Ciberseguridad

Dr. Enrique Belda Esplugues SUBDIRECTOR GENERAL DE SISTEMAS DE INFORMACIÓN Y COMUNICACIONES PARA LA SEGURIDAD

MINISTERIO DEL INTERIOR

11 de julio de 2019

2

CIBERSEGURIDAD

CONCEPTOS GENERALES

CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES

MODUS OPERANDI DE UN CIBERATAQUE

MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR

DECÁLOGO PARA PYMES

3

CIBERSEGURIDAD

La seguridad es un estado de ánimo, una sensación, una cualidad intangible. Se puede entender como un objetivo y un fin que el hombre anhela constantemente como una necesidad primaria.

Seguridad

Seguridad de la información La Seguridad de la Información se define como un conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad tanto de su información como la de los sistemas que la contienen.

4

CIBERSEGURIDAD

Ciberseguridad

Ciudadanía

Empresas

Estado

Cuando se habla de seguridad informática se tiende generalmente a pensar en una cuestión técnica cuya responsabilidad recae únicamente en los responsables informáticos.

La seguridad informática es una cuestión que afecta a toda la sociedad en su conjunto. Y por ello es importante adquirir los conocimientos esenciales en materia de Ciberseguridad.

Ámbito

5

CIBERSEGURIDAD

CONCEPTOS GENERALES

CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES

MODUS OPERANDI DE UN CIBERATAQUE

MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR

DECÁLOGO PARA PYMES

6

CIBERSEGURIDAD

– Información

Activos que da valor al negocio

– Infraestructura TIC

Activo que soporta el negocio

Activos a proteger

7

CIBERSEGURIDAD

– Pérdida de datos

– Robo de información

– Sensible

– Confidencial

– Estratégica

– Divulgación de los datos

de clientes

Etc…

El acceso no autorizado a través de un ciberataque a una red informática o a los equipos que engloba dentro de una organización puede ocasionar graves problemas para la empresa afectada.

Qué se expone

8

CIBERSEGURIDAD

Pueden ocasionar pérdidas

• Económicas

• Credibilidad

Dejar de cumplir con requisitos legales, especialmente los relacionados con el GRPD (Reglamento Europeo de Protección de Datos)

Consecuencias

9

CIBERSEGURIDAD

En un entorno empresarial, se establece lo que se conoce como Seguridad Perimetral.

Su objetivo es proteger el acceso a nuestra red de confianza (intranet) desde el exterior

(Internet) o evitar la fuga de información desde el interior.

Seguridad perimetral

10

CIBERSEGURIDAD

Entre los elementos utilizados, los más empleados son:

• Cortafuegos: mediante la aplicación de reglas establecen una barrera entre la red

interna y la red externa.

• IDS o Sistema de Detección de intrusos: para detectar tráfico no deseado.

• Sistemas Antivirus, Anti Spyware, Anti Malware: para detectar cualquier tipo de

software malicioso.

• Sistemas de Autenticación y control de acceso: Para identificar, autenticar a las

personas autorizadas.

Seguridad perimetral

11

CIBERSEGURIDAD

La seguridad perimetral se complementa con la aplicación de la seguridad en profundidad

añadiendo varias capas de seguridad que dificulten la materialización de una amenaza.

Seguridad en profundidad

12

CIBERSEGURIDAD

“Vulnerabilidad” debilidad asociada a un error en el diseño de una aplicación.

Por ello un primer requisito de seguridad es mantener las aplicaciones y el Sistema Operativo sobre el que se instalan actualizado frente a los problemas de seguridad que son detectados (vulnerabilidades) y posteriormente corregidos (actualizaciones de seguridad).

Estas actualizaciones de seguridad son comunicadas por los fabricantes y enviadas periódicamente a los dispositivos, siempre y cuando esté activada esta directiva.

