viernes, febrero 06, 2015

¿Cómo detecta España los 70.000 ataques cibernéticos que cuenta el Ministro Margallo?

Hoy tenía preparado un post más mundano y lúdico para este viernes, pero tras las declaraciones de nuestro Ministro de Asuntos Exteriores sobre los más de 70.000 ataques cibernéticos que está recibiendo España, hay que dar paso a la actualidad para dar mi opinión al respecto, ya que aparecer como el tercer país del mundo en ser atacado ha hecho a muchos periodistas estar preguntándose por qué sucede esto en España. Espero aclarar algunas dudas al respecto. Cuando se habla de incidentes cibernéticos estos hacen referencia a cualquiera de los que tienen lugar con un objetivo hostil, y pueden ser desde ataques dirigidos de malware, pasando por intrusiones en aplicaciones web, robo de datos para terminar en los populares ataques de Denegación de Servicio que tan comunes se han hecho en los años anteriores.

Figura 1: Noticia en Europa Press sobre los incidentes cibernéticos en España

La detección de ataques en España


Sacar las estadísticas de estos ciberataques - los conocidos - no es tan complicado, basta con ir a los informes de los diferentes organismos que están velando por la seguridad en Internet y pedirles datos. Así, en la administración pública el CCN-Cert ya publicó hace un par de meses sus datos, cifrados de Enero a Octubre en cerca de 12.000 incidentes, tal y como se puede ver en la presentación que hicieron en sus jornadas de trabajo.

Figura 2: Estadísticas de incidentes detectados por el CCN-CERT de Enero a Octubre de 2014

Estos incidentes son relativos a la administración pública, y se basan en las detecciones realizadas por las sondas IDS y los motores de correlación de eventos que tienen desplegados para que todo el conocimiento de la industria de seguridad, más el trabajo que realizan ellos, permite entender un poco la magnitud de los atacantes.

Figura 3: Tipos de incidentes detectados por el CCN-CERT

Por supuesto, estas monitorizaciones no solo se realizan en las redes de las administraciones públicas, y el grupo de trabajo del CNPIC se encarga de monitorizar los incidentes de los sistemas de nuestras infraestructuras críticas, sumando el número de incidentes dectectados a ellos.

Figura 4: Información sobre el CNPIC

Para completar los datos del número de incidentes cibernéticos, en España tenemos Incibe, que actúa como centro de respuesta nacional para la detección y el reporte de incidentes en cualquier empresa o a cualquier ciudadano. Para ello ayuda a gestionar las denuncias de incidentes y da asesoramiento de cómo proceder, por lo que cuenta también con datos muy cercanos de los incidentes que se están produciendo en la empresa, que van desde el robo de datos, los incidentes de secuestro de archivos con ransomware o la detección de direcciones IP infectadas con malware en el territorio nacional, que puedes comprobar tú mismo. 

Figura 5: Misión de Incibe

Además de todas estas fuentes de información, en algunas autonomías contamos con la existencia de CERT Regionales, que también están ayudando a la detección y respuesta ante todos los incidentes que se están produciendo, con lo que la foto global de los problemas de seguridad cuenta con muchos puntos de capilaridad que llega hasta el último dato.

Los últimos datos a añadir a estos son los incidentes denunciados e investigados por el Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación tecnológica de la Policía, que aportan al Ministerio del Interior estadísticas de incidentes cibernéticos que están teniendo lugar en nuestras fronteras, y que pueden ir desde el famoso Virus de la Policía en una empresa hasta un troyano detectado en las redes de un organismo de la administración pública.

Figura 6: Formulario de Denuncia del GDT de la Guardia Civil

La visión global y consolidada de todos esos datos la deberá proveer el Mando Unificado de Ciberdefensa que deberá ser capaz de aunar en una única fuente de información todo lo que esté pasando en los sistemas de la administración pública - central y autonómica -, en las administraciones públicas, las empresas españolas y los ciudadanos, teniendo que dotarse de herramientas de investigación, inteligencia y respuesta.

