¿Cómo están viviendo estos días desde la organización?
Ante las circunstancias generadas por la pandemia del COVID-19, el CCN-CERT, del Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia, CNI, ha reforzado todas sus capacidades para la defensa del ciberespacio español y, en especial, de su sector público y de los sectores estratégicos, con prioridad absoluta en el de la salud.
Su Equipo de Respuesta a Incidentes está a pleno rendimiento, brindando apoyo y colaboración a todas las organizaciones ante cualquier emergencia que puedan sufrir. Todo ello, con el firme propósito de mantener su papel como centro de alerta y respuesta nacional que coopera y ayuda a responder de forma rápida y eficiente a los ciberataques, incluyendo la coordinación a nivel público estatal de los distintos CERT/CSIRT.
¿Para teletrabajar es suficiente con disponer de un equipo y la conexión a Internet que tenemos en nuestras casas?
No, no es suficiente. Para teletrabajar de forma segura es preciso disponer de soluciones de ciberseguridad y de políticas de seguridad que establezcan las pautas para hacer una correcta configuración y un buen empleo de los accesos remotos, del correo electrónico, de las videoconferencias y reuniones virtuales, de la vigilancia. También resulta imprescindible tener en cuenta las recomendaciones genéricas de seguridad y las medidas de prevención de incidentes, entre las que destacan la realización de auditorías, la monitorización de la infraestructura de teletrabajo o la implementación del doble factor de autenticación a los usuarios que realizan el teletrabajo.
¿Está preparada la AAPP para que los empleados públicos trabajen desde casa de manera segura?
Numerosas organizaciones, públicas y privadas, han tenido que implantar en un tiempo muy reducido soluciones de teletrabajo que abarcan un gran número de aspectos: dispositivos corporativos, conexión a internet, aplicaciones de chat y/o mensajería, videoconferencia, acceso remoto a la red y sistemas de la organización, etc. Todo ello, sin contar con las medidas de seguridad habituales dentro del dominio de la organización y que, en un tiempo récord, han tenido que trasladar para seguir protegiendo la información.
Desde el Centro Criptológico Nacional se han llevado a cabo varias iniciativas para implantar un teletrabajo seguro y para proporcionar al sector público una serie de soluciones que permitan implementar de forma ágil el acceso remoto a los recursos de una organización, minimizando el impacto en los recursos de las tecnologías de la información y optimizando el tiempo para su puesta en producción.
Del mismo modo, conscientes de la vulnerabilidad que puede llegar a representar la generalización del teletrabajo, el CCN-CERT ha publicado un Informe de Buenas Prácticas bajo el título de: CCN-CERT BP/18 Recomendaciones de Seguridad para situaciones de teletrabajo y refuerzo en vigilancia en el que se recoge una serie de pautas que permitan garantizar la seguridad de todas las herramientas y soluciones utilizadas en el teletrabajo y, de este modo, seguir manteniendo la confidencialidad, integridad y disponibilidad de la información, como si se estuviese en la oficina. Una responsabilidad de todos, tanto de los administradores de las redes y sistemas, como del propio trabajador.
¿Qué medidas están tomando para asegurar los sistemas informáticos y las infraestructuras?
En línea con lo indicado en anteriores preguntas, el CCN-CERT está reforzando todas sus capacidades para la defensa del ciberespacio español. Actualmente, se está brindando apoyo a todas las organizaciones ante cualquier emergencia que pueden sufrir y se está llevando a cabo una campaña de sensibilización y concienciación en materia de ciberseguridad para garantizar la seguridad de los sectores público y estratégico.
También se están realizando diversas acciones de prevención, como se ha destacado con anterioridad, a través de la publicación de informes con recomendaciones de seguridad para situaciones de teletrabajo.
Además, para asegurar los sistemas informáticos y las infraestructuras este organismo ha recopilado en tres listas negras los indicadores que permiten la detección y bloqueo de muchas de estas campañas: listas de direcciones IP, dominios y hashes de las muestras empleadas. Estas listas se irán actualizando periódicamente. Se pueden descargar dichas listas en el siguiente enlace: http://ccn-cert.net/cibercovid19.