Actualizaciones Seguridad en profundidad

13

CIBERSEGURIDAD

Tener una copia de seguridad de nuestros archivos no va a evitar que podamos tener un problema en nuestros equipos, pero evitará en gran medida uno de los incidentes de seguridad más habituales, perder nuestra información. Una copia de seguridad, (“backup”) se define como una copia de los datos originales con el fin de disponer de un medio para recuperarlos en caso de su pérdida. Nos permitirá recuperar más tarde archivos que pueden haberse borrado accidentalmente, haber sido corrompidos o infectados por cualquier malware. El proceso de copia de seguridad se complementa con otro conocido como restauración de los datos (“restore”), que es la acción de recuperar los datos requeridos.

Copias de seguridad Seguridad en profundidad

14

CIBERSEGURIDAD

La gestión de contraseñas robustas es un aspecto fundamental para la seguridad en el control de acceso a nuestros dispositivos o aplicaciones. Si tan solo tuviéramos que recordar un par de contraseñas en nuestra actividad diaria, no resultaría demasiado complicado seleccionar la contraseña con los requisitos de seguridad más exigentes como:

• Longitud mínima de 8 caracteres.

• Formada por letras, mayúsculas, minúsculas, números y caracteres especiales.

• No forma parte de ningún diccionario de ningún idioma.

• Contraseñas diferentes para cada dispositivo o aplicación.

• Cambiar la contraseña cada cierto periodo de tiempo.

• Nunca escribir una contraseña en ningún lugar.

Gestión de las contraseñas Seguridad en profundidad

15

CIBERSEGURIDAD

CONCEPTOS GENERALES

CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES

MODUS OPERANDI DE UN CIBERATAQUE

MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR

DECÁLOGO PARA PYMES

16

CIBERSEGURIDAD

Modus Operandi

Ciberataque

Faso 1 Reconocimiento

Fase 2 Exploración

Fase 3 Obtener Acceso

Fase 4 Mantener Acceso

Fase 5 Borrar huellas

17

CIBERSEGURIDAD

• Técnicas Pasivas: no se interacciona directamente

con los sistemas atacados (Ingeniería social, etc.)

• Técnicas Activas: Se obtiene información directamente de los sistemas atacados (con herramientas como FOCA, Maltego, etc.)

Recolección de información estratégica acerca del objetivo fijado (información del objetivo en redes sociales, revelación de información sobre la infraestructura tecnológica, personal, nombres de usuarios, direcciones de correo, etc.).

Fase 1: Reconocimiento

18

CIBERSEGURIDAD

Se realiza antes de lanzar un ataque al objetivo. Se utiliza la información obtenida en la fase de reconocimiento tratando de identificar vulnerabilidades para ser explotadas.

Fase 2: Exploración

19

CIBERSEGURIDAD

Intrusión inicial en la red. En esta fase el atacante explota las vulnerabilidades encontradas en la fase de exploración, haciendo uso de una o varias técnicas de ataque: • Ingeniería social (a través de correos personalizados/dirigidos al

personal de la empresa/organismo objetivo. • Envíos de mensajes fraudulentos vía redes sociales como

Facebook o Twitter que contengan algún enlace malicioso • Mensajería instantánea, etc. • DNS Spoofing • Ataques Man in the Middle • Pen drive infectado • exploits que aprovechan vulnerabilidades conocidas (o no), • Ataques web, etc.

Fase 3: Obtener acceso

20

CIBERSEGURIDAD

Una vez ganado el acceso al sistema atacado, el atacante buscará mantener ese acceso. Podrá usar el sistema atacado como plataforma de lanzamiento de nuevos ataques hacia otros sistemas, escalando privilegios o alcanzando los objetivos que le interesan dentro de la red atacada.

Buscará información sensible dentro de la red objetivo, credenciales de usuarios, escalado de privilegios, unidades mapeadas, etc.

Fase 4: Mantener acceso

21

CIBERSEGURIDAD

En esta fase el atacante tratará de destruir toda evidencia de sus actividades tratando con ello de seguir manteniendo el acceso al sistema informático comprometido sin ser descubierto.

