Todos queremos vivir y relacionarnos en un entorno seguro donde los datos personales y la información más sensible que ponemos a disposición de los demás estén protegidos. La ciberseguridad es cada vez más necesaria en una sociedad digital. El último informe elaborado por el CCN-CERT, el organismo español creado para contribuir a la ciberseguridad de la administración y organismos públicos, informaba sobre una gestión de más de 38.000 incidencias durante el pasado 2018. Solo en los meses comprendidos entre enero y mayo de 2020, la Junta de Andalucía gestionó hasta 3.000 incidentes relacionados con la seguridad digital en el ámbito público. Según un informe de Forrester, los ciberataques de ransomware a empresas aumentaron un 500% en 2019. En este contexto, las administraciones necesitan establecer relaciones de seguridad y confianza con la ciudadanía y las organizaciones que les confían gran parte de sus datos personales. ¿Cómo garantizar entonces la protección de uno de los activos más preciados de la economía digital?

Andalucía, una región segura

La Junta de Andalucía lleva años trabajando en la ciberseguridad en el sector público. Seguridad Digital de Andalucía son las siglas de SEDIAN, un marco de acción en el que tienen cabida todos los actores del ecosistema de la ciberseguridad de Andalucía y con el que el gobierno andaluz se propone como objetivos en los ámbitos de la administración autonómica y local andaluzas: impulsar el mercado de la seguridad digital; extender la cultura de la confianza y la ciberseguridad; fomentar las buenas prácticas y reforzar las capacidades de prevención, detección y respuesta a incidentes de seguridad.

La seguridad digital es también un pilar de la digitalización y, por tanto, una capa fundamental del crecimiento social y económico de nuestra región. Invertir en ciberseguridad no significa solo invertir en protección; es invertir en competitividad para las empresas y en empleos de calidad. La ciberseguridad así entendida ya no es solo un gasto; también crea valor. En este marco, hace diez años, nacía AndalucíaCERT, el centro de prevención y gestión de incidentes de ciberseguridad de la Administración pública andaluza, que se uniría a otras actuaciones ya puestas en marcha, como la Oficina de Apoyo a la Seguridad TIC y el Plan de Formación y Concienciación.

En resumen, un CERT es el equipo de personas que previene, detecta y responde eficazmente ante los incidentes de seguridad informática. AndalucíaCERT gestiona cerca de 8.000 incidentes de ciberseguridad al año. Alfonso Tena, responsable de la Unidad de Seguridad TIC Corporativa de la Junta de Andalucía, nos explica la metodología de trabajo del CERT:

«Hay dos bloques principales de incidencias. Las primeras son las que gestionamos de forma reactiva, ya que nos notifica un tercero, ya sea un empleado público, una entidad vinculada o un equipo de respuesta con el que tengamos cierta relación. Las segundas son las que gestionamos de forma proactivaEstas son las que aportan mayor valor añadido a nuestro grupo atendido ya que suponen el “core” de AndalucíaCERT. Para estas incidencias tenemos desplegado un sistema de monitorización, que es un conjunto de herramientas para la detección de estas anomalías».

Aproximadamente el 25% de los casos son detectados de forma proactiva con las herramientas que el centro tiene desplegadas en la Red Corporativa de la Junta de Andalucía, el conjunto de servicios avanzados de telecomunicaciones para todos los organismos de la administración autonómica. De estos 8.000 incidentes, además, alrededor del 45% están causados por código dañino.

La labor de este centro de prevención y gestión implica la monitorización constante de la red en busca de amenazas, la emisión de alertas de seguridad, la realización constante de búsquedas para detectar vulnerabilidades y una importante labor de difusión de información relevante en materia de ciberseguridad. Para esto, AndalucíaCERT trabaja de manera coordinada con el resto de CERT nacionales, reportando incidentes y compartiendo conocimientos y herramientas. La colaboración es especialmente estrecha con el CCN-CERT, que es el CERT de referencia para las administraciones públicas, y el INCIBE-CERT, que ofrece sus servicios a la ciudadanía y entidades de derecho privado en España.

