CERT: la defensa frente al ciberdelito

2017-feb-S2Grupo-02

Margrete Raaum, Esteban Morcillo, Ximo Puig, Vicent Soler y Miguel A. Juan

– ¿Qué es un CERT?

José M. Rosell. Es un centro de operaciones de seguridad; una especie de central de alarmas en materia de ciberseguridad. El primer CERT data de 1988, cuando apareció el primer ‘gusano’ informático, que se bautizó como Morris y que, con unos 6.000 equipos infectados, tuvo un impacto significativo en la red mundial de ordenadores que estaba en funcionamiento entonces (60.000 ordenadores).

Como consecuencia de la aparición de Morris, la universidad norteamericana Carnegie Mellon creó lo que llamaron Computer Emergency Response Team (CERT); un equipo de respuestas a emergencias informáticas. Hoy CERT es una marca registrada, propiedad de la Universidad Carnegie Mellon, que permite utilizar libremente el término a toda aquella instalación que de verdad es un CERT, cosa que hay que acreditar cumplimentando una serie de requisitos.

[masinformacion post_ids=”99132,99168″]

Miguel A. Juan. Hay otras denominaciones, como Computer Security Information Response Team (CSIRT) o Security Operations Center (SOC), pero todas indican lo mismo. Incluso está la expresión militar: Computer Network Defense, (Defensa de la red de ordenadores). Hay que tener presente que, en términos de ciberseguridad, existen tareas de defensa, de ataque y de inteligencia. Las de ataque son actuaciones CNA (Computer Network Attack), las de defensa son CND (Computer Network Defense), y las de inteligencia son CNE (Computer Network Explotation).

S2 Grupo somos una empresa eminentemente defensiva, pero para hacer una buena defensa, necesitamos conocer y simular las técnicas de ataque con nuestros clientes. Por eso tenemos un equipo de CNA, otro de CND y otro de CNE. El equipo de CND es el más grande y está constituido en torno a un CERT, que está registrado con el nombre de S2 Grupo CERT en dos organizaciones internacionales, la europea TF CSIRT y la mundial FIRST.

– ¿Cuál es la situación de España en materia de CERT?

José M. Rosell. En España hay trece CERT reconocidos y homologados internacionalmente. Más de la mitad son gubernamentales, destacando el del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI), o el del Incibe, dependiente del Ministerio de Energía, Turismo y Agenda Digital. También están los CERT dependientes de entidades financieras, como BBVA y CaixaBank.

Y el resto son CERT de empresas, normalmente especializadas en temas de ciberseguridad. Una de esas empresas somos nosotros. Aquí en la Comunidad Valenciana, además del nuestro está también el CERT de la Generalitat, con el que también colaboramos estrechamente. No todas las comunidades autónomas tienen un CERT. En España tan solo lo tienen Cataluña, Valencia y Andalucía, y en esta materia sí fuimos pioneros, porque el CERT de la Generalitat se puso en funcionamiento en 2007.

– ¿Cómo funciona un CERT?

José M. Rosell. El funcionamiento de un CERT se basa en la interactuación de tres cosas: tecnología, procesos y personas. En cuanto a la tecnología -que en el caso de S2 Grupo es propia-, este tipo de centros gestiona cientos de miles de incidentes diarios y separa de forma automática lo que es importante de lo que no lo es. La tecnología es lo que nosotros denominamos nivel nivel cero.

En este caso actúa como un robot, resolviendo, priorizando o descartando incidencias de forma automática.

En cuanto a las personas, el equipo humano del centro está formado por ingenieros y organizado en tres niveles. El nivel 1, que llamamos procedimentado, está integrado por personas con menor cualificación y experiencia, que actúan según los procedimientos establecidos. Cuando el nivel 0 le traslada un incidente, los profesionales del nivel 1 analizan si hay un procedimiento para aplicar por incidentes similares.

En caso de que lo haya, está definido lo que se debe hacer; si no hay precedente, el equipo de nivel 1 dispone de tres minutos para resolver la incidencia. Transcurrido ese tiempo, el sistema traslada el incidente al nivel 2, donde hay ingenieros de mayor experiencia, especialistas cada uno de una cosa, que van resolviendo aquellos incidentes que son de sus respectivas especialidades.

El nivel 3 está formado por un equipo de intervención, que actúa cuando aparece un incidente crítico. El equipo de intervención se desplaza donde sea necesario, con el fin de contener el incidente y volver a la situación inicial.

Y el tercer aspecto clave de un CERT son los procesos. En un CERT todo está procedimentado. Son los procesos los que hacen que todo el engranaje funcione como debe, que haya turnos para un servicio 24×7, que cuando se produzca un incidente se atienda siempre, etc. Esos procesos lo que garantizan es la respuesta que corresponde a cada incidente en un tiempo determinado.

Suscríbete a nuestra newsletter