Resumen Día 1 – XV Jornadas de STIC CCN-CERT: Ransomware, CiberInteligencia y Sociedad Digital han sido algunos de los temas tratados.

Las XV Jornadas de STIC CCN-CERT ya han comenzado, y en CyberSecurity News no hemos querido perdernos el evento por nada del mundo. Quince ediciones ya… Parece que empezó ayer, pero no. Las Jornadas del CCN-CERT se han convertido en una de las reuniones más importantes de nuestro país en términos de ciberseguridad. Por ella pasan cientos de empresas dedicadas a un sector en auge; un sector que cada vez es más importante para el desarrollo de un país. Lo que antes era ciencia ficción, ahora es una realidad a causa de un nuevo mal endémico.  La ciberdelincuencia ha crecido hasta tal punto que es necesario hacerle frente con armas nuevas. La primera jornada de STIC CCN-CERT ya ha finalizado así que vamos a ver un resumen de todo lo que ha acontecido. Resumen Día 1 – XV Jornadas de STIC CCN-CERT: Ransomware, CiberInteligencia y Sociedad Digital.

Conferencia magistral de Lorena Boix, de la Comisión Europea

La primera gran conferencia del día corrió a cargo de Lorena Boix, Directora de Sociedad Digital, Confianza y Ciberseguridad, Dirección General de Redes de Comunicación, Contenido y Tecnologías en la Comisión Europea. En ella, la invitada sacó a relucir varios temas muy importantes, entre ellos la situación actual de los ciberataques. Estamos viendo un incremento de prácticas ciberdelictivas, las cuales están causando graves problemas. Para evitarlo, la Unión Europea está tomando medidas serias para evitarlos, entre ellas hay incluso sanciones. No obstante, la más destacable es la creación de la «Unidad Conjunta de Ciberespacio«, donde se juntan los estados miembros para hablar entre sí y compartir información. El objetivo es que las diversas organizaciones europeas (Europol, Interpol, etc.) compartan tanto información como participación en operaciones conjuntas. La pandemia provocó la creación de nuevas reglas en el juego, de cambiar los protocolos a nivel europeo para la cooperación entre países.

En cuanto a la resiliencia, la estrategia lo que hace es reforzar lo existente y ya está bien, acelerar el nivel de ambición y proponer nuevas cosas. Sobre el reforzamiento de lo ya existente, Lorena Boix comentó que todos conocemos ya la directiva NIS (seguridad de la información), la cual se encuentran negociando para hacerla más ambiciosa. Se está intentando mejorar el ámbito de aplicación, sobre todo en esos sectores más afectados por la COVID-19. Se ha extendido el campo para llegar a otros campos: redes sociales, administraciones públicas, y más. Han logrado que las entidades esenciales estén sujetas a las normas sin necesidad de esperar a que los Estados Miembros decidan, o no, identificarlos como entidades esenciales. También se han reforzado los requisitos de seguridad, como los de las cadenas de suministros; gestionar la divulgación de vulnerabilidades; simplificar las notificaciones para que lleguen antes y después un informe. 

Actividad CCN: Ciberinteligencia y Red Nacional de Centros de Operaciones de Ciberseguridad

Tras escuchar la interesantísima conferencia de Lorena Boix, el siguiente paso fue hacer lo propio con la de Javier Candau, jefe del Departamento de Ciberseguridad del CCN. La ponencia del señor Candau comenzó con un gráfico mostrando la evolucionan de la ciberseguridad en España y Europa desde el año 90 del siglo pasado hasta el día de hoy, destacando tres conceptos: auditoría y vigilancia continua, respuesta integrada e intercambio de ciberincidentes fluidos. Tras esta presentación, pasó a hablar de un tema candente en 2021: los ataques ransomware. Han tenido en jaque a muchos organismos, entre ellos al propio CCN ya que no pudo atender a los organismos afectados. Para este diciembre, o quizás en enero de 2022, saldrá un Real Decreto que dotará al CCN de nuevas herramientas. Un papel fundamental en ello lo jugará el Esquema Nacional de Seguridad, mediante el impulso de la ciberseguridad.

