuando se sabe el producto final que se busca". Claro que este proceso se puede extrapolar a cualquier ámbito en el que se quiera utilizar la ciberinteligencia, tal y como confirmaron los asistentes al encuentro. En palabras de Castillejo, de Cyrity, "cuando alguien aborda un proceso de ciberinteligencia, en el ámbito que sea, necesita conocimien- to para poder tomar la decisión, ya sea sobre un tema estratégico, de contra- tación de personas, de seguridad o de reacción ante incidente de mercado". En estos casos, es fundamental verifi- car las fuentes para que sean fiables y después poner los resultados a dispo- sición de los solicitantes. Y es que se dan casos, como resal- tó Collado, de CEUSS, en los que "determinadas empresas presentan documentos con información como si fueran de ciberinteligencia, cuando no es así", con textos copiados y pegados de Internet. Para Mitxelena, ésta es una realidad habitual en la actualidad, con "empresas que han surgido de la nada que generan informes con esca- sa información". Y añadió: "Estamos sufriendo la mala calidad de los servi- cios y productos. Tengo la sensación de que a muchas organizaciones esto no les aporta ningún valor", señaló. Herramientas y personas Claro que, a la hora de automatizar la interpretación de la información y después analizarla, es fundamental el papel que desempeñan tanto las herramientas tecnológicas como las personas. En este sentido, en la mesa redonda estuvieron representadas dos compañías que cuentan con este tipo de soluciones. Una de ellas es 4IQ. Según comentó Borja Moreno, director senior de Ventas para Iberia y Latinoamérica de la compañía, se apoyan en la inteligencia de los ana- listas partiendo de una plataforma de inteligencia open source y fuentes internas desarrollada por su empresa. "Nuestra solución se basa en hacer

Rubén Frieiro socio de riesgos cibernéticos de Deloitte "Las amenazas son globales y la única herramienta capaz de anticiparse a ellas es la ciberinteligencia o la inteligencia aplicada a las ciberamenazas, entendida como un servicio que combina metodología, tecnología y aspecto humano" para ello, añadió Zubieta, de GMV, "se debe utilizar un lenguaje acorde con las necesidades de éstos". Por supuesto, dentro de estos casos de uso también se encuentra la aplicación al ámbito de la seguri- dad, tal y como defendieron Maestre, de EY, y Ramos, de ISACA. Para la primera, "saber que hay un fallo en el sistema no es ciberinteligencia, sino un servicio de alerta. Sí sería el hecho, partiendo de una información analizada, de anticiparse a situacio- nes como un ataque a operadores críticos, por ejemplo", matizó. Para el segundo, "es bueno hablar de cibe- rinteligencia aplicada a la seguridad, porque es necesario que las organiza- ciones tomen decisiones estratégicas en este ámbito, y que las empresas estén capacitadas para proporcionar información en determinados casos

Javier Zubieta director de desarrollo de negocio de Ciberseguridad de GMV "Los servicios de ciberinteligencia tienen que ir más allá de la mera interpretación de datos. A nosotros se nos demanda servicios a medida, específicos para compañías y sectores, con el objetivo de que los clientes puedan tomar las mejores decisiones" inteligencia partiendo de una base que la pone el analista. Primero se realizan las preguntas que se quieren responder, después se seleccionan las fuentes de búsqueda y luego este profesional saca las conclusiones", explicó. A partir de ahí, la ciberinte- ligencia se puede llevar a cabo en muchos campos, no solo en ciberse- guridad, sino también en inteligencia competitiva y de negocio, por ejem- plo. "Todo se puede parametrizar en función de las necesidades del ana- lista, que es quien establece todos los parámetros", añadió el directi- vo. Por eso, en 4IQ también hacen mucho hincapié en la formación de estos expertos y en proporcionarles el mayor número de fuentes posibles del sector en el que se encuentran para poder contextualizar sus con- clusiones.