Figura 7: Mando Conjunto de Ciberdefensa

España el Tercer país más atacado

Como siempre los titulares de los periódicos pueden llevar a la gente menos informada a tomar la decisión de apagar el equipo, no vaya a ser que explote, e ir corriendo a comprar provisiones a los centros comerciales para abastecer el bunker de protección. Y es que ver los mapas de ataques tiene esos efectos normalmente.

Lo cierto es que España es el tercer país que más incidentes ha detectado, lo que es una buena noticia. Personalmente, teniendo en cuenta cómo funciona el muno de Internet hoy en día, 70.000 incidentes en un país como España no me parece tanto - según como se cuenten, repito -, y de ahí nos dejamos todos aquellos que no han sido detectados por ser APTs silenciosos, o por que mucha gente no ha ido a la comisaría a denunciar el ransomware o el robo de datos.


Figura 8: Esquema Nacional de Seguridad en España

Por suerte, la creación de grupos de trabajo como CCN-CERT, CNPIC, Certs-regionales, Incibe, GDT o BIT, más el trabajo de concienciación que se ha hecho para pedir a los ciudadanos que denuncien los hechos, más un esfuerzo en poner medidas de seguridad que ayuden a detectar los ataques y a protegerse contra ellos, como la LOPD o ENS, y la apuesta digital que ha hecho este país con esfuerzos como el DNIe, la ley de acceso electrónico, o la e-administración, hace que se tenga ese número.

¿Somos más atacados que el resto de los países de Europa? Sinceramente, no lo creo. Creo que que países como Francia, Alemania u Holanda, pueden ser igual o más atacados que España, pero que aquí se está haciendo un esfuerzo grande por detectarlos, denunciarlos y tomar conciencia. De hecho, por delante de España han quedado Estados Unidos y Reino Unido, dos países que han invertido en Ciberdefensa una buena cantidad de dinero para tener una visión lo más clara posible de lo que apsa en sus redes. ¿Son muchos 70.000 incidentes? Pues viendo como va esto, ni mucho menos me parecen tantos. Me parecerían muchos si fueran 70.000 operaciones APTs, pero ataques en general seguro que hay muchos más entre las fronteras - cibernéticas - de este país.

Saludos Malignos!

7 comentarios:

  1. Hola
    Soy dba de una web de alta concurrencia.
    Sinceramente me parecen pocos. Supongo que se estará refiriendo a ataques con consecuencias visibles o con un impacto perceptible.
    Vosotros que sabeis mas del tema que yo y aunque no sea mi tema, me afecta,
    estareis cansados de ver intentos fallidos de acceso por los puertos, y actividades extrañas desde ip's basicamente rusas y chinas(entre otras) pero estas destacan.

    Luego esta en el sesgo que quieras aplicar en los informes ya que los servidores no tienen que estar concretamente en España...

    ResponderEliminar
  2. A mayor abudamiento, a veces se detectan los incidentes que se han parado, y no se detectan los que han sido eficaces.
    Entiendo que en esos 70.000 hay mucho intento fracasado.

    ResponderEliminar
  3. Noticias sin sentido y que yo la entiendo de paleto. En otros sitios también también tienen internet oyga. Me pareció que el ministro lo decía para exponer que estamos en el "edge" de la tecnología.

    ¿Acaso el resto de países publican estadísticas reales? Seguramente no, igual que cuando hay ciertos incidentes NO cibernéticos tampoco salen a la luz.

    Cada cual trata la información a su gusto y eso es lo que pasa en países avanzados como Alemania, Francia...

    Desde otra perspectiva, China ¿publica siquiera estadísticas de esto?

    ¿Qué valor tiene 70.000 ataques? Y además habría que considerar qué significa "ataques".

    Para estas estadísitcas, podrían contabilizar intentos sin importancia hasta intrusiones graves, pero eso tampoco está claro del todo.

    70.000 podrían ser muchos si han fructificado o pocos si contabilizas un escaneo de puertos como ataque.

    ResponderEliminar
  4. Lo que nos faltaba por ver. Alguien alabando el presupuesto y actuación del país con más centros de seguridad informática y duplicidades (Más centros de ciberseguridad que todo el resto de Europa) desde "el lado del mal".