Del mismo modo, el CCN-CERT, ha puesto a disposición de su Comunidad la descarga automatizada, a través de REYES, de los Indicadores de Compromiso de las listas negras publicadas y vinculadas a las distintas campañas de malware que emplean temáticas relacionadas con la pandemia COVID-19.
Las listas negras están disponibles en la página web de REYES, de forma que los usuarios pueden descargarse, desde dicha página o utilizando el API de REYES, los últimos indicadores de compromiso. Esto permitirá a todos los usuarios automatizar el proceso de descarga y despliegue de los IOC en su perímetro.
El CCN-CERT continúa recopilando de forma proactiva en estas listas los indicadores que permiten la detección y bloqueo de muchas de estas campañas: listas de direcciones IP, dominios y hashes de las muestras empleadas, que se irán actualizando periódicamente.
¿Cuáles son los fallos más frecuentes que comenten los teletrabajadores públicos?
El error más recurrente es pensar que, por trabajar en casa, el usuario se encuentra más ciberseguro. Es importante resaltar que para realizar el teletrabajo se deben tomar las mismas precauciones que en la oficina. Es impresionable seguir las recomendaciones y pautas de ciberseguridad que cada organización establezca para garantizar la seguridad de los sistemas.
Desde que empezó todo esto ¿qué técnicas son las más frecuentes utilizadas por los ciberdelincuentes?
El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional (CCN-CERT) ha detectado numerosas campañas de phishing y malware que emplean temáticas relacionadas con la pandemia del Coronavirus/COVID-19 para infectar a individuos y organizaciones de todo el mundo. Ello se ha visto reflejado en los datos de incidentes del mes de marzo, que muestran que los incidentes de phishing en organismos públicos han aumentado un 70% con respecto al mes anterior.
En estos momentos, existen registrados más de 24.000 dominios en Internet que contienen los términos: “coronavirus”, “corona-virus”, “covid19” y “covid-19”. De ellos, más de la mitad, 16.000, han sido creados en este mes de marzo (10.000 en la última semana). Algunos de ellos tienen fines legítimos y otros están dedicados a realizar campañas de spam, spear-phishing o como servidores de mando y control.
También se ha detectado que algunos troyanos como Trickbot y Emotet han evolucionado sus tácticas, técnicas y procedimientos (TTP) para evadir la detección, utilizando las noticias relacionadas con el coronavirus.
Para prevenir la infección durante estas campañas, el CCN-CERT recopila en tres listas negras los indicadores que permiten la detección y bloqueo de muchas de estas campañas: listas de direcciones IP, dominios y hashes de las muestras empleadas. Estas listas se irán actualizando periódicamente. Se pueden descargar dichas listas en el siguiente enlace: http://ccn-cert.net/cibercovid19
¿Están colaborando con ustedes proveedores tecnológicos ¿de qué manera?
El Centro Criptológico Nacional ha fomentado e impulsado la colaboración público-privada con su iniciativa recogida en la guía de Buenas Prácticas BP/18 Recomendaciones de seguridad ante situaciones de teletrabajo y refuerzo en vigilancia.
En este documento se detalla la coordinación llevada a cabo por este Organismo para facilitar, de manera altruista por parte de las empresas del sector, aquellos servicios y soluciones de ciberseguridad imprescindibles para garantizar la seguridad del sector público ante la situación generada por la pandemia del coronavirus.
Las empresas que han participado en esta iniciativa, de momento, son: CISCO, Citrix/Sidertia, CSA, Entelgy Innotec Security, Open Cloud, ESET, Fortinet, ICA Sistemas y Seguridad, Ingenia, McAfee, Microsoft, Mnemo, Panda-Cytomic, S2 Grupo y Sophos. A estas empresas se le unieron dos días después CIES, Extreme Networks, Nunsys, Mr. Looquer, Palo Alto Grupo, S21Sec y Telefónica.