especial

14 red seguridad segundo trimestre 2017

ciberinteligencia

sobre la mesa

Por su parte, IBM fue otra de las compañías participantes en la mesa redonda que cuenta con esas herra- mientas. En este caso, y según reveló Roeseler, han decidido apostar por la inteligencia cognitiva para llevar a cabo este proceso, la cual se representa en el sistema informático de inteligen- cia artificial Watson. "En IBM vimos hace años que la ciberinteligencia se usaba en contra de las compañías. Por eso, dimos acceso libremente a toda la ciberinteligencia que tenemos en X-Force, nuestro departamento de ciberseguridad. Pero las organizaciones nos pedían automatizar este proceso para poder responder en tiempo real", explicó el directivo. Por eso, el pasado mes de febrero anunciaron la aplicación de la inteligencia artificial a la ciberin- teligencia. "Esto nos permite cumplir dos objetivos: dar inmediatamente a

todo el mundo y comparamos cómo trataba Watson un incidente de ciberse- guridad con cómo lo hacía el SOC. En dos casos, el equipo de analistas deter- minó que el incidente era ruido, mien- tras que Watson vio que era un ataque que estaban sufriendo empresas desde hacía varios meses, algo que después se confirmó. Por eso, pensamos que Watson va a aportar mucho al mundo de la ciberseguridad", comentó. ¿Externalizar y compartir? Una vez establecida la importancia de las personas y de la tecnología para los procesos de generación de ciberinteligencia, la mesa redonda se focalizó en cómo suministrar esos servicios. Para Moreno, de 4IQ, hay dos alternativas posibles: "Contar con una célula propia en la empresa que realice toda la labor de ciberinteli-

Emmanuel Roeseler director de IBM Security Systems España, Portugal, Grecia e Israel "En febrero anunciamos la aplicación de nuestra inteligencia artificial Watson a la ciberinteligencia. Esto nos permite dar inmediatamente a las organizaciones lo que es relevante para ellas y automatizar el proceso de respuesta a incidentes" A continuación, el directivo explicó el funcionamiento de Watson, que se compone de un corpus central (Watson for Cybersecurity) que es el que acumu- la todo el conocimiento con el que se ha estado nutriendo al sistema durante dos años aproximadamente. Después, en el SOC, se instala el módulo Watson Advisor, que es con el que está en con- tacto el analista. Éste formula las pre- guntas adecuadas al sistema, que se conecta vía cloud con el corpus central y, a partir de ahí, ofrece una respuesta en virtud de los datos que maneja. Para analizar su funcionamiento, la compañía realizó varias pruebas piloto. "Lo instalamos en veinte empresas de las organizaciones lo que es relevante para ellas y automatizar el proceso de respuesta ante incidentes", señaló.

Borja Moreno director senior de Ventas para Iberia y Latinoamérica de 4IQ "Nuestra solución se basa en una plataforma que permite al analista cubrir todo el ciclo de la inteligencia buscando en fuentes abiertas, privadas y 'Deep and Dark web' para poder sacar conclusiones"

Xavier Mitxelena vicepresidente del Consejo de Administración de S21sec "No todo lo que se hacía en el entorno físico vale en el ámbito de la ciberinteligencia, y viceversa, no todos los profesionales que venimos del mundo digital vamos a enseñar a hacer ciberinteligencia a las organizaciones"

red seguridad segundo trimestre 2017 15

ciberinteligencia

sobre la mesa

que ofrecen este tipo de servicios, tal y como apuntaron varios de los presen- tes en la mesa redonda. En este sentido, Frieiro, de Deloitte, matizó que "algunas empresas están exigiendo habilitaciones para los profe- sionales que participan en estos proce- sos", y "habrá que ver qué dice al res- pecto el nuevo reglamento que se está preparando sobre seguridad privada". De momento, según dejaron claro los expertos asistentes, ninguna ley habla expresamente de ciberinteligencia. Por otro lado, en opinión de Ramos, y al tratar con activos críticos, "tiene sentido que se pida algún tipo de garantía a las empresas que ofrecen estos servicios". No obstante, para Maestre, de EY, esto puede "ser difícil de legislar". Otra cosa es "la propia responsabilidad que deben tener las organizaciones para tener esto con- trolado", añadió. Eso sí, en algunos casos, en opinión de Zubieta, "se están exigiendo determinadas certi- ficaciones" para los profesionales que realizan estas labores, pero de momento no es una obligación. Conclusión La mesa redonda finalizó con la sensa- ción de que lo primero es definir qué se entiende por ciberinteligencia, porque, en palabras de Mitxelena, de S21sec, "parece que a todo se le llama así". Por lo tanto, habría que establecer qué visión se le va a dar a este concepto, y qué proceso de transformación ha de experimentar la inteligencia para convertirse en ciberinteligencia. "Hay que definir la transformación digital de la inteligencia, no la digitalización de la inteligencia", puntualizó. Y es que, según el directivo, "no todo lo que se hacía en el entorno físico vale aquí; y viceversa, no todos los que venimos del mundo digital vamos a enseñar a hacer ciberinteligencia". En este sen- tido, para Mitxelena, se necesita ana- lizar los datos, trabajar con la informa- ción extraída y juzgar con prospectiva para saber qué hacer. Por lo tanto, es preciso crear una nueva materia que defina cómo deben ser los profesionales de este ámbito, y de qué forma las empresas deben incorporar la ciberinteligencia a sus procesos, todo ello con un objetivo claro, según el directivo: "Hacer de esta palabra un activo importante de las organizaciones".