El CERT como respuesta en equipo

Repasemos un poco de historia.

 

El concepto de CERT nace en la universidad americana de Carnegie Mellon (Pittsburgh, Pensilvania) a finales de la década de los ochenta, correspondiéndose con la sigla de Computer Emergency Response Team. Hasta ese momento, apenas se mostraba un interés especial por la ciberseguridad. Pero todo cambió con la llegada de Morris. En 1988 surge el que se considera como el primer gusano de Internet, que consiguió propagarse a una velocidad nunca vista por toda la red. Bautizado con el nombre de su creador, Robert Tappan Morris, es a su vez el ciberataque con mayor alcance de la historia, pues llegó a inhabilitar el 10% de los ordenadores conectados en red a escala mundial. La efectividad del ataque llevó a los expertos a buscar soluciones efectivas, y con ese objetivo nacieron estos equipos de respuesta.

Nuestro CERT, en cambio, no nace para responder a los ataques, sino para prevenirlos. En 2007 se pone en marcha un importante proceso de transformación digital de los servicios públicos que cristaliza, tres años más tarde, en el primer desarrollo normativo en materia de ciberseguridad para la Administración pública. Es entonces cuando la Junta de Andalucía decide sumarse para no quedar rezagada en el campo de la ciberseguridad.

«La transformación digital te obliga a repensar los procesos. Tienes que tomar conciencia de que estás expuesto a muchos más riesgos», comenta Miryam Jiménez, responsable de AndalucíaCERT y de la línea de Ciberseguridad y Smart Cities en SANDETEL. Esto enlaza con uno de los hándicaps de la seguridad digital, y es que a menudo la sociedad no es consciente de la importancia de la ciberseguridad al no ser una defensa tangible, como sí lo son las alarmas o las cerraduras. Sin embargo, la seguridad informática es tan fundamental como la tradicional.

En el proceso de gestión de incidentes participan también los organismos encargados de ejecutar las labores de remediación. Se comparte información con ellos a través de LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas), una herramienta desarrollada por el CCN-CERT para la gestión de ciberincidentes en las entidades del ámbito de aplicación del Esquema Nacional de Seguridad. El trabajo con los organismos es constante y muy fluido. La labor fundamental de AndalucíaCERT es prevenir, alertar y coordinar la respuesta a los ciberincidentes.

Cuando el WannaCry encontró al AndalucíaCERT

Vayamos un poco hacia atrás en el tiempo, hasta el 12 de mayo de 2017. Aquel día, un ciberincidente con ransomware de alcance mundial sacudió el espacio digital, afectando a países como Estados Unidos, Reino Unido, Rusia y España, entre otros. Había llegado el WannaCry.

Una imagen global de los países afectados por el ataque del WannaCry. Fuente: Wikipedia

El programa malicioso se basaba en el mecanismo del chantaje: tus archivos quedaban cifrados hasta que pagases un rescate por ellos. El problema llegaba al descubrir que esto tampoco garantizaba recuperar la información, otro de los motivos por los que la prevención del ataque resulta fundamental para contar con una mayor garantía. En España, importantes empresas del IBEX 35 sufrieron uno de los peores ataques de su historia. Pero este no se limitó a las empresas, sino que espacios como el servicio de salud público británico también se vieron afectados. Entre los organismos públicos españoles que podrían haber sufrido este ciberdelito se encontraba la Junta de Andalucía. Sin embargo, el trabajo que AndalucíaCERT había estado gestando  sirvió para generar el escudo que la administración andaluza necesitaba.

