El CCN-CERT es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN). Este servicio se creó en el año 2006 como el CERT Gubernamental/Nacional español. Entrevistamos a Javier Candau, Jefe del Departamento de Ciberseguridad de esta entidad.
Cybersecurity News (CSN): Enhorabuena por la parte que le toca en la detención de ayer del famoso Denis K… ¿Qué rol ha podido jugar su institución?
Javier Candau (JC): El CCN-CERT no participa en estas acciones, que son responsabilidad de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Sí que hace dos años, durante la campaña de Carbanak, estuvimos muy involucrados y analizamos muchas muestras de este malware. Ahora hay otra campaña en curso, asociada a un grupo llamado COBALT GAN en la que si se ha realizado una alerta a todo el sector bancario para alertar de una posibilidad de ataques inminentes. Muchos nos preguntan si está asociada con la detención de Denis K., pero no tienen nada que ver.
CSN: Queda menos de un mes para la llegada del famoso GDPR. ¿Qué nivel de preparación observa que existe en España? ¿Qué herramientas ofrece el CCN-CERT en este sentido?
JC: Se trata de un Reglamento, es decir, no es necesaria una Ley para transponerla. Aun así, desde la AEPD se está promoviendo la publicación de una Ley Orgánica que en un punto aclare la nueva Regulación de Protección de Datos de la Unión Europea. Esta Regulación cambia bastante el concepto, ya que en la antigua LOPD de 1999 se establecía la obligación de declarar una serie de ficheros en los que se encuentran los datos de los usuarios, así como el tratamiento que iban a recibir tales ficheros. Además, había una serie de medidas a aplicar en función del nivel de riesgo de estos datos (alto, medio o bajo).
Con la nueva Regulación de la UE, deberemos asegurar que nuestro sistema protege adecuadamente los datos personales de los usuarios. Hay dos tipos de tratamientos, simples y complejos, que se determinan en función de un análisis previo. En función de ello, la Regulación exige una serie de herramientas de protección a implementar necesariamente.
La GDPR se inspira mucho en el ámbito del derecho anglosajón, por la cual se trata de una responsabilidad proactiva y demostrable, es decir, que la empresa responsable de esos ficheros, debe proteger los datos y posteriormente demostrar que estaban adecuadamente protegidos si sufre algún incidente.
Otro de los aspectos que cambian son las sanciones: muchísimo más duras con la nueva normativa especialmente en los incidentes graves. Como novedad, también estaremos obligados a notificar las quiebras de seguridad a la Agencia de Protección de Datos. Esto se solapa con la nueva Directiva de Seguridad de Redes de la Unión Europa (Directiva NIS), que si necesita una Ley de Transposición que deben aprobar los parlamentos (en España también en mayo de 2018). Esta Directiva NIS también obliga a notificar quiebras de seguridad a la Autoridad competente correspondiente.
Desde el CCN-CERT hemos lanzado la versión 7 de PILAR, nuestra herramienta de análisis de riesgo gratuita para las Administraciones Públicas. Con esto conseguimos que los organismos que estén cumpliendo el ENS también tengan recorrido para demostrar cumplimiento de protección de datos personales. El sector privado también puede adquirir la herramienta y utilizar el esquema nacional de seguridad como el conjunto de medidas de seguridad a aplicar en los sistemas.
Durante 2018 vamos a iniciar una campaña para ayudar a algunos Ayuntamientos a cumplir en materia de ENS y GDPR – como proyecto piloto – y todo lo que aprendamos en esta experiencia será publicado para ayudar a los Ayuntamientos, CCAA y la Administración General del Estado (AGE).
CSN: Casi un año después, ¿cómo ha cambiado el país y el sector desde entonces?
JC: Es cierto que los poderes públicos se han sensibilizado mucho más. No fue solo Wannacry, fue primero Struts al que siguieron Wannacry y NonPetya, más los ataques alrededor de la Operación Cataluña. No es que hicieran excesivo daño, pero sí han sensibilizado mucho. Precisamente en nuestro congreso anual, inaugurado por la Vicepresidenta del Gobierno, Soraya Sáez de Santamaría, anunció la creación del Centro de Operaciones de Ciberseguridad de la Administración General del Estado para ser todavía más proactivos.
La Directiva NIS también se ha hecho eco de todo esto, y define mucho en nuestra Ley de Trasposición los CERT que van a ser referencia en caso de incidentes críticos.
