Imaginemos este escenario: un ransomware devastador está bloqueando servidores en una gran empresa. Los equipos de TI trabajan contrarreloj, pero el caos es inminente. En ese mismo momento, en el SOC (Security Operations Center) de Kyndryl en Madrid, los monitores muestran una historia diferente: la infraestructura de esa compañía gestionada desde aquí ha resistido intacta. Ningún servidor protegido por este centro ha sido encriptado.
"Lo más importante es que nuestra infraestructura siga operativa cuando todo lo demás cae", explica Antonio Navas, responsable del SOC de Kyndryl España, mientras recorremos la sala ubicada en la sede de esta consultora a pies de la M30, en el popular edificio 'Los Cubos'.
O recordemos otro suceso, mucho más reciente: el fallo global en las herramientas de CrowdStrike que paralizó miles de ordenadores equipados con Windows. "La confianza de muchos clientes en esta tecnología se tambaleó. Pero nosotros pudimos seguir operando gracias a nuestra infraestructura redundante y a la integración de múltiples plataformas", detalla Navas.
Ambos son ejemplos de lo que se hace desde un SOC, un espacio donde la seguridad digital se vive y respira a cada momento. Bajo estas siglas encontramos a los centros de operaciones de seguridad de la información, con equipos de profesionales de seguridad dedicados a monitorizar 24x7 toda la infraestructura informática de una o más empresas. Su misión es detectar, analizar y responder a incidentes de seguridad en tiempo real.
No es una oficina cualquiera: el acceso está protegido con doble factor de autenticación, desde PINs hasta tarjetas especiales. Dentro, los tabiques van de forjado a forjado, evitando cualquier posible intrusión desde el techo o el suelo. Incluso las ventanas son traslúcidas, no para bloquear la luz, sino para impedir que alguien desde fuera pueda ver los monitores y las operaciones en curso.
La sala en sí no destaca por un exceso de tecnología llamativa, a excepción de la gran pantalla que preside todo el espacio. Lo esencial está en los detalles que no se ven: las plataformas de inteligencia de amenazas, los sistemas de analítica avanzada y la integración de inteligencia artificial que les permite analizar millones de datos en tiempo real.
"Este SOC está diseñado para resistir y para operar incluso si todo lo demás falla. Nuestro objetivo no es solo reaccionar a las amenazas, sino anticiparnos a ellas", comenta el responsable del SOC de Kyndryl España.
La orquesta de tres niveles
El SOC de Kyndryl funciona como una orquesta bien afinada, donde cada pieza cumple un papel esencial para que cientos de empresas y organismos públicos estén seguros y preparados para responder ante cualquier incidente.
Su estructura está dividida en tres niveles. El primero de ellos es donde las alertas y eventos son procesados automáticamente, una primera línea de defensa automatizada, para los incidentes de menor gravedad. El segundo escalón es aquel donde los analistas humanos discriminan los falsos positivos y profundizan en las amenazas más complejas. Y llegamos al tercer y más alto escalón del podio, donde un equipo especializado en inteligencia de amenazas, análisis forense y respuesta a incidentes toma el control cuando la situación lo exige.
"Todo lo que hacemos se basa en un equilibrio entre personas, procesos y tecnología", concreta Antonio Navas. Y se nota. A medida que avanzamos, vemos cómo los equipos se comunican constantemente, compartiendo información y ajustando estrategias en tiempo real.
Nueve años y una red global
Desde su creación hace nueve años, el SOC de Kyndryl ha pasado de un enfoque reactivo a uno mucho más proactivo y automatizado. Ahora, su seguridad se basa en plataformas que integran datos de múltiples fuentes y emplean analítica avanzada para detectar amenazas incluso antes de que ocurran.
Pero su trabajo no termina aquí. Este SOC es parte de una red global que incluye centros en Hungría, Italia, Canadá y Japón, entre otros. Esto les permite operar bajo un modelo “follow-the-sun”, asegurando que, sin importar la hora o la región, siempre haya alguien monitorizando alertas y respondiendo a ellas.
Eso a escala global, pero el calado local también se nota. Este SOC mantiene una estrecha colaboración con el CCN-CERT, parte del Centro Criptológico Nacional (CNI). Gracias a esta alianza, esta consultora es un actor clave en la Red Nacional de SOC, compartiendo inteligencia de amenazas y fortaleciendo la ciberresiliencia del país.
"Ser parte de esta red significa que no solo protegemos a nuestros clientes, sino que contribuimos a la seguridad nacional", presume su responsable.
Salir del SOC nos deja claro que la ciberseguridad no es solo una cuestión de tecnología avanzada o certificaciones, aunque aquí las tienen todas: ISO 27001, ENS nivel alto, entre otras. La próxima vez que escuchemos sobre un ataque cibernético global o una nueva amenaza, recordemos este lugar. Porque aquí, en esta sala de Madrid, se escribe una parte esencial de la seguridad digital de España.