Lectura 6:00 min
¿Qué es un Equipo de Respuesta ante Emergencias Informáticas (CERT)?
Este año se cumplen tres décadas de la creación del primer malware y con él también nació el primer equipo de respuesta ante incidentes de seguridad informática.
Pese a haberse originado como un proyecto militar, internet no nació segura. De hecho, están por cumplirse tres décadas de la aparición del gusano Morris (Morris worm), el primer malware de la historia que, en 1988, infectó casi 10% de las 66,000 computadoras que en aquel entonces conformaban la red de redes. Como respuesta a este primer gusano, surgió también en ese mismo año el primer Equipo de Respuesta ante Emergencias Informáticas (CERT, por su sigla en inglés) como parte de la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) de Estados Unidos.
Existe cierta confusión en el uso de las siglas que dan nombre a los equipos de respuesta ante emergencias de seguridad informática. Cabe aclarar que en el mundo sólo existen dos CERT como tal: uno es el CERT/CC (CERT Coordination Center), que forma parte del Instituto de Ingeniería en Software de la Universidad de Carnegie Mellon, en Pennsylvania, Estados Unidos, y el otro es el US-CERT, el equipo de respuesta del Departamento de Seguridad Nacional estadounidense.
En todos los demás países del mundo, a los equipos de ciberseguridad se les denomina Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT, por su sigla en inglés), los cuales al obtener la certificación que ofrece la Universidad de Carnegie Mellon pueden incluir en su nombre la sigla CERT. Además, es necesario distinguir entre los CSIRT que pertenecen a instituciones públicas, como es el caso del CERT - UNAM, y aquellos que forman parte de la oferta de empresas privadas, como puede ser el CERT - IQSec.
IQSec es una empresa de ciberseguridad, cuya oferta de servicios incluye a uno de los 11 CSIRT que hay en México y que están certificados por la Universidad de Carnegie Mellon. Acaba de cumplir 10 años en el mercado mexicano de la ciberseguridad y de acuerdo con su director de Investigación, Noe Espinosa, las personas, los procesos y las tecnologías son los tres elementos fundamentales que integran uno de estos equipos de ciberseguridad.
¿Cómo funciona un CSIRT?
Todos los CSIRT trabajan de manera diferente dependiendo del cliente o de las entidades a las que brindan protección. No obstante, en términos generales, la mayoría de estas agrupaciones cuentan con un equipo de ataque (equipo rojo), el cual se encarga de estudiar el comportamiento de los cibercriminales y los principales vectores de ataque, y uno de defensa (equipo azul), cuyo objetivo es analizar el tráfico de las redes para estar alertas ante la presencia de una eventualidad informática.
Otra particularidad que comparten buena parte de los CSIRT no sólo mexicanos sino de todo el mundo es la existencia de una conexión entre el equipo de respuesta ante incidentes de seguridad informática y las entidades a las que estos protegen. Dicha conexión se establece a través de un esquema de Gestión de Información y Eventos de Seguridad (SIEM, por su sigla en inglés), una tecnología a partir de la cual se realiza el análisis en tiempo real de los incidentes de ciberseguridad que presentan tanto el hardware como el software de los dispositivos que integran la red.
En el caso del CSIRT de IQSec, el proceso de respuesta ante incidentes de ciberseguridad está compuesto por cuatro etapas:
- Preparación ante el incidente: en esta etapa se consulta a las empresas o instituciones públicas que hayan sido víctimas de un ataque cibernético para que brinden un recuento pormenorizado del evento por el cual resultaron afectadas.
- Detección y análisis: se colecta toda la evidencia que se haya generado a partir del ataque y se procede a realizar un análisis de la misma con el fin de determinar los vectores a través de los cuales se llevó a cabo la intrusión.
- Contención, erradicación y recuperación: se contiene el alcance del ataque cibernético para mitigar el impacto que pueda tener, se erradica el vector que ocasionó el ataque y se procede a recuperar la información y los sistemas vulnerados.
- Post Incidente: se hace una evaluación de las lecciones aprendidas a partir de la vulneración cibernética y se implementan las defensas necesarias para impedir que el ataque vuelva a ocurrir.
Como mencionó Noe Espinosa, uno de los elementos fundamentales del CERT - IQSec para brindar una respuesta efectiva ante un ataque informático son las personas, por esta razón el equipo de respuesta ante incidentes de seguridad informática de esta compañía de ciberseguridad está conformado por los siguientes elementos:
- Cybersecurity Manager: es el coordinador del equipo de trabajo, su labor es mantener informadas a todas las partes interesadas además de buscar mejoras en los procesos de análisis y respuesta.
- Sentinel: Es la primera línea efectiva de defensa. Se encarga de detectar, priorizar y documentar los eventos de seguridad para desechar falsos positivos, es decir falsas alarmas. También investiga comportamientos anómalos en las actividades del usuario, la red o las aplicaciones.
- Incident Handler: Es la segunda línea defensiva. Su labor es brindar apoyo a los Sentinel en la investigación y mitigación de los incidentes. También se encarga de preparar a la organización para enfrentar futuros incidentes, lo que permite reducir el impacto que podrían generar estos.
- Threat Hunter: es el encargado de investigar de manera constante las redes o dispositivos para identificar amenazas y determinar sus procesos de intrusión. También es el encargado de realizar la ingeniería inversa del malware o códigos maliciosos.
- Intelligence Content Developer: Diseña las métricas y el tablero de control de seguridad de acuerdo con el incidente al cual se esté respondiendo. También se encarga de generar los reportes de inteligencia en seguridad.
- Forensics Specialist: Recolecta y analiza las evidencias que permiten identificar y reconstruir un ataque cibernético.
- Cyberdefender: es el encargado de diseñar las fuentes de eventos y flujos de seguridad necesarios para generar las reglas de inteligencia.
Ésta es una lista de los CSIRT certificados por la Universidad de Carnegie Mellon que ofrecen sus servicios en México:
CSIRT públicos:
- CSIRT de la Universidad Nacional Autónoma de México (CERT UNAM)
- CSIRT de la Policía Federal (CERT MX)
- CSIRT de la Universidad Autónoma de Chihuahua (CERT UACH)
- CSIRT del Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación ( CERT Infotec)
CERTS privados:
- CSIRT de IQSec (IQSec CERT)
- CSIRT de Total Sec (CERTDSI Totalsec)
- CSIRT de Netrix (CERT Ntx)
- CSIRT de Global CyberSec (GCS CERT)
- CSIRT de Mnemo (Mnemo CERT)
- CSIRT de Scitum (Scitum CERT)
- CSIRT de TIC Defense (TIC CERT)