En definitiva, nos estamos estructurando y se ha potenciado un grupo llamando CSIRT que es un espacio que reúne a los CERT Públicos y Privados Nacionales para mejorar las comunicaciones directas y la respuesta conjunta en caso de incidentes de este tipo.
CSN: Infraestructuras críticas. Londres avisaba recientemente de que Wannacry era solo la punta del iceberg… que se esperaba a la vuelta de la esquina algo verdaderamente más grande.
JC: No estoy muy de acuerdo en que fuera una prueba de concepto. Lo que sí es cierto es que en Wannacry se repitió lo mismo que sucedió en Struts. En enero de 2017 se produce una vulnerabilidad que permitía escalar privilegios utilizando las librerías Struts dentro de los servidores Apache. Muchas administraciones públicas y empresas utilizan el servidor web Apache, por ser gratuito. Tenemos dos meses para parchear hasta el ataque de marzo de 2017. Cuando llega el ataque tenemos incidentes en casi 75 organismos. ¿Qué sucedió para no actualizar en esos dos meses? Alrededor de nuestro servidor web creamos aplicaciones que pueden tener 6 ó 7 años de antigüedad y que no fueron desarrolladas con los actuales criterios de seguridad. Cada vez que se actualizaba Apache dejaban de funcionar estas aplicaciones que hacía el administrador. Se creía que esta vulnerabilidad no iba a ser un ataque masivo. Pero sí lo fue. El resultado es que estuvimos semanas parcheando como locos y aislando aplicaciones, que no podían actualizarse y, por supuesto, haciendo planes de migración.
“Estábamos ante una vulnerabilidad muy grave que se recrudeció cuando el grupo Shadow Broker decide hacer pública la vulnerabilidad, ampliando a cualquier individuo o grupo hacer uso de ella”
En el caso de Wannacry pasa prácticamente lo mismo, pero con una salvedad, las vulnerabilidades utilizadas son vulnerabilidades robadas a Estados. Según la prensa, el Grupo Shadow Brokers ataca a un servidor de la NSA y roba estas dos vulnerabilidades: DoublePulsar y EternalBlue, una de las cuales te permite desplegarte por la red sin ser detectado. Estábamos ante una vulnerabilidad muy grave que se recrudeció cuando el grupo Shadow Broker decide hacer pública la vulnerabilidad, ampliando a cualquier individuo o grupo hacer uso de ella.
Cuando en marzo Microsoft dice que esta es una vulnerabilidad crítica no se fue realmente muy consciente de la necesidad de parchear o actualizar sí o sí. Y ese fue el fallo más grave que todas las organizaciones y empresas afectadas tuvieron.
Así como un ransomware que va dirigido al usuario final se explota con intención de recolectar dinero, en el caso de Wannacry era un ransomware que estaba muy mal preparado para recolectar y recuperar el dinero, pues solo tenía tres monederos, además fáciles de seguir. Iba a tener problemas para recoger el dinero. Al final solo se recogieron cerca de 100.000 euros.
“Siempre se ha apuntado a Hidden Cobra, un grupo de ataque posiblemente vinculado a Corea del Norte, pero tampoco se puede afirmar rotundamente, ya que el país más afectado fue China”
CSN: ¿No hay ninguna pista sobre esta persona u organización un año después?
JC: Siempre se ha apuntado a Hidden Cobra, un grupo de ataque posiblemente vinculado a Corea del Norte, pero tampoco se puede afirmar rotundamente, ya que el país más afectado fue China. La lógica al ser un grupo vinculado a este país es que EEUU y Europa hubieran sido las zonas más afectadas.
Durante el fin de semana del 12 de mayo estuvimos generando la vacuna para este malware, analizando el código y ayudando al sector público a protegerse ante posibles infecciones. De hecho, solo tuvimos casos aislados que afortunadamente no se propagaron en los organismos afectados.
CSN: Vulnerabilidades: están creciendo cada vez más. Inteligencia Artificial y más sofisticación de los hakers. ¿Qué respuestas hay contra ello?
JC: Las vulnerabilidades son fallos en el software que afectan prácticamente a cualquier tecnología. En el CCN-CERT tenemos un servicio de comunicación de vulnerabilidades en nuestro portal al que pueden acceder los usuarios. Estas son las fáciles, las que se pueden dar a conocer y que publican empresas como Google, Apple, Cisco, Microsoft, etc.
