LUK
12-02-2015, 20:05
Hoy tenía preparado un post más mundano y lúdico para este viernes, pero tras las declaraciones de nuestro Ministro de Asuntos Exteriores sobre los más de 70.000 ataques cibernéticos (http://www.europapress.es/nacional/noticia-espana-sufrio-2014-mas-70000-ataques-ciberneticos-cifra-mas-alta-eeuu-re-20150205115531.html) que está recibiendo España, hay que dar paso a la actualidad para dar mi opinión al respecto, ya que aparecer como el tercer país del mundo en ser atacado ha hecho a muchos periodistas estar preguntándose por qué sucede esto en España. Espero aclarar algunas dudas al respecto. Cuando se habla de incidentescibernéticos estos hacen referencia a cualquiera de los que tienen lugar con un objetivo hostil, y pueden ser desde ataques dirigidos de malware, pasando por intrusiones en aplicaciones web, robo de datos para terminar en los populares ataques de Denegación de Servicio que tan comunes se han hecho en los años anteriores.
http://4.bp.blogspot.com/-_vGowASYH6s/VNRjqJMrouI/AAAAAAAAZdw/ElKfVmBER9g/s1600/Ataques.jpg (http://www.europapress.es/nacional/noticia-espana-sufrio-2014-mas-70000-ataques-ciberneticos-cifra-mas-alta-eeuu-re-20150205115531.html)
Figura 1: Noticia en Europa Press sobre los incidentes cibernéticos en España
La detección de ataques en España
Sacar las estadísticas de estos ciberataques - los conocidos - no es tan complicado, basta con ir a los informes de los diferentes organismos que están velando por la seguridad en Internet y pedirles datos. Así, en la administración pública el CCN-Cert (https://www.ccn-cert.cni.es/)ya publicó hace un par de meses sus datos, cifrados de Enero a Octubre en cerca de12.000 incidentes, tal y como se puede ver en la presentación que hicieron en sus jornadas de trabajo (https://www.ccn-cert.cni.es/publico/VIII_Jornadas/02-Gestion_Incidentes_CCN-CERT.pdf).
http://2.bp.blogspot.com/-7lsh9q58lz4/VNRkjnPyyVI/AAAAAAAAZd4/S1v69_k0nWM/s1600/CCNCERTSTATS.jpg (http://2.bp.blogspot.com/-7lsh9q58lz4/VNRkjnPyyVI/AAAAAAAAZd4/S1v69_k0nWM/s1600/CCNCERTSTATS.jpg)
Figura 2: Estadísticas de incidentes detectados por el CCN-CERT de Enero a Octubre de 2014
Estos incidentes son relativos a la administración pública, y se basan en las detecciones realizadas por las sondas IDS y los motores de correlación de eventos que tienen desplegados para que todo el conocimiento de la industria de seguridad, más el trabajo que realizan ellos, permite entender un poco la magnitud de los atacantes.
http://3.bp.blogspot.com/-5eXWSGQN_bs/VNRlD7SOR-I/AAAAAAAAZeA/9eHq2_t0mw8/s1600/CCNCERTSTATS_2.jpg (http://3.bp.blogspot.com/-5eXWSGQN_bs/VNRlD7SOR-I/AAAAAAAAZeA/9eHq2_t0mw8/s1600/CCNCERTSTATS_2.jpg)
Figura 3: Tipos de incidentes detectados por el CCN-CERT
Por supuesto, estas monitorizaciones no solo se realizan en las redes de las administraciones públicas, y el grupo de trabajo del CNPIC (http://www.cnpic.es/) se encarga de monitorizar los incidentes de los sistemas de nuestras infraestructuras críticas, sumando el número de incidentes dectectados a ellos.
http://4.bp.blogspot.com/-PlnBruQizQ8/VNRluufyK4I/AAAAAAAAZeM/XNRnnpfMmhI/s1600/CNPIC.jpg (http://www.cnpic.es/)
Figura 4: Información sobre el CNPIC
Para completar los datos del número de incidentes cibernéticos, en España tenemosIncibe (https://www.incibe.es/), que actúa como centro de respuesta nacional para la detección y el reporte de incidentes en cualquier empresa o a cualquier ciudadano. Para ello ayuda a gestionar las denuncias de incidentes y da asesoramiento de cómo proceder, por lo que cuenta también con datos muy cercanos de los incidentes que se están produciendo en la empresa, que van desde el robo de datos, los incidentes de secuestro de archivos con ransomware (http://www.elladodelmal.com/2015/01/me-han-cifrado-los-archivos-y-me-piden.html) o la detección de direcciones IP infectadas con malware en el territorio nacional (http://www.elladodelmal.com/2014/10/quieres-saber-si-tu-conexion-internet.html), que puedes comprobar tú mismo.
http://1.bp.blogspot.com/-621Z43t5iZE/VNRm6QFsz_I/AAAAAAAAZeY/DttZo3Mo1is/s1600/incibe_mision.jpg (https://www.incibe.es/que_es_incibe/)
Figura 5: Misión de Incibe
Además de todas estas fuentes de información, en algunas autonomías contamos con la existencia de CERT Regionales, que también están ayudando a la detección y respuesta ante todos los incidentes que se están produciendo, con lo que la foto global de los problemas de seguridad cuenta con muchos puntos de capilaridad que llega hasta el último dato.
Los últimos datos a añadir a estos son los incidentes denunciados e investigados por el Grupo de Delitos Telemáticos de la Guardia Civil (http://www.elladodelmal.com/2014/07/la-guardia-civil-usara-egarante-para.html) y la Brigada de Investigación tecnológica de la Policía, que aportan al Ministerio del Interior estadísticas de incidentes cibernéticos que están teniendo lugar en nuestras fronteras, y que pueden ir desde el famoso Virus de la Policía en una empresa hasta un troyano detectado en las redes de un organismo de la administración pública.
http://4.bp.blogspot.com/-riS_fSLSJ0Q/U8twUhevxnI/AAAAAAAAVHQ/DcLUb3Nqp5Y/s1600/FormularioDenuncia.png (https://www.gdt.guardiacivil.es/webgdt/denuncia.php)
Figura 6: Formulario de Denuncia del GDT de la Guardia Civil
La visión global y consolidada de todos esos datos la deberá proveer el Mando Unificado de Ciberdefensa (http://www.emad.mde.es/CIBERDEFENSA/) que deberá ser capaz de aunar en una única fuente de información todo lo que esté pasando en los sistemas de la administración pública - central y autonómica -, en las administraciones públicas, las empresas españolas y los ciudadanos, teniendo que dotarse de herramientas de investigación, inteligencia y respuesta.
http://4.bp.blogspot.com/-YVwl4QZMy4U/VNRn11OyOfI/AAAAAAAAZek/LydmxrI9Qso/s1600/mando.jpg (http://www.emad.mde.es/CIBERDEFENSA/)
Figura 7: Mando Conjunto de Ciberdefensa
España el Tercer país más atacado
Como siempre los titulares de los periódicos pueden llevar a la gente menos informada a tomar la decisión de apagar el equipo, no vaya a ser que explote, e ir corriendo a comprar provisiones a los centros comerciales para abastecer el bunker de protección. Y es que ver los mapas de ataques tiene esos efectos normalmente.
Lo cierto es que España es el tercer país que más incidentes ha detectado, lo que es una buena noticia. Personalmente, teniendo en cuenta cómo funciona el muno deInternet hoy en día, 70.000 incidentes en un país como España no me parece tanto - según como se cuenten, repito -, y de ahí nos dejamos todos aquellos que no han sido detectados por ser APTs silenciosos, o por que mucha gente no ha ido a la comisaría a denunciar el ransomware o el robo de datos.
http://4.bp.blogspot.com/-W2hf1qA7DdA/VNRppw47R2I/AAAAAAAAZew/5CxWh17HHZc/s1600/ENS.jpg (http://administracionelectronica.gob.es/ctt/ens#.VNRpZVXF-IE)
Figura 8: Esquema Nacional de Seguridad en España
Por suerte, la creación de grupos de trabajo como CCN-CERT, CNPIC, Certs-regionales, Incibe, GDT o BIT, más el trabajo de concienciación que se ha hecho para pedir a los ciudadanos que denuncien los hechos, más un esfuerzo en poner medidas de seguridad que ayuden a detectar los ataques y a protegerse contra ellos, como la LOPD (http://0xword.com/es/libros/11-libro-aplicacion-medidas-implantacion-lopd.html) o ENS (http://0xword.com/es/libros/24-libro-esquema-nacional-seguridad.html), y la apuesta digital que ha hecho este país con esfuerzos como el DNIe (http://0xword.com/es/libros/17-libro-dnie.html), la ley de acceso electrónico (http://es.wikipedia.org/wiki/Ley_de_Acceso_Electr%C3%B3nico_de_los_Ciudadanos_a _los_Servicios_P%C3%BAblicos), o la e-administración, hace que se tenga ese número.
¿Somos más atacados que el resto de los países de Europa? Sinceramente, no lo creo. Creo que que países como Francia, Alemania u Holanda, pueden ser igual o más atacados que España, pero que aquí se está haciendo un esfuerzo grande por detectarlos, denunciarlos y tomar conciencia. De hecho, por delante de España han quedado Estados Unidos y Reino Unido, dos países que han invertido enCiberdefensa una buena cantidad de dinero para tener una visión lo más clara posible de lo que apsa en sus redes. ¿Son muchos 70.000 incidentes? Pues viendo como va esto, ni mucho menos me parecen tantos. Me parecerían muchos si fueran70.000 operaciones APTs, pero ataques en general seguro que hay muchos más entre las fronteras - cibernéticas - de este país.
Saludos Malignos! @ http://www.elladodelmal.com/2015/02/como-detecta-espana-los-70000-ataques.html
http://4.bp.blogspot.com/-_vGowASYH6s/VNRjqJMrouI/AAAAAAAAZdw/ElKfVmBER9g/s1600/Ataques.jpg (http://www.europapress.es/nacional/noticia-espana-sufrio-2014-mas-70000-ataques-ciberneticos-cifra-mas-alta-eeuu-re-20150205115531.html)
Figura 1: Noticia en Europa Press sobre los incidentes cibernéticos en España
La detección de ataques en España
Sacar las estadísticas de estos ciberataques - los conocidos - no es tan complicado, basta con ir a los informes de los diferentes organismos que están velando por la seguridad en Internet y pedirles datos. Así, en la administración pública el CCN-Cert (https://www.ccn-cert.cni.es/)ya publicó hace un par de meses sus datos, cifrados de Enero a Octubre en cerca de12.000 incidentes, tal y como se puede ver en la presentación que hicieron en sus jornadas de trabajo (https://www.ccn-cert.cni.es/publico/VIII_Jornadas/02-Gestion_Incidentes_CCN-CERT.pdf).
http://2.bp.blogspot.com/-7lsh9q58lz4/VNRkjnPyyVI/AAAAAAAAZd4/S1v69_k0nWM/s1600/CCNCERTSTATS.jpg (http://2.bp.blogspot.com/-7lsh9q58lz4/VNRkjnPyyVI/AAAAAAAAZd4/S1v69_k0nWM/s1600/CCNCERTSTATS.jpg)
Figura 2: Estadísticas de incidentes detectados por el CCN-CERT de Enero a Octubre de 2014
Estos incidentes son relativos a la administración pública, y se basan en las detecciones realizadas por las sondas IDS y los motores de correlación de eventos que tienen desplegados para que todo el conocimiento de la industria de seguridad, más el trabajo que realizan ellos, permite entender un poco la magnitud de los atacantes.
http://3.bp.blogspot.com/-5eXWSGQN_bs/VNRlD7SOR-I/AAAAAAAAZeA/9eHq2_t0mw8/s1600/CCNCERTSTATS_2.jpg (http://3.bp.blogspot.com/-5eXWSGQN_bs/VNRlD7SOR-I/AAAAAAAAZeA/9eHq2_t0mw8/s1600/CCNCERTSTATS_2.jpg)
Figura 3: Tipos de incidentes detectados por el CCN-CERT
Por supuesto, estas monitorizaciones no solo se realizan en las redes de las administraciones públicas, y el grupo de trabajo del CNPIC (http://www.cnpic.es/) se encarga de monitorizar los incidentes de los sistemas de nuestras infraestructuras críticas, sumando el número de incidentes dectectados a ellos.
http://4.bp.blogspot.com/-PlnBruQizQ8/VNRluufyK4I/AAAAAAAAZeM/XNRnnpfMmhI/s1600/CNPIC.jpg (http://www.cnpic.es/)
Figura 4: Información sobre el CNPIC
Para completar los datos del número de incidentes cibernéticos, en España tenemosIncibe (https://www.incibe.es/), que actúa como centro de respuesta nacional para la detección y el reporte de incidentes en cualquier empresa o a cualquier ciudadano. Para ello ayuda a gestionar las denuncias de incidentes y da asesoramiento de cómo proceder, por lo que cuenta también con datos muy cercanos de los incidentes que se están produciendo en la empresa, que van desde el robo de datos, los incidentes de secuestro de archivos con ransomware (http://www.elladodelmal.com/2015/01/me-han-cifrado-los-archivos-y-me-piden.html) o la detección de direcciones IP infectadas con malware en el territorio nacional (http://www.elladodelmal.com/2014/10/quieres-saber-si-tu-conexion-internet.html), que puedes comprobar tú mismo.
http://1.bp.blogspot.com/-621Z43t5iZE/VNRm6QFsz_I/AAAAAAAAZeY/DttZo3Mo1is/s1600/incibe_mision.jpg (https://www.incibe.es/que_es_incibe/)
Figura 5: Misión de Incibe
Además de todas estas fuentes de información, en algunas autonomías contamos con la existencia de CERT Regionales, que también están ayudando a la detección y respuesta ante todos los incidentes que se están produciendo, con lo que la foto global de los problemas de seguridad cuenta con muchos puntos de capilaridad que llega hasta el último dato.
Los últimos datos a añadir a estos son los incidentes denunciados e investigados por el Grupo de Delitos Telemáticos de la Guardia Civil (http://www.elladodelmal.com/2014/07/la-guardia-civil-usara-egarante-para.html) y la Brigada de Investigación tecnológica de la Policía, que aportan al Ministerio del Interior estadísticas de incidentes cibernéticos que están teniendo lugar en nuestras fronteras, y que pueden ir desde el famoso Virus de la Policía en una empresa hasta un troyano detectado en las redes de un organismo de la administración pública.
http://4.bp.blogspot.com/-riS_fSLSJ0Q/U8twUhevxnI/AAAAAAAAVHQ/DcLUb3Nqp5Y/s1600/FormularioDenuncia.png (https://www.gdt.guardiacivil.es/webgdt/denuncia.php)
Figura 6: Formulario de Denuncia del GDT de la Guardia Civil
La visión global y consolidada de todos esos datos la deberá proveer el Mando Unificado de Ciberdefensa (http://www.emad.mde.es/CIBERDEFENSA/) que deberá ser capaz de aunar en una única fuente de información todo lo que esté pasando en los sistemas de la administración pública - central y autonómica -, en las administraciones públicas, las empresas españolas y los ciudadanos, teniendo que dotarse de herramientas de investigación, inteligencia y respuesta.
http://4.bp.blogspot.com/-YVwl4QZMy4U/VNRn11OyOfI/AAAAAAAAZek/LydmxrI9Qso/s1600/mando.jpg (http://www.emad.mde.es/CIBERDEFENSA/)
Figura 7: Mando Conjunto de Ciberdefensa
España el Tercer país más atacado
Como siempre los titulares de los periódicos pueden llevar a la gente menos informada a tomar la decisión de apagar el equipo, no vaya a ser que explote, e ir corriendo a comprar provisiones a los centros comerciales para abastecer el bunker de protección. Y es que ver los mapas de ataques tiene esos efectos normalmente.
Lo cierto es que España es el tercer país que más incidentes ha detectado, lo que es una buena noticia. Personalmente, teniendo en cuenta cómo funciona el muno deInternet hoy en día, 70.000 incidentes en un país como España no me parece tanto - según como se cuenten, repito -, y de ahí nos dejamos todos aquellos que no han sido detectados por ser APTs silenciosos, o por que mucha gente no ha ido a la comisaría a denunciar el ransomware o el robo de datos.
http://4.bp.blogspot.com/-W2hf1qA7DdA/VNRppw47R2I/AAAAAAAAZew/5CxWh17HHZc/s1600/ENS.jpg (http://administracionelectronica.gob.es/ctt/ens#.VNRpZVXF-IE)
Figura 8: Esquema Nacional de Seguridad en España
Por suerte, la creación de grupos de trabajo como CCN-CERT, CNPIC, Certs-regionales, Incibe, GDT o BIT, más el trabajo de concienciación que se ha hecho para pedir a los ciudadanos que denuncien los hechos, más un esfuerzo en poner medidas de seguridad que ayuden a detectar los ataques y a protegerse contra ellos, como la LOPD (http://0xword.com/es/libros/11-libro-aplicacion-medidas-implantacion-lopd.html) o ENS (http://0xword.com/es/libros/24-libro-esquema-nacional-seguridad.html), y la apuesta digital que ha hecho este país con esfuerzos como el DNIe (http://0xword.com/es/libros/17-libro-dnie.html), la ley de acceso electrónico (http://es.wikipedia.org/wiki/Ley_de_Acceso_Electr%C3%B3nico_de_los_Ciudadanos_a _los_Servicios_P%C3%BAblicos), o la e-administración, hace que se tenga ese número.
¿Somos más atacados que el resto de los países de Europa? Sinceramente, no lo creo. Creo que que países como Francia, Alemania u Holanda, pueden ser igual o más atacados que España, pero que aquí se está haciendo un esfuerzo grande por detectarlos, denunciarlos y tomar conciencia. De hecho, por delante de España han quedado Estados Unidos y Reino Unido, dos países que han invertido enCiberdefensa una buena cantidad de dinero para tener una visión lo más clara posible de lo que apsa en sus redes. ¿Son muchos 70.000 incidentes? Pues viendo como va esto, ni mucho menos me parecen tantos. Me parecerían muchos si fueran70.000 operaciones APTs, pero ataques en general seguro que hay muchos más entre las fronteras - cibernéticas - de este país.
Saludos Malignos! @ http://www.elladodelmal.com/2015/02/como-detecta-espana-los-70000-ataques.html