¿Cómo es un CERT desde el interior?

La movilidad y el Internet de las Cosas (IoT) supusieron un cambio en la definición de seguridad de la red. Ya no se trataba de proteger únicamente uno o varios sistemas informáticos sino un ciberespacio bajo constantes ataques: miles de millones de dispositivos conectados a Internet en todo el mundo que participan en dinámicas de intercambio de información que pueden beneficiar o afectar a individuos, organizaciones o a la sociedad en general. Los términos seguridad informática o seguridad en cómputo pasaron a formar parte de lo que hoy se conoce como ciberseguridad.

Eduardo Espina se levanta de su lugar en la sala de reuniones de Mnemo, alarga su tarjeta de proximidad hacia un lector que se encuentra a un lado de la ventana y de pronto los cristales opacos que impedían ver lo que se encontraba del otro lado se aclaran y muestran el equipo de respuesta ante incidentes de seguridad informática Mnemo CERT, una sala llena de computadoras, con pantallas fijadas a la pared que ofrecen una visualización del flujo de datos entre algunas de las más de 3 millones de IPs que la compañía de ciberseguridad monitorea 24 horas al día, siete días a la semana.

“Cada uno de los 40 analistas que están en esta sala recibe una parte de las 3.6 millones de IPs que deben comparar con el rango de IPs vinculadas a nuestros clientes. Si vemos que, por ejemplo, una IP que sabemos que está relacionada con una botnet entra en contacto con algún puerto de nuestros clientes, de inmediato le notificamos, para que ellos mismos tomen medidas o nos autoricen a actuar”, dijo Eduardo Espina, director de Ciberseguridad de Mnemo, en entrevista con El Economista.     

Espina es un veterano de la ciberseguridad en México. Después de terminar sus estudios universitarios comenzó a trabajar como becario del  CERT UNAM en el 2001, año en el que se creó este centro, primero en su tipo y el cual si bien fue fundado con un enfoque netamente académico, desde sus inicios participó en varios procesos que requerían este tipo de respuesta a incidentes a nivel nacional.

En este contexto, a  Eduardo le tocó colaborar con el Instituto Federal Electoral en el monitoreo de riesgos durantes las elecciones del 2006 y 2009.

En el 2009, buena parte del equipo de CERT UNAM, entre ellos Eduardo Espina, se integró a las filas de la Unidad de Delitos Cibernéticos de la Policía Federal. Con la publicación, en el 2010, del reglamento que regula a la PF, nació la División Científica y dentro de esta, el equipo de respuesta a incidentes del gobierno federal CERT-MX, el segundo CERT reconocido por la Universidad de Carnegie Mellon en el país y que se encarga de defender la infraestructura del gobierno federal. 

El cambio en la administración pública de 2012 obligó a varios de los integrantes del CERT MX a encaminarse hacia la iniciativa privada. Fue así que en el 2014, Espina y otros miembros del equipo de respuesta federal fundaron el Mnemo CERT, el primer equipo de respuesta a incidentes de seguridad informática de carácter privado en México, con una fuerte vocación de atender las necesidades del sector financiero.

Mnemo es una compañía de ciberseguridad de origen español con presencia tanto en la península ibérica como en México y Colombia.   

Motivación económica: el principal cambio en ciberataques

En los más de 15 años que Espina lleva en el sector de la ciberseguridad en México las principales transformaciones que ha observado en este terreno son la preocupación de las organizaciones al respecto de la seguridad en la red y el cambio en las motivaciones de los atacantes para ocasionar este tipo de incidentes.   

“Anteriormente, la principal motivación de este tipo de ataques era alterar una página web o lanzar un ataque a la disponibilidad (DDoS) para afectar la infraestructura de la organización durante un tiempo. Ahora la principal motivación es el lucro, ya sea a través de la extorsión, la exfiltración de información confidencial o el robo de activos”, dijo Eduardo Espina. 

Esto se acentúa en sectores como el financiero, que manejan importantes cantidades de recursos económicos, con lo que los ataques en contra de estas instituciones son ahora contratados por grupos delictivos como si se tratara de un servicio, algo que se conoce como Cybercrime as a Service (Cibercrimen como servicio).

El director de Ciberseguridad de Mnemo advirtió también acerca de que todas las amenazas que se han observado en los últimos 20 años están siendo integradas en este tipo de servicios que pueden ofrecer ataques de ransomware a cambio de criptomonedas o ataques de disponibilidad usando redes de equipos conectados a la red en todo el mundo.  

En el caso del sector financiero, son dos las constantes en cuanto a amenazas cibernéticas que Espina ha detectado: por un lado están las amenazas avanzadas y persistentes (APT), que básicamente son códigos maliciosos integrados por varios componentes que si bien por separado no lucen como amenazas, una vez que han logrado comprometer la infraestructura de la víctima se unen para cumplir su objetivo. Este tipo de amenazas pueden tardar entre seis meses y un año escondidas en la infraestructura de la víctima y están orientadas a exfiltrar información o comprometer grandes cantidades de recursos económicos.

La segunda constante en materia de amenazas cibernéticas dentro del sector financiero son aquellos ataques que vulneran la relación entre la institución bancaria o financiera y sus usuarios finales. Este es el caso de ataques de denegaciones de servicio (DDoS), el phishing, la existencia de aplicaciones falsas de estos bancos dentro de las tiendas de los sistemas operativos más usados y malwares troyanos y keyloggers, que o bien afectan la calidad del servicio de la institución o buscan extraer información sensible de los usuarios, como sus contraseñas bancarias, lo que compromete su estabilidad financiera.              

De acuerdo con el especialista, conforme la tecnología avanza también lo hacen las amenazas de ciberseguridad, por lo que previó que en el futuro existan códigos maliciosos que contengan en su infraestructura algoritmos de inteligencia artificial que les permitan identificar patrones de defensa para evadirlos. 

rodrigo.riquelme@eleconomista.mx