Anatomía de un ciberataque: "Si pierdes la calma lo pierdes todo"

Alguien ha conseguido acceder a la red interna de la organización. Esa red es como el pasillo que da acceso a todas puertas: desde la página web a las operaciones esenciales del sistema o los equipos informáticos de cada trabajador. Desde ahí ha lanzado un ataque masivo que ha cifrado todos los archivos y paralizado la infraestructura digital. Nada funciona. “Asumo que se han visto afectados el 100% de los servicios”, informa el responsable técnico al comité de crisis.

Se trata de un ciberataque de alto impacto, el más grave que puede sufrir cualquier empresa u organización. Es el que ha lanzado el Instituto Nacional de Ciberseguridad (Incibe) contra sí mismo este miércoles en un simulacro de entrenamiento abierto a la prensa en el que ha estado presente elDiario.es. Un examen en el que se ha analizado cómo mejorar su sistema de respuesta.

El organismo realiza estos ejercicios una vez al año sobre sus propios sistemas, pero también es el encargado de coordinar los que se organizan contra operadores estratégicos de la economía española y compañías del Ibex. El Incibe es la entidad que gestiona el equipo de respuesta ante emergencias informáticas de referencia para empresas y ciudadanía, mientras que el Centro Criptológico Nacional, dependiente del CNI, hace lo propio con las empresas públicas e infraestructuras críticas.

En este caso los atacantes del Incibe son un grupo de investigadores de la Universidad de León que han intentado encontrar vulnerabilidades en sus defensas. Tras unas horas intentado atacar el castillo desde fuera sin éxito, el organismo les ha abierto las puertas de la red interna para que el ejercicio pudiera continuar. “El perímetro de seguridad es muy robusto”, ha reconocido el jefe del equipo atacante.

Escalar las murallas informáticas de una organización como el Incibe sin ayuda interior sería una tarea ardua incluso para las principales bandas de ciberdelincuentes. Por eso pocos ciberataques se desarrollan así en la actualidad. Lo más habitual es comprometer a algún empleado o dispositivo de la organización y, desde ahí, infiltrarse poco a poco en lo más profundo de sus sistemas.

Una vez en la red interna, el equipo de la Universidad de León ha lanzado su ataque de ransomware. Un tipo de ofensiva que encripta todos los archivos de la víctima y pide un rescate en forma de criptomonedas a cambio de la contraseña para liberarlos. Es el método de ataque más usado por el cibercrimen internacional.

“Por norma general, en los incidentes de ransomware el ciberdelincuente o grupo de cibercriminal ha estado dentro de la organización durante un periodo bastante largo, durante el cual ha intentado robar toda la información posible. El ransomware es el último paso”, ha explicado Jorge Chinea, responsable de ciberseguridad del equipo de respuesta ante emergencias informáticas de Incibe.

“Entonces es cuando coacciona a la empresa para que realice el pago del ransomware, no solamente para liberar la información, sino filtrar la información sobre todos sus clientes y proyectos si no paga”, ha continuado. En estos casos la recomendación es siempre no pagar, ya que nada asegura que el ciberdelincuente cumpla su promesa.

Modo de contingencia

El simulacro se ha realizado atacando un gemelo digital del Incibe, por lo que el organismo ha seguido prestando sus servicios mientras sus equipos de respuesta intentaban contener el incidente.

Mientras reinaba la normalidad de puertas afuera, los participantes del ejercicio veían como el organismo tenía que pasar todos sus sistemas al modo de contingencia en el entorno simulado. Los atacantes no daban tregua aprovechando su privilegiada localización en el centro de la red interna.

“El equipo de la Universidad de León no solo no nos deja recuperar la contingencia, sino que aquellos servicios que hemos recuperado en la sede principal nos los vuelven a reinfectar”, ha explicado Sergio González, responsable del departamento de sistemas del Incibe. “Ese tipo de persistencia es la que te sueles encontrar en los ciberataques dirigidos contra objetivos concretos”, ha detallado cuando quedaba aproximadamente una hora de ejercicio.

Los responsables del Incibe han revelado que el centro actúa como apoyo de empresas ante este tipo de incidentes “todas las semanas”. Sin embargo, nunca se ha visto expuesto a afectaciones tan extremas como la que entrena en este tipo de ejercicios.

“Es fundamental haber hecho un trabajo previo y disponer de un plan de gestión de crisis que contenga planes de comunicación, de gestión de incidentes, planes de contingencia, etc.”, ha expuesto Jesús Feliz, gerente de arquitectura de seguridad del Incibe que ha actuado como portavoz del comité de crisis, que integra la cúpula de seguridad del organismo. “Es muy importante mantener la calma y estar preparado. Si pierdes la calma lo pierdes todo”.

“El objetivo del comité de crisis es realizar el seguimiento del incidente y tomar acciones estratégicas que en muchas ocasiones van a acabar escalando hacia el propio director general, porque pueden poner en riesgo incluso la viabilidad de la compañía y el negocio”, abundaba.

Compartir información

Los responsables del Incibe han alertado de que la ciberdelincuencia va en aumento. En 2023 hubo hasta 83.000 intentos de ciberataque en España, ha recordado su director, Félix Barrio. “Ya no es solo un desafío técnico sino una responsabilidad compartida que afecta a todos los sectores”, ha manifestado.

Una de las misiones del Instituto es precisamente compartir información sobre cómo operan los diferentes atacantes, ya sean bandas internacionales o “lobos solitarios”. En ciberejercicios como el de este miércoles, el Instituto puede simular los patrones de comportamiento de amenazas ya detectadas por otras empresas para mejorar la preparación del resto del sector. “Es algo que estamos compartiendo con todas las entidades con las que colaboramos, con los operadores críticos y sociales, no solo de servicios digitales o entidades estratégicas”.

Finalmente el ejercicio ha concluido con éxito. “Tenemos la ventaja de que tenemos conciencia situacional, es decir, sabemos lo que estamos viendo en España y eso nos ayuda a diseñar ejercicios que se puedan ajustar a esos escenarios o a situaciones nuevas que van apareciendo y que creemos que van a tener cierta relevancia en el futuro”, ha declarado Chinea, revelando que uno de los últimos ejercicios ensayados por el Incibe fue una error crítico en un antivirus clave. Tiempo después este tipo de fallo fue el que provocó una caída de Windows a nivel mundial.