Ciberataque a Incibe: así trabaja el organismo para resolver un incidente de seguridad

El Incibe abre sus puertas para dar a conocer cómo gestiona un ciberataque de alto impacto contra su infraestructura. Técnicos y alta dirección del organismo trabajan de manera conjunta en este ensayo, en el que el objetivo es entrenar sus capacidades y extraer conclusiones para aplicar mejora ante casos reales. ‘Red Seguridad’ fue testigo directo del proceso.

Miembros del equipo de Blue Team durante el ciberataque a Incibe.

El equipo de Blue Team trabaja en la resolución del ciberataque. / Foto: Incibe.

Enrique González Herrero

El Instituto Nacional de Ciberseguridad (Incibe) ha sufrido a primera hora de la mañana un ciberataque que afecta a sus servicios gestionados. Se trata de un ransomware que ha accedido a su infraestructura interna y que ha conseguido cifrar varios entornos de su red a través de una brecha detectada por los piratas informáticos. El organismo ha activado su comité de crisis y trabaja en la resolución del incidente a través de sus equipos de respuesta.

La situación sería de extrema gravedad si no fuera porque, en realidad, se trata de un simulacro de ciberataque de alto impacto organizado por el propio Incibe. La agencia dependiente del Ministerio de Transformación Digital desarrolló ayer este ciberejercicio para poner a prueba sus capacidades de detección, mitigación y respuesta, con la colaboración de la Universidad de León.

El ciberataque y la respuesta de Incibe

Todo comienza por la mañana. Los técnicos de la Universidad de León se ‘visten’ de ciberdelincuentes en busca de brechas para acceder a los sistemas de la entidad. Son el Red Team, los encargados de lanzar el ataque contra un organismo que demuestra estar muy bien protegido. «Tras varias horas intentándolo, no hemos conseguido degradar el servicio para conseguir nuestro objetivo. Hemos tenido que hablar con nuestros compañeros de Incibe para que nos faciliten el acceso a la red interna de la infraestructura y, después de un tiempo escaneandola, hemos detectado una vulnerabilidad para entrar», explica José Carlos Rodríguez, coordinador del Red Team.

Uno de los miembros del equipo de Red Team durante el ciberataque simulado a Incibe.
Uno de los miembros del equipo de Red Team durante el ciberataque simulado a Incibe.

El ciberataque, un ramsonware que afecta a la infraestructura que soporta los servicios gestionados de Incibe, ha conseguido cifrar varias partes de esta y dañar servicios como el teléfono de asistencia 017. Precisamente, varios de los miembros de esta sala telefónica participan en el simulacro para hacer un seguimiento del impacto del ataque y analizar la manera de proceder para la recuperación de la atención al ciudadano.

La primera respuesta por parte de Incibe procede del Blue Team, los expertos del organismo encargados de poner en práctica los procedimientos enmarcados en las diferentes fases de gestión de un ciberincidente (preparación, identificación, contención, mitigación, recuperación y forense). «Con este simulacro buscamos entrenarnos y salir de nuestra zona de confort», explica Sergio González, coordinador de este equipo. «Lo primero que hacemos es analizar externamente el perímetro para saber cómo ha entrado el ransomware. El virus nos está cerrando las puertas y estamos buscando la manera de poder acceder a ellas», complementa este profesional.

El Blue Team activa el Plan de Contingencia y busca a su vez indicadores de compromiso para obtener características del ransomware que les aporten pistas sobre su contención. En paralelo, comunican al Incibe-CERT toda la información que obtienen para mejorar la respuesta al ciberataque.

Técnicos de Incibe, durante el ciberincidente.
Técnicos de Incibe participando en la contención del ciberincidente.

Desde una sala contigua, otros expertos del organismo trabajan en el análisis forense de la situación y comparten información con empresas consideradas operadores esenciales para intercambiar información de valor a través de la plataforma ICARO. De esta forma pueden obtener datos adicionales y ayudar a otras entidades que pudieran estar afectadas por el mismo problema.

Comité de Crisis

Mientras los técnicos de Incibe trabajan en la resolución del incidente, los máximos responsables de diferentes áreas del organismo están reunidos en el Comité de Crisis. El director general de la entidad lidera esta mesa de decisión en la que participan representantes de áreas como Jurídica, Sistemas, Operaciones o Comunicación. En definitiva, participa cualquiera de los departamentos que de alguna manera estén involucrados en la respuesta al ciberataque.

«Es importante contar con un Plan de Gestión de Crisis y mantener la calma», advierte Jesús Feliz, gerente de ciberseguridad de Sectores Estratégicos de Incibe. El comité hace un seguimiento del incidente y toma las decisiones oportunas durante todo el proceso. Asimismo, existen enlaces con representantes de las Fuerzas y Cuerpos de Seguridad del Estado, que también colaboran en la resolución e investigación de la situación.

El resultado del ensayo queda para los profesionales de Incibe, para que extraigan sus conclusiones y analicen los aspectos de mejora. Pero el objetivo está cumplido, tal como lo destacó Félix Barrio, director general de Incibe, que puso en valor «la importancia de llevar a cabo estos ciberejercicios para mejorar las capacidades de la entidad y sensibilizar a la sociedad sobre la creciente relevancia de la ciberseguridad en el entorno digital. La ciberseguridad no es solo un desafío técnico, sino una responsabilidad compartida que afecta a todos los sectores de nuestra sociedad».

Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad