2017 El CCN-CERT, del Centro Criptológico Nacional (CCN), organismo adscrito al Centro Nacional de Inteligencia (CNI), prevé cerrar el año 2017 con más de 26.500 ciberincidentes gestionados, frente a los 20.940 de 2016 (un 26,55% más). De ellos, el 5% serán clasificados por el CERT Gubernamental Nacional con una peligrosidad muy alta o crítica, en base a diversos parámetros (tipo de amenaza, origen, perfil de usuario afectado, número o tipología de sistemas afectados, impacto…). Esto significa que, diariamente, se deben gestionar 3,7 ciberincidentes con un nivel de impacto muy alto o crítico.

El incremento se debe, no sólo a que se produzcan un mayor número de ataques (que también), sino que se ha mejorado la capacidad de detección, monitorización y vigilancia de la red y el notificación de incidentes con los organismos a través de LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas, más de 5.000)

Entre los principales ataques detectados en número, las intrusiones (ataques dirigidos a explotar vulnerabilidades e introducirse en el sistema) y el código dañino (troyanos, spyware) fueron los principales vectores de ataque. De hecho, el CCN-CERT ha constatado que la instalación de las actualizaciones o parches de seguridad de las diferentes tecnologías que vienen a subsanar las vulnerabilidades, es todavía muy lenta. Así, en dos de las crisis más conocidas de este año (la herramienta de desarrollo de aplicaciones web de Apache Struts o el ransomware WannaCry) se tardaron dos meses desde que se conoció la vulnerabilidad hasta que se produjeron los primeros ataques.

No obstante, son las amenazas persistentes avanzadas, un tipo de ataque que suele estar dirigido y desarrollado con infraestructuras y recursos al alcance de muy pocos, las que más preocupan en el seno del Centro Criptológico Nacional.

Agentes de la amenaza

Existe un amplio conjunto de atacantes según su motivación, que emplean diferentes métodos de ataque. Tal y como señala el Informe Tendencias y Amenazas (edición 2017) elaborado por el CCN-CERT los agentes de la amenaza más activos son:

1. Estados mediante actividades de ciberespionaje (económico y/o político y estratégico) y cibersabotaje.

2. Crimen organizado u otro tipo de agentes que utilizan Internet como medio para obtener un beneficio económico. Se apoya en servicios de hackers profesionales y en lo que se ha denominado el cibercrimen como un servicio (Cybercrime as-a-service). Este modelo se repite en otros agentes.

3. Ciberactivismo o grupos que justifican sus acciones con motivos ideológicos y su propósito es visibilizar o reivindicar una causa (un ejemplo es Anonymous)

4. Grupos terroristas que usan Internet para financiarse, radicalizar a su comunidad, realizar propaganda o coordinar la actuación de sus grupos de ataque. Las actividades de ataque contra servicios esenciales usando el ciberespacio por ahora es escasa.

5. Estados que utilizan los ciberataques en el marco de conflictos y/o guerras con otros países para desestabilizarlos.

6. Investigadores y particulares que actúan como un reto o una diversión a la hora de descubrir vulnerabilidades.

7. Actores internos que suelen ser empleados o ex-empleados descontentos que, por razones económicas, políticas o personales, manipulan deliberadamente los sistemas.

8. Organizaciones privadas que pueden tener como objetivo dejar fuera de juego a los sistemas de la competencia.