Cabecera Home
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Miguel Ángel Abad Arranz, Jefe de Ciberseguridad y de la Oficina de Coordinación Cibernética (OCC) del CNPIC

Mecanismos de gestión, investigación y persecución del ciberdelito en las infraestructuras críticas

El concepto de ciberseguridad ha sufrido una evolución natural durante estos últimos años como consecuencia del crecimiento tanto del uso de las tecnologías de la información y la comunicación (TIC) como de la madurez de los ciudadanos y organismos, públicos y privados, en la utilización de los dispositivos conectados al ciberespacio.

Fundamentalmente, esta evolución ha ido referida a su imbricación en las tareas cotidianas de nuestra sociedad; es decir, ha pasado de ser un elemento meramente técnico a incluir de forma más amplia, y con carácter habitual, aspectos legales, normativos y regulatorios.

Esto se ha visto reflejado a nivel europeo con la aprobación de la Estrategia de Ciberseguridad de la UE, la inclusión de la lucha contra el cibercrimen como una de las tres prioridades de la Agenda Europea de Seguridad 2015-2020, la creación del Centro Europeo contra el Cibercrimen (EC3), la publicación de la Directiva NIS, etc. Y también a nivel nacional con la aprobación de la Estrategia de Ciberseguridad Nacional, la inclusión de la ciberseguridad como ámbito de especial interés de la seguridad nacional en la Ley 36/2015, las reformas de la Ley de Enjuiciamiento Criminal y del Código Penal para incluir aspectos relacionados con la ciberdelincuencia, etc.

Esta evolución se ha visto reflejada directamente, como no podía ser de otra manera, en el crecimiento del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) y en el fomento y refuerzo de las actividades llevadas a cabo para la protección del ciberespacio en su ámbito de actuación. No en vano, la nueva denominación del centro ha venido a incluir de forma explícita la ciberseguridad como elemento imprescindible para proteger las infraestructuras estratégicas a nivel nacional e internacional. Pero de forma más amplia, ha servido para que la propia Secretaría de Estado de Seguridad haya creado la Oficina de Coordinación Cibernética (OCC), que actúa como canal específico de comunicación entre los centros de respuesta a incidentes cibernéticos (CERT, por sus siglas en inglés) nacionales de referencia y la Secretaría de Estado de Seguridad, desempeñando la coordinación técnica en materia de ciberseguridad entre dicha Secretaría y sus organismos dependientes.

En el plano de la protección de infraestructuras críticas es importante estrechar los lazos entre los operadores críticos responsables de la provisión de los servicios esenciales, las comunidades técnicas especializadas en materia de ciberseguridad, los equipos de respuesta a incidentes y las unidades de investigación de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Todo ello con objeto de fomentar un clima de confianza que garantice el intercambio de información fluida y que facilite, como objetivo primordial, el correcto desempeño de las responsabilidades y competencias que cada organismo tiene asignadas.

De este modo, la detección de un incidente podrá derivar en la activación de actuaciones técnicas y policiales con el fin de lograr una óptima resolución tanto en el restablecimiento del servicio como en la persecución del delito en los casos que correspondan. Pero, además, todo ello servirá para revisar y adaptar en su caso, y con conocimiento de causa en base a la experiencia adquirida, las medidas preventivas puestas en marcha en los ámbitos técnico y policial.

Prevención y evaluación

En el caso particular de la protección de las infraestructuras críticas, ya sabemos que a la hora de implementar aspectos relativos al fomento de la ciberseguridad debe primar la tutela del correcto aprovisionamiento de los servicios esenciales. Dicho de otro modo, y orientando este aspecto al caso particular del ciberespacio, entre las distintas tipologías de incidentes de ciberseguridad merecen especial atención aquellas que puedan provocar una pérdida de la disponibilidad.

Sin embargo, en todos los casos no es fácil dilucidar el objeto u objetivo de un incidente (o ataque) de ciberseguridad, del mismo modo que no lo es evaluar el impacto que tendrá en un determinado entorno tecnológico. Por este motivo, es fundamental contar con capacidades de prevención y evaluación de la amenaza de cara a disponer, en caso de que se materialice un incidente o ataque, de la mayor información posible que permita actuar de forma eficiente y acorde a las circunstancias.

Desde el CNPIC, estas capacidades de prevención y evaluación de la amenaza se llevan a cabo, fundamentalmente, a través de los siguientes mecanismos:

  •  Mesa de coordinación de ciberseguridad. En el marco del Plan Nacional de Protección de Infraestructuras Críticas (PNPIC), aprobado en febrero de 2016, se ha habilitado la creación de una mesa de coordinación especializada en asuntos de ciberseguridad que integra a un representante de cada uno de los sectores estratégicos definidos en la Ley 8/2011. La mesa de coordinación tiene por objeto servir de canalizador de aquellas informaciones que el CNPIC requiera trasladar, con carácter general, a los operadores críticos. Pero también es de gran utilidad para que estos puedan comunicar sus inquietudes o propuestas de actuación al propio CNPIC. Es habitual que en las distintas convocatorias de la mesa de coordinación se traten aspectos relativos a amenazas provenientes del ciberespacio que puedan afectar al entorno de los operadores críticos.
  •  Contactos de tipo técnico-operacional con los operadores críticos. Con carácter complementario al desarrollo de la mesa de coordinación anterior, existe una red de contactos de tipo técnico con los operadores que garantiza un intercambio fluido de información, en este caso de tipo técnico con carácter general. De este modo, se establecen tres niveles para acometer estos intercambios en función del tipo de información de que se trate. En un primer nivel estaría el personal técnico de los operadores críticos encargados de la resolución de incidentes de ciberseguridad catalogados como “habituales”; en el segundo nivel aparecería el personal implicado en la gestión de incidentes más complejos o extraordinarios; y, por último, se establece un nivel “técnico-estratégico” para tratar información que requiere, hasta cierto punto, una toma de decisiones en la organización afectada o para engarzar con la mesa de coordinación de ciberseguridad. Así, esta red de contactos facilita que la gestión de un incidente pueda repercutir en acciones de tipo estratégico cuando sea necesario.
  •  Relaciones operativas e intercambio de información con los CERT nacionales. El CNPIC, a través de la OCC, mantiene activos canales de información con los principales CERT nacionales: el CERTSI y el CCN-CERT. En el caso particular del primero, de hecho la operación es conjunta en lo referente a aquellos incidentes que recaigan en el ámbito de la protección de las infraestructuras críticas. En cualquiera de los casos, estos CERT proveen información que puede llegar a ser de interés para un mejor conocimiento y establecimiento del nivel de la amenaza en materia de ciberseguridad.
  •  Intercambio de información con las FCSE. Las FCSE tienen habilitados sendos puntos de contacto con la OCC para canalizar tanto el intercambio de información como la asignación de enlaces encargados de la recepción y gestión de denuncias relacionadas con incidentes o ataques de ciberseguridad a infraestructuras críticas. De esta manera, se dispone de un mecanismo a través del cual un incidente o ataque de ciberseguridad puede derivar en la iniciación de actividades de investigación policial relacionadas con la lucha contra la ciberdelincuencia y el ciberterrorismo.

 Respuesta a incidentes

Tal y como ya se ha mencionado, determinar el origen de una amenaza, precisar la atribución de un incidente o de un ataque o definir el impacto de los mismos en un determinado entorno tecnológico no son tareas sencillas. No obstante, disponer de la mayor cantidad de información a nivel preventivo permitirá precisar, de forma más factible, las acciones a llevar a cabo en las fases de detección y respuesta.

De esta manera, a través de los mecanismos expuestos anteriormente, y explotando las competencias de la OCC, es sencillo conectar y sacar el máximo provecho de la evaluación de la amenaza y de las labores de tipo preventivo para mejorar y ganar eficiencia en la respuesta a incidentes de ciberseguridad que materializan los CERT.

Pero lo que es más importante en el caso que nos ocupa: los propios CERT pueden brindar información de gran interés de cara a aportar pruebas en el proceso de investigación policial en caso de que un incidente o ataque de ciberseguridad pueda estar presuntamente relacionado con actividades ciberdelincuenciales o ciberterroristas. De este modo, las recomendaciones que puedan hacer los CERT en lo referente a la custodia de dispositivos, almacenamiento de logs, gestión de información, etc., son fundamentales para garantizar que se cuenta con toda la información necesaria.

En definitiva, se trata de que bajo la supervisión de la OCC, cuando sea necesario, los operadores críticos aporten la información oportuna a la hora de tramitar su denuncia a las FCSE, sin perjuicio de que se acometan las acciones de tipo técnico necesarias para la restauración del servicio afectado.

Para todo ello, sin embargo, es necesario fomentar unos niveles de concienciación suficientes en el ámbito de los propios operadores críticos, de modo que estas actuaciones se lleven a cabo de forma natural, integrándolas en los procedimientos internos de sus organizaciones. En particular, es esencial que los operadores críticos perciban a las FCSE como una herramienta fundamental en la mejora de la ciberseguridad, en tanto en cuanto sus actividades podrán repercutir directamente en las labores de evaluación de la amenaza a futuro.

El papel de la OCC

Como habrán deducido, en todas las actividades mencionadas la OCC juega un papel fundamental como eje sobre el que giran las actividades que derivan de un plano técnico a uno estratégico o policial y viceversa. No en vano, la OCC es el órgano técnico de coordinación del Ministerio del Interior en materia de ciberseguridad, ejerciendo como canal de comunicación con los CERT nacionales y como coordinador técnico en materia de ciberseguridad con las FCSE.

Lejos de solapar las competencias y responsabilidades de estos órganos de tipo técnico y policial, la misión de la OCC es la de potenciar las capacidades de cada uno de ellos en sus ámbitos de actuación para, finalmente, asesorar al Secretario de Estado de Seguridad, aportando la información estratégica y técnica necesaria que facilite su proceso de toma de decisiones en materia de ciberseguridad.

En el caso particular de la protección de las infraestructuras críticas, la OCC dispone de mecanismos de comunicación y cooperación que el CERTSI y el CCN-CERT aplican a los operadores críticos de los sectores privado y público, respectivamente. En el caso de las FCSE, la OCC ejerce una natural comunicación y cooperación en el trasvase de información de interés para ambas partes que redundará en un mejor conocimiento del estado de situación en materia de ciberdelincuencia y ciberterrorismo, por una parte, y en una mejora en la eficiencia en las labores de investigación policial, por otra.

Por lo que respecta al ámbito internacional, cabe destacar que la OCC es, además, el punto de contacto nacional de coordinación operativa para el intercambio de información con la Comisión Europea y los Estados miembros, en el marco de lo establecido por la Directiva 2013/40/UE, de 12 de agosto, relativa a los ataques contra los sistemas de información.

Para leer el artículo completo accede a este enlace

Volver