Diez expertos del sector dieron su punto de vista sobre los servicios de ciberinteligencia aplicados ámbito de la seguridad.

gencia, o subcontratar el proceso en modo servicio". Lo malo en el primer caso, según puntualizó Maestre, de EY, es que "montar una célula de inteligencia con sistemas y analistas propios requiere un volumen de inversión que no es fácil poner en valor". Para la directiva, "es difícil que una organización tenga la inversión necesaria para poder mon- tar plataformas de analistas técnicos desde un primer momento". Por eso, lo habitual es recurrir a servicios externali- zados, en los que, según reveló Frieiro, de Deloitte, no se ofrece el servicio entero de inteligencia. "Una vez que se produce la información, la forma en la que la consume el cliente la decide él". Ahora bien, la dificultad aquí reside en "cómo poner a disposición del cliente información útil que le permita finalizar el ejercicio de inteligencia", agregó. Para Ramos, de ISACA, este tipo de servi- cios "suelen externalizarse" y lo normal es que "se deje que el cliente la con- suma como crea necesario", comentó. Claro que, para ello, es preciso esta- blecer una relación de confianza entre ambas empresas, sentimiento al que, a juicio de Mitxelena, "se llega con el tiempo y la necesidad". Para el repre- sentante de S21sec, habitualmente las organizaciones apuestan por modelos SaaS de ciberinteligencia, "con plata- formas remotas, un modelo cómodo para ellas, puesto que no requiere inversión". Y es que, según el directivo, "la venta de tecnología de ciberseguri- dad sólo se da en aquellas compañías que tienen la capacidad de tomar deci-

siones o proteger los datos de forma confidencial". En estos casos, la cola- boración entre los equipos es clave. Precisamente, éste fue otro de los temas que se abordó durante la mesa redonda. Para Freire, de Deloitte, por ejemplo, "se debe exigir la comparti- ción de información". En cambio, para Mitxelena, de S21Sec, depende de qué inteligencia sea. "Cuando se trata de un elemento final, es responsabili- dad de la empresa cliente; pero cuan- do es uno genérico de riesgo, tiene que haber canales para hacer efectiva la cooperación, especialmente entre el sector público y privado", aseguró. Sin embargo, hay quien esto lo ve como una utopía, porque, "si en temas de seguridad, como incidentes, no se es capaz de compartir informa- ción entre las propias administraciones públicas y entre éstas y el sector priva- do, mucho menos en inteligencia", en palabras de Maestre, de EY. Por eso, para Castillejo, de Cyrity, "habría que darle un impulso a esto en España más allá de hacer grupos de trabajo sec- toriales o de infraestructuras críticas", señaló. Eso sí, lo que mejor funciona, a juicio de Maestre, de EY, es "el canal informal de comunicación", porque no existe una estructura formal creada para facilitar la posibilidad de compartir información entre empresas. Aspectos legales Y tan importante puede llegar a resul- tar el hecho de compartir información para la ciberinteligencia como el exigir una serie de requisitos a las empresas

16 red seguridad segundo trimestre 2017

Solución global de seguridad para el Internet of Everything

nebulaSUITE® proporciona una solución global a las necesidades de autenticación, privacidad e integridad tanto en el Internet de las Personas (IoP) como en el Internet de las Cosas (IoT)

ALMACENDE CERTIFICADOS HSM

INTERFAZ DEUSUARIO ADMINISTRACION

GESTIONDE CERTIFICADOSDIGITALES RA

APLICACIONES INTERNAS

APLICACIONES CLOUD A P P S

IoT

Emita sus propios certificados digitales y controle su uso desde la plataforma de gestión integral de certificados en la nube. Utilice los certificados digitales en cualquier momento y desde cualquier ubicación. Disponga de una plataforma para la firma de documentos mediante certificado digital para su organización y mediante certificado digital y/o firma manuscrita con control biométrico para sus empleados o clientes. Proteja todas las operativas con tecnología de autenticación dinámica multifactor adaptativa (Adaptative MFA).

