Centro de Operaciones de Seguridad de S21Sec en Madrid

Centro de Operaciones de Seguridad de S21Sec en Madrid Marta Sanz

Tecnología

Un día con el grupo de élite que lucha contra 'hackers' desde Madrid y ayuda al FBI: "Ya no hay nadie a salvo"

Publicada
Actualizada

"Ya no hay nadie a salvo" explica Pablo Echevarría, CEO de S21Sec, mientras muestra las instalaciones de su centro de operaciones de ciberseguridad en Madrid. Desde aquí sus equipos vigilan los sistemas de todos sus clientes las 24 horas del día, los 7 días de la semana, porque los cibercriminales ya no respetan el horario laboral ni el daño que puedan causar, económico o social, atacando incluso hospitales y servicios esenciales.

España es el quinto país del mundo que más amenazas de ransomware ha sufrido en el primer trimestre de 2024. Este país ha ascendido tres puntos, según el último informe de S21Sec. EL ESPAÑOL - Omicrono ha visitado el Centro de Operaciones de Seguridad (SOC) de esta empresa, las instalaciones desde las que combate contra cibercriminales, cada día más profesionales, que pueden llevar a cabo ataques preparados durante meses

"Pueden llegar a tener el control de toda la empresa, incluso nuestros datos", explica David Conde, director del DFIR, el equipo que trata los casos más complejos, "de película", y que se compone de profesionales cada día más diversos, pues no solo hay que saber de tecnología, también comprender la mente del criminal. 

S21sec es uno de los grandes proveedores de ciberseguridad en España, adquirido por Thales Group en 2022, ahora aprovecha la extensa red de Thales para sus acciones de vigilancia y protección. S21Sec tiene dos centros como este en la península ibérica, uno en Madrid y otro en Oporto. Estos centros trabajan en red con los otros nueve SOC que la empresa tiene repartidos por el mundo, porque "la ciberseguridad no entiende de fronteras". las amenazas descubiertas en uno sirven de aviso al resto de centros para estar siempre al día en las técnicas de los "malos". 

Cómo es el SOC

La imaginación o la influencia de Hollywood, pueden jugar una mala pasada, los SOC son simples salas llenas de ordenadores, todos dirigidos hacia una gran pantalla central donde se muestran diferentes gráficos y mapas mundiales. Más parecida a un aula moderna que a lo visto en las películas. La espectacularidad, sin embargo, se esconde en esos datos y gráficos que se recogen en todas las pantallas de la sala.

En esa gran pantalla, explica Igor, los operadores tienen una visión global de lo que está pasando con los clientes, "una visión global de las anomalías, los picos, la parte más importante, porque todo lo demás lo están haciendo en los PCs". En esta sala hay personal atento a cualquier incidente de forma permanente. "Atacan más los viernes, cuando saben que la mayoría del personal de una empresa se ha ido de fin de semana", explican. 

Centro de operaciones de ciberseguridad en Madrid de S21Sec

Centro de operaciones de ciberseguridad en Madrid de S21Sec Marta Sanz Omicrono

Los servicios de esta empresa empiezan por la identificación de los problemas, en 3 años S21Sec presume de haber encontrado hasta 70 vulnerabilidades de día cero o Zero days, brechas de seguridad desconocidas en los sistemas que si los malos descubren pueden usar en su beneficio. Después, se ponen en marcha planes de protección para dar una respuesta más eficaz ante posibles incidencias. 

Así, los operadores vigilan las amenazas o tickets, como ellos lo llaman, en referencia al sistemas de tickets de TI que representan un incidente, alerta o solicitud que requiere una intervención. "Hay que ver si se están atendiendo, el tiempo que estamos dando de respuesta, cómo está cada uno de los casos". Se identifica cuál de ellos es una amenaza real o cuál es un falso positivo.

Mapa de ciberataques de Kaspersky

Mapa de ciberataques de Kaspersky Omicrono Omicrono

Gran parte de este proceso ya se ha automatizado, "antes teníamos gente monitorizando cada uno de los tickets, pero ahora son miles al día o millones", por lo que el uso de la IA se ha vuelto imprescindible para estas empresas. "Nosotros automatizamos los procesos hasta el punto que los ataque se bloquean en tiempo real, si detectamos que un malware está entrando en un PC, este se separa de la red automáticamente como protección hacia el cliente".