EL Centro Criptológico Nacional tiene tres áreas. La primera es «Prevención«, cuyo principal objetivo hoy en día es la implementación del ya mencionado Esquema Nacional de Seguridad; la segunda área importante es «Detección«, donde destaca la Plataforma nacional; tercera y última es «Respuesta», donde destaca la Red Nacional de SOC, que es un proceso de convencimiento general. Según el señor Candau, va a ser algo complicado. Para ello van a contar con toda clase de soluciones y servicios; las más destacables son: Auditoría, Detección, Vigilancia, Intercambio y Formación. El catálogo del CCN cuenta con tecnologías cualificadas que van a invitar a su uso, como Control de Acceso, Monitorización de la seguridad, o Seguridad OT, entre otros. Todo ello tendrá como objetivo proteger las Administraciones Generales del Estado (Ministerios por ejemplo), alas Comunidades Autónomas y las Entidades Locales. Los Servicios de Ciberseguridad serán de gran importancia en ello.

Gestión de crisis: Ransomware en el Ayuntamiento de Castellón

Pasando a la tarde de la primera jornada, la ponencia más interesante de todas fue la que tuvo como protagonista a la ciudad de Castellón. En marzo de este año, el ayuntamiento de la localidad fue víctima de un ataque ransomware. La ponencia se ha centrado en la gestión de la crisis, de la cual han hablado Amparo Marco, Alcaldesa de Castellón, y Carmen Serrano, del CSIRT-CV; CCN-CERT. Este ciberataque llegó durante la pandemia, afectando a las ayudas destinadas a los sectores afectados. Esto provocó un shock inicial, seguido por una serie de dudas relacionadas con el alcance de los daños y su duración; para la alcaldesa, su máxima preocupación era reaccionar rápidamente y mantener la seguridad pública. Tras sufrirlo, acudieron al CCN-CERT para su notificación, quien contactó a su vez con el CSIRT-CV. 

El ataque ransomware fue de gran impacto, afectando a varios servicios municipales (servicios informáticos afectados). La particularidad es que llegó con doble extorsión, es decir, se exigía un pago o se filtrarían datos en caso de negarse. Todo esto ha presentado una gran dificultad en el tratamiento de los datos, pues los  que se filtraron no era datos estructurados fácilmente identificables. El ayuntamiento tuvo la ayuda de varios actores en el incidente para su gestión: dos administraciones (local y autonómica), dos CERN (uno autonómico y el nacional) y una empresa privada (S2 Group). La colaboración entre estos actores fue crucial. Todos los actores llevaron a cabo tares de contención y recuperación, entre ellas: evaluación del impacto, de las copias de seguridad, creación de una red limpia… Por supuesto, el ayuntamiento recibió una nota de rescate, solicitando pago en bitcoins o filtrarían 160GB de datos.

Mesa Redonda con los ponentes de la Primera Jornada

Para finalizar la primera jornada, no hay nada mejor que reunir a los ponentes en una mesa redonda, quien fue la encargada de cerrar por todo lo alto el día. Antes de nada, comentar que el encargado de dirigir la charla fue Luis Fernández, de la Revista SIC. El primero en abrir el fuego de la mesa redonda fue José Luis Garrote, subdirector de Modernización Administrativa en la FEMP: -«La filosofía de la FEMP es que o todos los ayuntamientos tienen las mismas posibilidades, o todos estaremos en riesgo. Al final, no consiste en cada uno tenga una solución particular, sino que estructuremos de forma coordinada entre administraciones; estamos hablando de un problema de seguridad administrativo de volumen nacional, y no podemos pretender que un pequeño ayuntamiento tenga un conocimiento suficiente para implantar el ENS por su parte. Todo lo que se hace tiene que servir para todos«-.