Fase 5: Borrar huellas

22

CIBERSEGURIDAD

El atacante envía un correo spam

Consigue evitar el filtro antispam de la

víctima

El correo llega a la bandeja de entrada

El usuario pincha en el enlace malicioso

El antivirus no consigue detectarlo

El ransomware se ejecuta y elimina las

Shadow Copies (“instantáneas”)

Se propaga en el sistema a través de

PowerShell

Realiza modificaciones en el registro (persistencia)

Se comunica con el C&C a la espera de

instrucciones

Comienza el cifrado de ficheros y envía la

clave de cifrado al C&C

Se muestra un mensaje con las instrucciones de

rescate

Intenta infectar a toda la organización (movimientos

laterales)

FASE 1 FASE 2 FASE 3

Secuencia de un ataque por ransomware

23

CIBERSEGURIDAD

Aspecto de nuestros ficheros

24

CIBERSEGURIDAD

Solicitud del rescate

25

CIBERSEGURIDAD

CONCEPTOS GENERALES

CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES

MODUS OPERANDI DE UN CIBERATAQUE

MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR

DECÁLOGO PARA PYMES

26

CIBERSEGURIDAD

LIDERAZGO

Ministerio del Interior

27

CIBERSEGURIDAD

Actor Principal en

Ciberseguridad

Competencia

•Seguridad Ciudadana

•Orden Público

•Protección de personas y bienes

Capacidad

•Unidades de FFCCSE altamente especializadas

•Dentro de CNPIC Oficina de Coordinación Cibernética

•SGSCIS departamento tecnológico de referencia de la

Secretaría de Estado

Posicionamiento

El Ministerio del Interior es percibido por la sociedad como el garante de sus derechos y libertades

Ministerio del Interior

28

CIBERSEGURIDAD

OBJETIVOS

Acceso y gestión correcta de la información disponible en el ciberespacio

Fomentar la formación y capacitación

Establecer procedimientos armonizados de actuación

Optimizar el uso y disposición de herramientas específicas

Promover la cultura de ciberseguridad entre la ciudadanía y la empresa

Impulsar medidas que faciliten la coordinación y colaboración nacional e internacional

Proteger los sistemas de información y telecomunicaciones utilizados por el Ministerio del Interior

Plan Director de Ciberseguridad

29

CIBERSEGURIDAD

Nivel Central

CNPIC

SGSICS

CITCO

Nivel FFCCSE

D.G. POLICIA

D.G. GUARDIA CIVIL

Otras Organizaciones

Organización y coordinación

30

CIBERSEGURIDAD

Asesoramiento al Secretario de Estado

Punto de contacto nacional coordinación operativa CE directiva 2013/40/UE

Punto de contacto con Operadores Críticos

Canal comunicación entre los CSIRT

Coordinación Técnica en materia de ciberseguridad entre SES y FFCCSE

A través de la OCC

CNPIC

Nivel Central

31

CIBERSEGURIDAD

Planificación, coordinación y gestión de inversiones

Estandarización y homogeneización

Propuesta al SES de planes y programas, coordinarlos, supervisar su ejecución, evaluarlos y analizar sus costes

Implantación programas y proyectos de utilización conjunta o compartida derivada de Fondos Europeos u Organismos Internacionales

Coordinación, desarrollo e implantación de bases de datos, sistemas de

información y sistemas de comunicaciones de utilización conjunta o compartida por FFCCSE

SGSICS

Nivel Central

32

CIBERSEGURIDAD

Recepción, integración y análisis de la información estratégica disponible en la lucha contra todo tipo de delincuencia organizada y grave ejecutada por medios cibernéticos

Establecimiento de criterios de actuación y coordinación operativa de los órganos u organismos actuantes en los supuestos de concurrencia en las investigaciones

CITCO

Nivel Central

33

CIBERSEGURIDAD

SES • CNPIC

• SGSICS

• CITCO

FFCCSE • Policía Nacional

• Guardia Civil

La labor de coordinación, y el intercambio de la información que haga posible dicha coordinación, no podrá interferir el curso de las investigaciones policiales