Pero luego existen otro tipo de vulnerabilidades que son las peligrosas, las vulnerabilidades de Zero Day. Normalmente estas vulnerabilidades cuando son descubiertas por algún experto se ofrecen y se venden en el mercado negro, pudiendo su precio llegar a alcanzar los 1,5$ millones (una vulnerabilidad compleja de iPhone), mucho más dinero que el que ofrece al propio fabricante en sus programas de recompensas. Como mucho un fabricante puede llegar – y han subido mucho los precios – a ofrecer hasta 50.000$.
En el caso de Wannacry, aunque se trataba de una vulnerabilidad de Zero Day se hizo pública. Lo primero que hay que hacer en estos casos es seguir las recomendaciones del fabricante y parchear las vulnerabilidades conocidas y después ver cómo mitigar las desconocidas (que son las minoritarias).
CSN: ATENEA. ¿Es España una potencia a nivel ciberseguridad? ¿Existe una demanda de profesionales no atendida?
JC: ATENEA es una plataforma que permite un juego tipo ‘capture the flag’, con el que se presentan retos al usuario y este debe tratar de resolver. Es de uso libre, abierto al público y cualquiera puede afrontar los retos y conseguir una serie de puntos a cambio.
Se trata del primer módulo de ATENEA, cuyo objetivo es convertirse para el sector público en una plataforma de entrenamiento y formación. En un futuro se irán desarrollando módulos, bien de forma interna o con acuerdos con empresas privadas para seguir evolucionando la herramienta.
“El primer objetivo de ATENEA es detectar talento, saber dónde están esas personas capaces de resolver los retos propuestos, con el objetivo final de reclutar talento en materia de ciberseguridad para el CCN-CERT o las administraciones públicas”
Actualmente tenemos unos 3.400 usuarios. El primer objetivo de ATENEA es detectar talento, saber dónde están esas personas capaces de resolver los retos propuestos, con el objetivo final de reclutar talento en materia de ciberseguridad para el CCN-CERT o las administraciones públicas.
Actualmente hay 56 personas que han superado la barrera de los 3.000 puntos, y con quienes estamos en conversaciones para iniciar una colaboración que beneficie a ambas partes. Además, hay un ranking de unas 100 personas que apuntan buenas maneras y estamos fijándonos en ellos.
CSN: Anticipando lo que pueda ser 2018 en materia de ciberseguridad, ¿qué novedades veremos en la agenda de la 12ª edición de las jornadas STIC CCN-CERT?
JC: Aún no lo sabemos. Justo ahora sacaremos el call-for-papers para que la gente empiece a proponer temáticas y ponentes para las jornadas. Nuestra intención es mantener el formato de 2017, y repetir el éxito de convocatoria que cada año lleva a más y más personas a participar en estas jornadas.
En cuanto a la temática, creo que muchas irán al hilo de ataques a hardware (que ahora están en boga por el reciente ataque a los chips de Intel, AMD y ARM: Meltdown y Spectre) un vector de ataque bastante interesante. Por otro lado, hemos tenido campañas de ataques empleando malware, para minar criptomonedas, por lo que con total seguridad se incluirá en la agenda.
CSN: Desde su propio punto de vista, ¿cuál diría a medio-largo plazo (próximos 5 años) que será el futuro del sector de la ciberseguridad en España?
JC: Es un sector que crecerá bastante. Lo vimos en 2017 y lo estamos viendo en 2018. Cada ataque que sucede es cada vez más mediático y aunque la palabra de moda en tecnología sea “Transformación Digital” también debe ser “Ciberseguridad”, ya que nos encontramos en una sociedad cada vez más digital donde el peso estratégico de las empresas (y Administraciones) se deposita en las redes. Y en la misma medida que toda esa información y datos están en la red, hay un gran valor añadido en proteger toda esa información. Hay que invertir tanto en ciberseguridad como se hace en seguridad física. Las páginas webs son vulnerables, acceder a los sistemas internos es sencillo y asequible para cualquier experto… Estar bajo una campaña de ataque te conciencia y las inversiones se irán incrementado 100% seguro. Habrá mucha demanda. Lo que no estoy seguro es de si tenemos ahora mismo oferta de calidad para toda esa demanda, tanto en tecnologías como en servicio y especialmente recursos humanos.