Dña. Amparo Marco, alcaldesa de Castellón, fue la siguiente en intervenir, cuestionada sobre ciberseguridad y experiencias propias: -«ya había tenido alguna experiencia desagradable; en 2019 se hackeo el sistema de la universidad pública de Castellón y recibí amenazas, como precio a mi cabeza. Todo el mundo me miraba, fue como ir desnuda por la calle. Lo vives como una sensación de debilidad, preguntándote cómo reaccionar ante algo así. Luego pasó lo de la COVID-19, y te da cuenta de lo vulnerables que somos ante todos; ciberseguridad, sanidad sanitaria…  Hay que poner medidas, pues te preguntas si se podía haber evitado. Cuando nos sucedió el ciberataque eres más consciente de todo; de debilidad, de necesidad de inversión, de sensibilización. Todos necesitamos ayuda de entidades superiores que ayuden a adoptar las medidas de ciberseguridad necesarias. No somos conscientes porque no lo vemos»-.

Mesa Redonda: Ahondando en la Transformación Digital

Carlos Galán, asesor del CCN y profesor de la Universidad Carlos III de Madrid: -«El hecho de que los cargos electos tienen que asumir sus responsabilidades en materia de ciberseguridad no es algo de sentido común; lo dice la Ley. Cuando se habla de los principios generales de actuación en las AA.PP. señala la responsabilidad en la seguridad. Si la responsabilidad en la seguridad es parte de las competencias de estos cargos, en el fondo tienen que asumirlas guste o no. Lo manda la ley, ya lo hemos comentado en alguna ocasión. Con la sola voluntad no se consigue la ciberseguridad pública»-. Resumen Día 1 – XV Jornadas de STIC CCN-CERT.

José Morales, Diputación de Córdoba, comentó lo siguiente: -«Todas las administraciones están preocupadas por lo mismo. Tenemos compañeros que están preocupados por la ciberseguridad, que es un elemento fundamental. Dentro de la modestia, somos una administración más y tenemos que conseguir que  alianzas entre organismos. El problema es dónde estamos cada uno, y los recursos que tenemos para conseguirlos. Quería añadir un tema: ¿podemos dudar que un alcalde sea responsable máximo de seguridad de, por ejemplo, la vigilancia de las calles? No, ¿verdad? Llegará un momento en el que nos demos cuenta que la ciberseguridad será un elemento más de responsabilidad del alcalde. Tenemos que ayudar a resolver estos problemas, que también es responsabilidad de los técnicos»-.

José Luis Garrote, subdirector de Modernización Administrativa en la FEMP, añadió: -«Es responsabilidad también de los expertos convencer a los ayuntamientos de invertir en seguridad. Eso sí, hay que usar otras palabras; no se le puede hablar a un alcalde con tecnicismos porque no nos va a entender. Hay que adecuar el lenguaje porque son dos mundos muy distintos. Si no lo hacemos, nos dirán que los dejemos en paz por muy convencidos que estén«-.

Muchas regulaciones y multas no son el camino

Pablo López, jefe del Área de Normativa y Servicios de Ciberseguridad del CCN comentó: -«Muchas regulaciones no son buenas, las que hay deben servir. Si es obligado, y detrás hay una multa, pues contribuye a que se hagan las cosas, pero no debe ser el camino. Lo que estamos viendo es que se están facilitando las cosas a la gente. Las leyes tienen que tener sus multas, pero hay alguien que debe interpretarlas y que sean sencillas, viables, factibles… Al final, por mucho que multes, no vas a conseguir nada«-. Resumen Día 1 – XV Jornadas de STIC CCN-CERT.

Carlos Galán, asesor del CCN y profesor de la Universidad Carlos III de Madrid añadió: -«Lo que hay que exponer es que los cargos electos puedan entender cuáles son sus responsabilidades en términos de ciberseguridad. Yo estoy seguro que cuando un alcalde toma la decisión de actuar de la forma en que lo hizo (en referencia a Amparo Marco, alcaldesa de Castellón) es con sentido de responsabilidad. Ahondando en las palabras de Pablo, en España tenemos una diarrea legislativa solo atemperada por su falta de cumplimiento; tenemos leyes para aburrir y no son necesarias más. Tenemos que cumplir las que tenemos obligación que cumplir«-.