    No, la razón de contar con más ciberataques se debe exclusivamente al bajo nivel de seguridad existente, dada la magra implatanción y desarrollo tecnológico e inversión en infraestructuras TI en las empresas (aquello del I+D+I que se volatilizo, cuando desapareció la financiación pública).

    España es simplemente el país con más lagunas en inversión y desarrollo de tecnologías de la información, y cualitativamente más obsoletas.

    Y solo hay que echar un vistazo a la inversión pública y cosas tan chirriantes cómo que organismos de índole civil como el INTECO, una de esas empresas públicas destinadas a impulsar la "sociedad de la información" en su inicio (Instituto Nacional de las Tecnologías de la Comunicación), se hayan transformado en un "centro de ciberseguridad" (INCIBE) para seguir financiándose por cualquier medio ante los recortes.

    Esa es la razón de tener el sector empresarial mas vulnerable a ataques, la carencia de calidad de las inversiones tecnológicas y las malas practicasen la implantación de las TI. Solo hay que echarle un vistazo a las paginas web de montones de organismos públicos y su escasa adecuación a los estándares actuales.

    Si a eso le añades la falta de salidas laborales a los titulados superiores y la emigración de los profesionales mejor cualificados, ya tienes el cuadro completo.

    La larga sombra de las contrataciones públicas. En eso sí que somos lideres mundiales.

    ResponderEliminar
  5. @Anónimo, has metido cosas en las que no estoy de acuerdo.

    1) En USA y en UK (Primero y segundo de la lista) hay más inversión pública en Ciberseguridad que la que hay en España.

    2) INTECO, desde su concepción fue un organismo centrado en la seguridad informática. Desde el día 1.

    3) Salidas laborales para ingenieros expertos en seguridad informática hay muchas. De hecho, no se cubren todas las necesidades que hay de buenos ingenieros, programadores y demás.

    Como no solo faltan en España, sino en otros países donde se paga más (a veces en países en los que la Universidad es privada totalmente, igual que la sanidad y otros servicios sociales), muchos emigran. Yo expliqué mi punto sobre esto en
    Por qué estoy agradecido a España y a la Universidad

    Saludos!

    ResponderEliminar
  6. En serio Maligno, hay que tener un poco más de sentido crítico y fondo si quieres abordar algunas cuestiones.


    "INTECO es una sociedad estatal adscrita
    al Ministerio de Industria, Turismo y Comercio a través de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de Ia Información

    INTECO se ha concebido como instrumento de desarrollo de la Sociedad de la Información,
    para lo cual gestiona, asesora, promueve y difunde diferentes proyectos contenidos en el Plan Avanza"


    Y sobre las dos otras cuestiones pues... eso, que no.

    No puedes comparar USA y UK con España, ni la oferta laboral.

    Y la moda de los centros de ciberseguridad es sólo otro síntoma más de la falta de una política tecnológica racional. Se buscan coartadas para empresas públicas que se han vaciado de contenido y así obtener dinero público y otras gabelas. Los despilfarros de inversiones publicas en hiper-vigilancia o contratos tecnológicos están muy documentados en otros países y hay un buen número de casos que lo ilustran.

    Pero aquí no se vigilan ni se hace un escrutinio exhaustivo de las inversiones públicas de forma tan escrupulosa cómo en los países que mencionas.


    http://www.revistadintel.es/Revista1/DocsNum17/inteco.pdf

    ResponderEliminar
  7. @Anónimo, si quieres que hablemos de modelos de Estado, yo sigo creyendo en un modelo social como el que se empezó a construir en la transición más que el capitalismo brutal de USA o UK. Up to you. Como todo ciudadano tengo mis propias ideas sobre el estado y la sociedad donde vivo, si quieres hablamos de eso.

    Brain Dump: mi grito en democracia

    Inteco, desde el día uno se dedico a impulsar la sociedad de la información ayudando en la seguridad de los ciudadanos y Pymes. Desde el día uno.

    Dicho esto, aún creo que nos falta más madurez y más inversión en la parte de seguridad informática desde la administración pública.

    Saludos!

    ResponderEliminar