Seguritecnia 387

24 SEGURITECNIA Junio 2012 Actualidad Internet. Uno de los trabajadores – el es- labón más débil en Seguridad, que lleva a que la acometida llegue hasta el ‘cora- zón’ de los sistemas críticos – se encarga de abrir el enlace, que explota la vulnera- bilidad ‘Aurora’, con lo que el delincuente utiliza el equipo infectado como pasarela para comprometer desde dentro al resto de los equipos de la red corporativa. Para lograr todo ello, entre otras cosas el agresor deshabilita el antivirus, vuelca los hashes del sistema, obtiene los nom- bres de usuario y contraseñas, escanea las máquinas de la red local, donde con- sigue hacer login con las credenciales robadas (técnica pass-the hash ) en un servidor de ficheros. En dicho servidor se encuentra almacenado un archivo con información sensible sobre la topo- logía de la red SCADA de la central, de la que consigue también escalar privi- legios y llegar a ella para paralizar el sis- tema de cierre y apertura de entrada de, en este caso, el sumistro de gas. Conclusiones positivas La excelente organización por parte de Isdefe, junto con el trabajo de revisión permanente del CNPIC, así como el gran interés de los 18 operadores, hizo posi- ble llegar a conclusiones positivas de este primer ciberejercicio español, las cuales fueron ofrecidas el 8 de mayo. “El grado de implicación de todos es el que ha permitido que estas jornadas ha- yan sido un éxito”, afirmó Diego Pérez de los Cobos, director del Gabinete de Co- ordinación y Estudios de la Secretaría de Estado de Seguridad. El portavoz del Mi- nisterio del Interior destacó que la pro- tección de este tipo de infraestructuras y servicios es una “postura estratégica en estados avanzados”, tal y como también lo ha expuesto el propio ministro en dis- tintas apariciones públicas, y que “la im- portancia de contar con la participación de operadores privados permite un en- granaje mucho más elaborado” frente a la protección nacional. Algunos de los datos que se despren- den tras estas jornadas son que, a nivel general, se ha cumplido con el objetivo principal de las mismas, una idea apo- yada por el 75 por ciento de los partici- pantes que piensa que “en gran parte” y por el ocho por ciento que opina que “totalmente”. Respecto a la evaluación del primer día, el 66 por ciento indica que se han cumplido objetivos en relación con las prácticas sobre procesos de gestión de incidentes de seguridad. Y el cien por cien, en la concienciación sobre las nue- vas amenazas y su impacto en las IC, así como en la presentación de tecnologías y herramientas de apoyo. Del segundo día, la valoración coin- cide en un cien por cien cuando se ha- bla de dar a conocer el análisis de ries- gos, su utilidad y su aplicación práctica; y si bien, se ha conseguido dar a cono- cer la familiarización con el proceso de análisis y la gestión del riesgo, un 25 por ciento de los participantes no han obte- nido un beneficio de su uso. La organización recibió elogios de los participantes por la arquitectura desa- rrollada, el formato de impartición de las mismas y de compartición de infor- mación mediante un portal web wiki; en definitiva, por el escenario real, plas- mado en un entorno virtual. Nuevo concepto de Seguridad Pérez de los Cobos también comentó que tenemos que entender y asumir el “nuevo concepto de Seguridad” – refirién- dose a la Seguridad Integral – , que deja de lado el tipo de defensa de ataque, sea física o lógica. Por otra parte, resaltó que, en IC, la in- terconexión es un aspecto clave en to- dos los sentidos, por ello los ejercicios y simulacros son imprescindibles para es- tar preparados: “Ambos elementos se han visto reflejados en este ciberejerci- cio y esto apunta a una mejora en el ni- vel de concienciación e incluso en los procedimientos habituales”. La organización aclaró en todo mo- mento que este tipo de pruebas se rea- lizan para fomentar la colaboración y nunca para examinar a nadie. El impulso de la formación y la cola- boración se recoge en las Estrategias Nacionales de Ciberseguridad de los países avanzados en esta área, como Es- tados Unidos y su Plan Nacional de PIC, en el que se hace énfasis en la realiza- ción de ejercicios de entrenamiento y coordinación; o desde la Unión Europea, por instituciones como la Agencia Euro- pea de Seguridad de las Redes y de la Información (ENISA). S De izqda. a dcha., Jorge Hurtado, Jorge Esquinas, David López, Óscar Pastor, Ana Borredá -directora general de Borrmart y directora de Seguritecnia -, Pablo Andreu y Abel Lozoya – parte del equipo de Isdefe – y Jesús Andrés Gallego – del CNPIC – .