Un equipo de respuesta a emergencias informáticas para América

La vertiginosa transformación digital de las organizaciones sigue siendo blanco de ciberdelicuentes. En respuesta, Sisap (Sistemas Aplicativos) creó el Cert (Computer Emergency Response Team/Equipo de respuesta a emergencias informáticas) con el objetivo de proveer servicios de seguridad integral gestionada para el continente americano.

Según un informe de Chainalysis (2023), las víctimas de ransomware pagaron al menos $456,8 millones en 2022 a los atacantes por el rescate de información, mientras que el año anterior la suma fue de $765,6 millones. Chainalysis advierte que “los totales reales son mucho más altos, ya que hay direcciones de criptomonedas controladas por atacantes de ransomware que aún no se han identificado ni se han incorporado a nuestros datos”.

Pese a las buenas noticias en cuanto a la lucha contra el ransomware o secuestro de datos, el ciberataque más frecuente, “las estadísticas indican que hay crecimiento en la formación de grupos organizados que realizan ataques de ransomware en el mundo”, señala José Amado, Cybersecurity Outsourcing director de Sisap.

“Una infiltración es un acceso no autorizado a un sistema, aplicación o datos, en donde un usuario no autorizado logra este acceso con la intención de causar algún daño”, añade el especialista.

Explica que el 40% de las infiltraciones a las organizaciones ocurre a través de software para compartir pantalla, el 35% de los ataques utilizan el correo electrónico, el 17% ocurre al instalar aplicaciones web y el 7% a través de instalación directa.

En una moderna infraestructura tecnológica labora parte del equipo del Cert de Sisap, en Guatemala. Para entrar al lugar, las medidas de seguridad son minuciosas. Tras dejar afuera custodiados, celulares, tablets, cámara fotográficas, ingresas al lugar. Enormes pantallas al frente muestran parte de la labor.

El Cert de Sisap está afiliado y autorizado por la Universidad de Carnegie Mellon, además de estar afiliado con otros Certs comprometidos con la seguridad de la información y el tratamiento de incidentes.

El papel del Cert en la estrategia de ciberseguridad de las organizaciones se desarrolla a través de una iniciativa de mejora continua, proveyendo monitorización, atención, inteligencia y respuesta coordinada para los eventos e incidentes de seguridad de la información, en la búsqueda de minimizar el impacto de futuros incidentes, explican sus directivos.

Lo componen tres departamentos: Centro de operaciones de seguridad de próxima generación (NxSOC, por sus siglas en inglés), Servicios de inteligencia de ciberamenazas y Análisis forense digital y respuestas a incidentes. Coordinados, el equipo de directivos detalla la función de cada departamento.

El centro de operaciones de seguridad de próxima generación está enfocado en la detección y respuesta a los eventos de seguridad de la información con métodos modernos y escalables, integrando el conocimiento sobre amenazas desde el departamento de inteligencia de amenazas cibernéticas, priorizando la clasificación adecuada y una respuesta eficaz ante incidentes.

El equipo de especialistas del NxSOC se apoya a través de la automatización y de tecnologías como el aprendizaje de máquina (Machine Learning) e inteligencia artificial, para defender con metodologías state of the art comprobadas por la industria, los tres pilares de la seguridad de la información: la confidencialidad, integridad y disponibilidad.

El propósito de este grupo de especialistas es proteger a las organizaciones y a las personas mientras se desenvuelven constantemente en la nueva sociedad digital para comunicarse, para hacer negocios, para sostener la vida diaria. Esto se logra a través de la identificación de eventos de seguridad, contextualizando aquellos que pueden ser el resultado de una explotación a una vulnerabilidad o debilidad en el sistema de seguridad.

La metodología de análisis y reportes basados en Playbooks previamente establecidos de Sisap, les permite determinar si un evento de seguridad es o no un incidente real. El tipo de incidente de seguridad se basa en la naturaleza del evento.

Para esto se sustentan en herramientas para la gestión de la información de inteligencia y de detección o identificación avanzada, lo cual les brinda información histórica del Indicador de Compromiso (IoC) y el impacto que este ha causado en los activos de seguridad bajo monitoreo, respectivamente.

La ejecución de los Playbooks es orquestada por el equipo de Tecnología de orquestación, automatización y respuesta de seguridad (Soar).

El Cert permite que un componente humano capaz de tomar decisiones, soportado por entrenamiento y experiencia, entre en juego cuando es necesario después de las actividades de automatización. A través del equipo de Seguridad Gestionada (Managed Security Services MSS) apoyan en la contención de un incidente de seguridad.

El objetivo es limitar el impacto que una amenaza puede realizar en los datos, sistemas y servicios de los clientes, todo bajo el mando del centro de comando de incidentes que el equipo forense digital y respuesta a incidentes (DFIR) articula para los procedimientos necesarios.

La arquitectura de operaciones de seguridad en el Cert integra los procesos y funciones de inteligencia de ciberamenazas que el equipo de expertos utiliza para recolectar y analizar las tendencias de ataques, sus actores y las amenazas globales, y que los habilitan a calcular el riesgo al que se exponen las organizaciones.

La información de eventos de seguridad que el Cert observa en la comunidad, incluyendo contexto regional y global, es desinfectada y procesada para generar indicadores de compromiso (IoCs), que son las huellas de los ataques, y que luego son compartidos con nuestros clientes y socios para mejorar su postura de seguridad.

El departamento de Análisis forense digital y respuestas a incidentes forma parte del modelo por capas en la arquitectura del Cert. Este equipo de profesionales es el principal actor cuando un incidente de seguridad de alto impacto se materializa. Estos especialistas multidisciplinarios en la seguridad son necesarios para identificar, contender, erradicar y recuperar los activos digitales de una organización afectada, desde un centro de comando de incidentes.

Dependiendo del Incidente a tratar, se ensambla el equipo de respuesta a incidentes, asignando ingenieros con las destrezas necesarias para el tipo de incidente.