INCIBE-CERT es el centro de respuesta público para los incidentes de ciberseguridad que afectan a ciudadanos y organizaciones del ámbito privado en España. Está operado por el Instituto Nacional de Ciberseguridad (INCIBE) que, a su vez,  depende de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital.

Para la gestión de incidentes de organizaciones con infraestructuras críticas o elementos estratégicos para la Seguridad Nacional, el INCIBE-CERT opera en plena coordinación con el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), del Ministerio del Interior.

Por eso, sus documentos y contenidos constituyen una referencia de gran valor para la comunidad de ciberseguridad en España, ya que suelen aportar información y datos muy relevantes. En este sentido, el pasado 23 de marzo, el Centro publicó su informe Balance de ciberseguridad 2020, donde arroja cifras muy significativas sobre la actividad de los ciberatacantes durante el pasado año en España.

Miles de afectados_

El Balance señala que el INCIBE-CERT ha gestionado 133.155 incidentes de ciberseguridad durante el año 2020, de los cuales 106.466 hacen referencia a ciudadanos y empresas y 25.499 a la Red Académica y de Investigación española. El centro también indica que documentaron  79.059 casos de ordenadores controlados por botnets (aunque matiza que la tasa de desinfección aumenta año tras año) y 19.221 vulnerabilidades, una cifra en gran aumento debido a las consecuencias de la pandemia como el auge del teletrabajo, tal y como abordamos anteriormente en el blog.

INCIBE

Sin embargo, posiblemente la cifra más destacable la constituya el número de operadores estratégicos (con infraestructuras críticas) que atendieron por incidentes de ciberseguridad: 1.190. Estos números tan altos coinciden con la tendencia observada por el CCN-CERT ya en septiembre del año pasado, cuando en su informe “Ciberamenazas y Tendenciasmencionaba entonces que se pasó de 17 incidentes en 2013 a magnitudes de miles de incidentes a partir de 2018.  Además, el centro detallaba que los sectores financiero, tributario, energético y de transporte alcanzaron conjuntamente un 50% de los incidentes totales gestionados.

Si bien estos incidentes no llegaron a causar graves daños ni interrumpir la operatividad de los sistemas, no cabe duda de que pueden suponer una amenaza muy peligrosa. De hecho, pueden poner en riesgo incluso la salud de la población, tal y como nos demostró el ciberataque a la planta de suministro de agua de Florida. Por todos estos motivos, es imprescindible que sus SOC cuenten con una estrategia de ciberseguridad muy desarrollada y proactiva y soluciones para sus operaciones de ciberseguridad avanzadas.

Anticipación y visibilidad en tiempo real_

En este contexto de ciberataques contra infraestructuras críticas al alza, los profesionales de ciberseguridad de estas organizaciones necesitan más que nunca anticiparse a los adversarios, con analítica y visibilidad en tiempo real. Así nos lo confirmó en una entrevista Carlos Manchado, CISO de la gran empresa del sector eléctrico y gasístico Naturgy: “Necesitamos contar con un servicio de Threat Hunting. Ese servicio debe contar con tecnología que cuente con capacidades adecuadas de detección y mitigación [Además] el Threat Hunter no solo vive del EDR y ha de trabajar con SIEM, los firewall y con todas las tecnologías que tengamos en nuestro alcance para identificar comportamientos. En general, cuanto menos tiempo pase en detectarlo, más nos estaremos adelantando y probablemente la respuesta y la mitigación serán más efectivas, disminuyendo así el impacto”

Cytomic Covalent cumple con todas esas características. Por un lado, incluye a Cytomic Orion, que acelera el Threat Hunting y por tanto, la respuesta a incidentes y búsqueda de amenazas malwareless, siempre en base a analítica de comportamiento a escala desde la nube. Por otro, incorpora todas las funcionalidades de Cytomic EPDR, que integra en una única solución un conjunto integral de tecnologías preventivas y de protección del endpoint. Así, los operadores de infraestructuras tendrán las capacidades adecuadas para enfrentarse a las amenazas presentes y futuras que reflejan los informes como el de INCIBE.