· Garantiza la identidad de las personas y dispositivos que interactúan en el sistema.

· Asegura que las operaciones se realizan dentro de los parámetros permitidos, y sólo por el usuario autorizado, en el entorno autorizado y para los fines propuestos.

· Garantiza la disponibilidad de las operaciones en el momento requerido y desde cualquier lugar.

vintregris.tech

wannacry

reportaje

El ataque evidencia nuevamente la importancia de la seguridad TIC y la concienciación WannaCry pone en alerta al mundo

Tx: Enrique González Herrero Ft: Thinkstock WANNACRY PASARÁ A LA HISTORIA POR SU SOFISTICACIÓN Y CAPACIDAD PARA INFECTAR AL MUNDO ENTERO DE MANERA SIMULTÁNEA. PERO, SOBRE TODO, HA SIDO UNA LLAMADA DE ATENCIÓN SOBRE LA IMPORTANCIA DE LA SEGURIDAD TIC QUE HABRÁ QUE VER SI CALA DEFINITIVAMENTE EN LA SOCIEDAD. U n ciberataque "a un nivel sin pre- cedentes". Así calificaba Europol la acometida del ransomware WannaCry, que puso en jaque a organizaciones de todo el planeta el pasado 12 de mayo. Sin embargo, probablemente en realidad no haya sido el más dañino de la historia. Basta recordar otros virus como I Love You, Conficker o el Virus de la Policía, que afectaron a millo- nes de usuarios, por no mencionar otros ataques como los sufridos por Estonia en 2007, que parali- zaron la Administración del país. Lo que ha provocado que ese infausto

viernes quede para la posteridad de la ciberseguridad fue sin duda su sofisticación y capacidad para arre- meter de manera simultánea contra el mundo entero. Desde primera hora de la mañana del 12 de mayo, el alcance global de WannaCry fue en aumento a medida que avanzaba el día y se sumaban a la lista de damnificados más nom- bres de organizaciones, algunas de ellas esenciales para los Estados como hospitales, bancos, redes de transportes, telecomunicaciones o empresas energéticas. Ha sido la primera crisis relacionada con la ciberseguridad que se ha retransmi- tido en directo a través de la prensa, primero a escala nacional y, horas después, internacional. Pero ahora

queda hacer balance de una emer- gencia que comprometió la capaci- dad de defensa de un buen número de compañías. Aunque no existe una cifra exac- ta de empresas perjudicadas en todo el mundo, el Instituto Nacional de Ciberseguridad (Incibe) indica que resultaron infectados cerca de 360.000 equipos informáticos de un total de 180 países, entre los cuales China, Rusia, Estados Unidos y Reino Unido fueron los más afec- tados. En España, la magnitud ha sido de menos de 3.000 infeccio- nes, aunque nueve de las compa- ñías perjudicadas están conside- radas estratégicas, si bien ningún servicio esencial resultó dañado. "Por un lado, podemos estar tran-

18 red seguridad segundo trimestre 2017

wannacry

reportaje

El comportamiento de este 'ransomware' hace sospechar que, en realidad, el ataque podría esconder una prueba de concepto para preparar una acometida posterior más potente

