Si las redes informáticas son el nuevo canal por el que se mueve la información y la economía mundial, también tienen sus vigilantes que se encargan de que todo el mundo pueda navegar y hacer transacciones sin problemas desde hace casi 30 años. Son los Equipos de Respuesta ante Incidentes de Seguridad Informática (en inglés CSIRT, como se les conoce en Europa, o CERT para los estadounidenses), creados por gobiernos, universidades y empresas para intentar mantener el tráfico de las redes limpio de virus, ataques de denegación de servicio, malware o spam masivo. Y los últimos virus masivos, como el Wannacry o el Petya/NotPetya los han puesto a prueba.
Los CERT son, por lo general, lugares modestos. En el esCERT-UPC, de la Universidad Politécnica de Cataluña (UPC), el más veterano de España, una espera hallar un local lleno de pantallas que muestren en directo el flujo de ataques informáticos del mundo sobre un mapamundi en la más pura estética Juegos de guerra. Pero lo que hay es un sótano con ordenadores como los de cualquier empresa, lleno de carteles con bromas informáticas y con siete personas trabajando.
Otros CERT, como el de los bancos, son en apariencia más sofisticados. Porque, en informática, la realidad es lo que desde fuera no se ve. Y en este sótano se hacen auditorías de seguridad (se intentan ver los puntos débiles de los sistemas informáticos de otros), análisis forenses (qué ha pasado y por qué) o ayuda ante incidentes de administraciones locales, universidades y pymes. Y siempre con una oreja virtual puesta en los foros de seguridad y lo que se cuece en el mundillo underground, según Medina.
Hay más de 380 CERT en todo el mundo, según la red FIRST, en la que se autocoordinan a nivel mundial e intercambian información centros creados por gobiernos, empresas como Amazon, Apple, Caixabank, BBVA, Google, Airbus, Bank of America, Paypal, Telefónica..., que se autofinancian, y organismos de investigación, que reciben fondos de gobiernos. Solo la Unión Europea destina más de 10,8 millones a reforzar la red CSIRT, que se coordina también por el foro Abuses a nivel español, en el que participan los proveedores de servicios de internet.
En España, el CERT más importante es el CNN-CERT, que depende del Centro Nacional del Inteligencia y emite los niveles de alerta en ciberseguridad. Cuando los incidentes de seguridad exigen persecución de la delincuencia, el tema deriva al European Cybercrime Center (EC3), en el que participa Europol, la organización de las policías europeas. Igual que a escala nacional, porque los vigilantes de la red denuncian pero no detienen. Y luego está ENISA, la agencia europea de seguridad informática.
La cooperación lleva a los CERT a compartir información, que fluye a través de una lista de correo restringida y con mensajes encriptados e informes ultraconfidenciales. Ante un ataque como el del ransomware Wannacry tuvieron que hacer trabajos extra. Su día a día incluye lidiar con intentos de intrusión, ataques, virus, correos con archivos fraudulentos o spam. Y avisar cuando hay algo anómalo.«Puede ser porque alguien quiera copiar artículos protegidos por copyright, intentos de entrada en servidores no autorizados, usar las máquinas para alojar porno infantil, lo que quieran..., señala Manel Rodero, técnico de esCERT-UPC. «Cada vez más gente se conecta desde otros lugares a los ordenadores de la UPC, así que eso también hay que asegurarlo», añade Antonia Gómez, responsable del área de sistemas de inLab.
Es entonces cuando hay que recopilar información sobre las entradas a las máquinas, las sondas en puntos delicados de la red, cruzar datos y analizarlos. Y para eso resulta muy valioso tener automatizados los sistemas de detección.