Aunque algunos de los equipos afectados se mantuvieron unas horas sin producción para reforzar las labores de seguridad, los organismos adscritos al AndalucíaCERT no sufrieron consecuencias significativas con la crisis del WannaCry, que azotó a casi un centenar de países. Esta significó un punto y a parte en la evolución como centro, tal y como concluye Miryam Jiménez:

«Fue un fin de semana muy intenso, pero nos permitió poner en valor todo el trabajo que veníamos desarrollando desde que nos constituimos en 2010. Un equipo de trabajadores formados con unos procedimientos muy maduros que permitieron, desde el primer momento, que el centro tuviese un papel fundamental en la coordinación de incidentes en toda la Junta de Andalucía».

Hasta entonces, los organismos que se suscribían al centro lo hacían de forma voluntaria, pero tras uno de los ciberincidentes más relevantes de la historia reciente, es ya una obligación. Desde entonces, AndalucíaCERT no solo crece en número de organismos adscritos; también en herramientas y servicios. Como señala, Alfonso Tena:

«Cerca de noventa entidades de la Junta de Andalucía asumieron el liderazgo de AndalucíaCERT durante la crisis. Creo que este fue el gran logro que alcanzamos durante el WannaCry».

De la evaluación a la evolución

Con el paso del tiempo, AndalucíaCERT se ha convertido en un referente autonómico en el ámbito de ciberseguridad. Así lo constatan los organismos a los que atiende en las evaluaciones anuales. Las herramientas de las que dispone mejoran constantemente y, por tanto, la capacidad para anticiparse a los incidentes. Además, la oferta de servicios también se sigue ampliando. Uno de los servicios ofrecidos a demanda de los organismos es el de análisis forense. Cuando ocurre un incidente, se analiza el equipo afectado para entender lo sucedido. Tal y como apunta Miryam Jiménez: «Esto es algo muy importante, porque se aprende de lo ocurrido y esa información la volcamos en nuestros procesos de trabajo de manera que la “inteligencia” del centro va mejorando continuamente y podemos anticiparnos a los incidentes».

Por otra parte, el centro continúa su labor de monitorización de alertas. Cuando se genera una alarma en el sistema, los expertos analistas realizan una labor de investigación. No todas las alertas son sinónimo de ciberataques, y hay que saber distinguir los «falsos positivos». Cuando se determina que sí se ha producido un incidente, este se registra y se notifica al organismo involucrado.

Todo ello se complementa con una constante labor de formación y sensibilización que se comparte con todos los empleados de la Junta de Andalucía. «Cada evolución tecnológica implica ampliar o transformar herramientas y procesos. La gestión del cambio ya sabemos que es clave en los procesos de transformación digital». La cartera de servicios se conforma en base a las necesidades de los organismos que se obtienen a través del proceso de evaluación anual. Las empresas del sector y el análisis de lo acontecido también nos ofrecen la definición de nuevos servicios. «Poner en marcha un nuevo servicio implica implementar herramientas, definir procesos de trabajo y formar al personal», resalta Miryam Jiménez.

Para facilitar el intercambio de conocimiento y sinergias entre los organismos de las administraciones autonómica y local, la Junta realiza encuentros y jornadas formativas cuyo mayor exponente es el Congreso de Ciberseguridad de Andalucía (SEDIAN Day), que este año, por la crisis sanitaria del COVID-19, no se podrá realizar en septiembre como estaba previsto.

En cuanto al futuro del AndalucíaCERT, Alfonso Tena destaca la necesidad de adaptación a los nuevos entornos que ya son una realidad, como la transición a modelos de nube híbrida, la robotización de los procesos, las amenazas en entornos industriales, y la progresiva implantación del teletrabajo y, de manera masiva, de aplicaciones de inteligencia artificial.

En la actualidad, la Administración pública depende enteramente del panorama digital. Entre las 10.000 sedes que componen la Red Corporativa de la Junta de Andalucía se encuentran centenares de juzgados, más de 1.700 centros sanitarios y hasta 4.400 centros educativos, entre otros. Toda esta presencia virtual necesita, a su vez, una ciberseguridad que evite las vulnerabilidades en el sistema, y el centro de AndalucíaCERT continúa demostrando su capacidad estoica para hacer frente a los retos de un futuro que ya es presente.