Nivel Fuerzas y Cuerpos de Seguridad del Estado

34

CIBERSEGURIDAD

CNPIC • Aspectos técnicos relacionados con la ciberseguridad

• Notificación de incidentes que presenten caracteres de delito

SGSICS • Adquisición y provisión de medios técnicos

• Programas y proyectos relacionados con los sistemas de información y comunicaciones en el ámbito de la seguridad

CITCO

• Coordinación operativa cibercriminalidad en los supuestos de concurrencia de investigaciones

• Sin perjuicio de las competencias que ejerza la Fiscalía Especializada en Criminalidad Informática

Nivel Fuerzas y Cuerpos de Seguridad del Estado Coordinación entre la SES, DGP y DGGC

35

CIBERSEGURIDAD

Otros Organismos

Equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT) de referencia

Centros de respuesta operativa (SOC) de los operadores críticos

Comisión Europea y los Estados miembros contacto nacional de coordinación operativa para el intercambio de Información

Departamento de Seguridad Nacional, en lo relativo a procedimientos de gestión de crisis de ciberseguridad

Instituto de Ciberseguridad de España (INCIBE) y el INCIBE-CERT, en lo referente a las actuaciones en el ámbito de la protección de las infraestructuras críticas y de los servicios esenciales proporcionados por el sector privado

Centro Criptológico Nacional (CCN) y el CCN-CERT, en lo referente a las actuaciones en el ámbito de la protección de las infraestructuras críticas y de los servicios esenciales proporcionados por el sector público

Mando conjunto de Ciberdefensa (MCCD), dependiente del Estado Mayor Conjunto del Ministerio de Defensa, en lo relativo a las actuaciones hostiles hacia los intereses nacionales con origen en el exterior, o acciones híbridas

36

CIBERSEGURIDAD

CONCEPTOS GENERALES

CIBERSEGURIDAD EN ENTORNOS EMPRESARIALES

MODUS OPERANDI DE UN CIBERATAQUE

MODELO DE CIBERSEGURIDAD EN EL MINISTERIO DEL INTERIOR

DECÁLOGO PARA PYMES

37

CIBERSEGURIDAD

• Cuentas y Permisos • Eliminar las cuentas innecesarias

• Revisar permisos de administración

• Utilizar contraseñas fuertes

38

CIBERSEGURIDAD

• Equipos y dispositivos de red • Cambiar los valores de fábrica

• Activar cortafuegos

39

CIBERSEGURIDAD

• Todos tus dispositivos • Desactivar la ejecución automática

• Eliminar las aplicaciones que no se utilicen

40

CIBERSEGURIDAD

• Antimalware • Instalar y mantener siempre activado el

antimalware

• Analizar el software antimalware

41

CIBERSEGURIDAD

• Software • Actualizar todo el software

• Hacer copias de seguridad completas

42

CIBERSEGURIDAD

• FORMAR Y CONCIENCIAR

43

CIBERSEGURIDAD

Una reflexión para el final

ESTRATEGIA DE SEGURIDAD NACIONAL 2017:

OBJETIVO GENERAL DE CIBERSEGURIDAD: “Reforzar,impulsar y promover los mecanismos normativos, organizativos y técnicos, así como la aplicación de medidas, servicios, buenas prácticas y planes de

continuidad para la protección, seguridad y resilencia en el Sector Público, los sectores estratégicos, el sector empresarial y la ciudadanía, de manera que se garantice un entorno digital seguro y fiable.”

CYBERSECURITY STRATEGY OF THE EUROPEAN UNION (EUROPEAN COMMISION, BRUSSELS 2013):

“The Commission invites industry to: Promote cybersecurity awareness at all levels, both in business practices and in the interface with customers. In particular, industry should reflect on ways to make CEOs and Boards

more accountable for ensuring cyber- security”

Gracias

Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad - Ministerio del Interior Centro Tecnológico de Seguridad (CETSE)

C/Cabo López Martínez, s/n

28048 El Pardo - Madrid

Tlf: 91 839 80 00

Fax: 91 839 80 19