quilos y, por otro, satisfechos con el papel de los operadores; aunque siempre se pueden mejorar ciertos aspectos ligados a la actualiza- ción de los equipos y a la con- cienciación", valora Marcos Gómez Hidalgo, subdirector de Servicios de Ciberseguridad de Incibe. No obstante, aunque parece que el impacto real en España de WannaCry en cuanto a pérdidas económicas o de información ha resultado ser menor de lo que se pudo pensar al principio, no cabe duda de que el incidente debe con- siderarse una "llamada de atención". Así opinan expertos como Ramsés Gallego, Strategist & Evangelist de Symantec, para quien este caso "no deja de demostrar lo complicado que es proteger, parchear e inven- tariar miles, si no decenas de miles, de servidores", aunque esto "no debe ser excusa" porque existen en el mercado herramientas de mitiga- ción para frenar embates como el acontecido. Lo nunca visto El ataque de WannaCry fue posible porque se aprovechó de una vul- nerabilidad conocida. Los antece- dentes comenzaron el 14 de marzo, dos meses antes del suceso, cuan- do Windows informó en su boletín MS17-010 de la existencia de una debilidad en las diferentes versiones de su sistema operativo, para la que ofrecía un parche de seguridad. El problema, explicaba el documento, afecta al protocolo de red SMB (Server Message Block), que permi- te compartir archivos y dispositivos entre ordenadores. Solo un mes después, el grupo Shadow Brokers filtró a través de la Red varias herramientas robadas a la NSA (National Security Agency) – desarrolladas para la agencia norte- americana por el colectivo Equation

Group– de las que también informó Wikileaks posteriormente, con la consiguiente repercusión mediática mundial. Una de esas herramientas era el exploit EthernalBlue, el que utilizaron quienes están detrás de WannaCry. A pesar de esta información y del aumento de las variantes de ransomware (un tipo de virus que cifra la información del ordenador y pide un rescate, generalmente en Bitcoins, a cambio de liberarla) que aparecen diariamente, WannaCry resultó ser de un tipo nunca visto. Su código incluía una combina- ción del exploit EthernalBlue con una puerta trasera conocida como DoublePulsar, que le permitió no solo infectar a los equipos sino también moverse por la red interna a la que estaban conectados. Es decir, además de cifrar y secuestrar la información de un ordenador, el virus fue capaz de moverse late- ralmente como un 'gusano' para contagiar a otras máquinas. La calma –no la solución– llegó cuando un joven investigador britá- nico neutralizó el virus mediante el registro del dominio con el que con- tactaba WannaCry antes de infectar los sistemas y que, al no obtener respuesta, provocaba la dispersión del virus. Ese "botón del pánico" ha sido interpretado como un recurso del creador de este ransomware para detenerlo en caso necesario, lo que podría significar, apuntan diferentes expertos, que en realidad el ataque es fruto de una prueba de concepto que podría dar pie a una acometida posterior más potente. Es decir, un "ataque antes del ata- que", como señala Ramsés Gallego. A esta incertidumbre se suma el desconocimiento de la autoría del virus, aunque un reciente informe de la NSA, publicado por el diario The Washington Post , sostiene que

detrás de WannaCry estaría el grupo norcoreano Lazarus, una conclusión en línea con las investigaciones ante- riores de empresas como Kaspersky o Symantec. Dicho grupo, vinculado al régimen de Kim Jong-un, ha sido acusado también de otros incidentes de seguridad, como el que sufrió Sony Pictures en 2014 o el Banco Central de Bangladesh en 2016. Esta sospecha, unida al hecho de que los ciberdelincuentes aún no han canjeado por dinero en efectivo los aproximadamente 120.000 dólares en Bitcoins recaudados en la cam- paña, apuntan a que el objetivo del ataque del 12 de mayo podría buscar algo más que el lucro económico. La colaboración funcionó WannaCry se convirtió durante varios días en la amenaza más peligrosa para las empresas, pero también supuso una prueba de fuego de ges- tión de crisis para organismos nacio- nales e internacionales de cibersegu- ridad. En España, Incibe y el Centro Nacional para la Protección de las Infraestructuras Críticas, a través del CERT de Seguridad e Industria (CERTSI), además del CERT del Centro Criptológico Nacional (CCN- CERT), las unidades de seguridad tecnológica de las Fuerzas y Cuerpos de Seguridad, el Departamento de Seguridad Nacional y el Mando Conjunto de Ciberdefensa colabo- raron de manera coordinada en la resolución de la ofensiva. El CERTSI mantuvo permanente contacto tanto con las compañías afectadas como con otras posi- bles víctimas desde el comienzo del incidente hasta que consideró que la situación estaba bajo control, cuatro días después. A las 9:30 de la mañana, el organismo ya detectó tráfico sospechoso en la red de Telefónica (primera empresa espa- ñola de la que se tuvo constancia

red seguridad segundo trimestre 2017 19