El CNI se "rearma" tecnológicamente contra los ciberataques más sofisticados

Como los "topos" de la guerra fría, las amenazas persistentes avanzadas (APTs) constituyen una de los riesgos tecnológicos potencialmente más dañinos frente a los que se está desarrollando una herramienta tecnológica cien por cien española a partir de la colaboración público-privada.

El Centro Nacional de Inteligencia (CNI) ha alcanzado un acuerdo con una empresa privada española para el desarrollo del software CARMEN (Centro de Análisis de Registros y Minería de EveNtos).

Se trata de una herramienta que permite vigilar las redes y sistemas objetivo para identificar códigos dañinos que serían indetectables mediante otras herramientas tradicionales de seguridad.

Sólo en 2013, el Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), gestionó 7.263 ciberincidentes (un 82% más que en el ejercicio anterior), y notificó más de 11.370 vulnerabilidades, según se recoge en su memoria anual; casi 4.900 de esos incidentes fueron catalogados con un nivel de riesgo alto, muy alto o crítico.

La empresa española de seguridad, S2 Grupo, con clientes como Red Eléctrica de España (REE), Iberdrola, Endesa o la propia Administración Pública, ha alcanzado un acuerdo con el Centro Criptológico Nacional para trabajar conjuntamente en la detección automatizada de las amenazas más sofisticadas, las persistentes avanzadas o APTS (por sus siglas en inglés Advanced Persistent Threats).

Estas APTs son amenazas planificadas contra objetivos muy específicos para robar información de mucho valor estratégico, económico o político, y además de forma sigilosa y pasiva, sin que sus víctimas sea conscientes del compromiso.

La persistencia del atacante en sus objetivos es una de sus peculiaridades y suele lograrlo porque le respaldan personas o grupos con muy grandes capacidades técnicas y recursos.

El CCN comenzó el desarrollo del software CARMEN (Centro de Análisis de Registros y Minería de EveNtos), una herramienta que permite vigilar las redes y sistemas objetivo para identificar códigos dañinos que serían indetectables mediante otras herramientas tradicionales de seguridad.

Por su parte, S2 Grupo desarrolló una capacidad similar, hasta que a principios de año ambas organizaciones llegaron a un acuerdo para aunar esfuerzos y asumir S2 Grupo el desarrollo y mantenimiento de la herramienta, uniendo las posibilidades de ambas en una única capacidad.

Los responsables de S2 Grupo han explicado a Efefuturo que esta herramienta puede analizar los distintos parámetros de funcionamiento de la red de un organismo o una corporación, detectando anomalías a diferentes niveles de las aplicaciones y alertando a los responsables de la seguridad y protección de la información o de los sistemas tecnológicos que la tratan.

Uno de sus objetivos es incorporar conocimiento suficiente como para detectar las amenazas automáticamente, una habilidad que agilizaría enormemente los procesos de identificación de los códigos dañinos más sofisticados, que hasta la fecha se vienen localizando en muchos casos con tecnología menos avanzada.

Los socios directores de S2 Grupo José M.Rosell y Miguel A. Juan han explicado a Efefuturo que ya se trabaja en el desarrollo de algoritmos para que las anomalías o indicios de amenazas más sofisticadas sean detectadas directamente por el sistema.

En su opinión, el objetivo es complejo porque implica la identificación de cambios tan complicados de analizar como patrones de comportamiento no sólo de máquinas sino también de personas.

Rosell ha insistido en que los ataques de APTs están vinculados con las "más avanzadas" tecnologías, dotadas de recursos suficientes, como para acceder con éxito en los sistemas tecnológicos de cualquier país o corporación "para permanecer en ellos durante mucho tiempo sin ser detectados".