Por último, se sitúa la parte de recuperación, cuando el ataque ya se ha producido. "El 0,01% sucede", los expertos insisten en no jugar a la lotería en este aspecto. "Hay empresas muy grandes y maduras que entienden que van a ser objeto de ataque y otras que ni siquiera se han planteado que pueden verse en esa situación. El cliente nunca es consciente hasta que ve el monstruo", dice Echevarría.

Los 'SWAT' de internet

Cuando el ataque es grave, entra en acción el equipo de David Conde, DFIR and Threat Hunting Manager especializado en los casos más complejos. "Yo como malo puedo realizar ataques muy dirigidos y que llevan meses, o puedo coger 200 empresas, no sé ni a qué se dedican, aleatoriamente y a lo mejor solo 30 me contactan de vuelta para pagar". Aunque ambos casos pueden suponer un grave problema para el cliente, el primero es el más complejo pues tienen todo el control de la organización "y pueden hasta echarnos", dice Conde.

De izquierda a derecha: Pablo Echevarría, Igor Unanue y David Conde de S21Sec

De izquierda a derecha: Pablo Echevarría, Igor Unanue y David Conde de S21Sec Marta Sanz Omicrono

Este especialista pone como ejemplo el caso de una banda hacktivista, aquellas que persiguen una repercusión política más que rendimiento económico, que controlaba hasta los datos del equipo encargado de responder el ataque. "Avisaron que tenían los datos de determinadas personas de varios gobiernos y cuando salimos a coger el tren, a los cinco minutos estaban dando nuestra información y ubicación en Twitter y otras redes, es decir, sabían qué estábamos haciendo", recuerda. A estos ataques elaborados durante meses se les denomina amenazas persistentes avanzadas (APT) y se enfocan en sectores gubernamental, financiero, empresarial y de telecomunicaciones, principalmente.

Ante estas situaciones de película, el perfil de estos 'SWAT' de la red —como ellos mismos se comparan—, debe ser muy técnico. "Necesito que mi equipo esté acostumbrado a trabajar en situaciones de crisis. A veces nos ha tocado ir a Nueva Jersey con el FBI, allí sí es como una película con su chubasquero del FBI y se llevan tu portátil", cuenta.

Todo el que entra a trabajar en una empresa así pasa un proceso de verificación, pues en algunos casos el ciberdelincuente trabaja como técnico de seguridad en otra empresa. "Para una persona que le gusta la tecnología, es un reto cada día", el CEO de S21 Sec que demanda más formación, "en España no estamos formando al número de profesionales de ciberseguridad que demanda esta actividad". Han empezado a contratar una mayor diversidad de profesionales, desde criminalistas hasta ingenieros de minas, "necesitamos aportar otras visiones".

Ransomware: la gran amenaza

Aunque la concienciación es cada día mayor entre la población, los correos electrónicos siguen siendo una gran arma para los cibercriminales, más ahora que cuentan con la ayuda de la IA para acelerar la preparación de las campañas y mejorar su credibilidad al phishing o vishing (por llamas telefónicas). Este es la base de un gran mapa de tipos de ataque que pueden fundirse en una misma campaña para ir contra un objetivo. 

En esta actividad, el gran monstruo es el ransomware, aquellos ataques que cifran los sistemas de la víctima para pedirle un rescate. Ahora el ransomware as a service está a la orden del día con bandas que venden su software malicioso a cambio de parte del pastel y que son los objetivos de grandes operaciones policiales como Lockbit

El nivel de profesionalización de estos crímenes informáticos se refleja en su servicio de atención a las víctimas. La dirección recibe una llamada "en un inglés perfecto y con tono supereducado que dice “oye somos los malos, pedimos estos millones de rescate, ayúdanos a salir de la situación para tu beneficio”, explica Echevarría. De una manera tranquila y dialogante, pero con una presión importante, se dirige a las víctimas en todo el proceso para recuperar sus sistemas lo antes posible.

Advierten estos profesionales de la ciberseguridad que la nube, cada vez más extendida entre las empresas es la nueva mina de oro para los ciberdelincuentes, un entorno nuevo y poco protegido donde se encuentra la esencia de las empresas.