Carlos Córdoba (CCN): “Con cosas muy básicas, como compartir alertas, se pueden parar muchos golpes”
Carlos Córdoba, jefe del área de Centros de Operaciones de Ciberseguridad del Centro Criptológico Nacional (CCN), explica la estrategia, nacional y europea, de la red de SOC de compartición de alertas para la protección del sector público.
Audio de la entrevista
Mario Moreno/ Imagen: Juan Márquez
La Red Nacional de Centros de Operaciones de Ciberseguridad (SOC) es una estrategia generada por el Centro Criptológico Nacional (CCN) que tiene como objetivo promover el intercambio de información cibernéticas sobre amenazas en el sector público entre los distintos proveedores adscritos a ella, que ya suman más de 150. Posteriormente, en 2020, la Unión Europea (UE) empezó a promover la Estrategia de Ciberseguridad Europea, que incluye esta idea, de la que España es punta de lanza, a nivel comunitario. Del funcionamiento de estos planes, génesis, objetivos y participación, hablamos con Carlos Córdoba, jefe del área de Centros de Operaciones de Ciberseguridad del CCN, quien además esTeniente Coronel de transmisiones y especialista criptólogo, entre otros cargos.
La red cuenta con unos 150 centros adscritos. ¿Cómo es la labor de coordinación? ¿Qué dice este dato de la madurez en ciberseguridad del país?
La red es una evolución de la madurez en ciberseguridad de este país. Con lo cual, eso es algo positivo. Nosotros estábamos trabajando respondiendo a amenazas y a incidentes en organismos y empezamos a pensar en la necesidad de montar SOC para que hubiera una respuesta inicial y evitar incidentes. Cuando ya manejábamos varios SOC que habíamos montado en distintos lugares y entidades, se nos ocurrió crear una red para que entre ellos intercambiaran información sobre amenazas. En ese momento, la Unión Europea (UE) empezó a hablar de la Estrategia de Ciberseguridad Europea, que fue presentada por Josep Borrell [actual vicepresidente de la Comisión Europea]. Justo era lo que estábamos haciendo nosotros a nivel CCN. Entonces, jugamos un órdago y lo hicimos a nivel nacional. Ese fue el inicio. Dentro de nuestra tarea, pusimos las reglas del juego, la infraestructura, y empezamos a provocar esa participación, que fue complicada, tal y como comprobamos en el proyecto piloto. Vimos lo difícil que es compartir en este sector. Al final, somos los dueños, y vemos que quien no nos gusta cómo juega no participa. Esto es parte de la idiosincrasia de la red, que es voluntaria, pero de un modo forzoso.
¿Cómo tienen jugar esas empresas que se adscriben?
El primer objetivo del CCN es proteger al sector público, eso está claro. Y es el punto final. La mayoría de los SOC que se están montando se contratan a proveedores de seguridad gestionada. Entonces, queríamos que esos proveedores compartieran la información que detectan. Jugamos a dos niveles; por un lado con los empleados públicos que quieren tener o están en vías de tener un SOC, y, por otro, con los fabricantes de seguridad. No es sencillo, siempre había mucho problema con protección de datos, etc. Entonces, tomamos la decisión de que había que eliminar todos los datos de la víctima en cualquier información que se intercambiara en la red. Solo queremos información que posiblemente sea una alerta. A día de hoy, nos basamos en parar alertas.
Ahora, esta red forma parte de un proyecto europeo comúnmente denominado SuperSOC, en el que España es claro protagonista. La intención de la UE es que estos SOC intercambien alertas entre países. ¿En qué estado se encuentra la estrategia y qué papel debe jugar el país?
La red nacional surge de un plan interno mezclado con la estrategia de la UE. La Comisión Europea (CE) tenía la idea pero no sabía cómo materializarla, y vio lo que estábamos haciendo nosotros en España. Entonces nos animaron a que presentáramos un proyecto. En Europa no es tan sencillo como decir, ‘esto es lo que hay’, sino que tuvimos que hacer un consorcio del que ahora mismo forman parte también Italia, Austria, Rumanía, Portugal, Italia, Holanda y Luxemburgo. En ese grupo hemos dado un rol a cada geografía, pero el core es la Red Nacional de SOC. Nosotros ya sabemos que lo nuestro funciona. Ahora mismo, nos encontramos en la fase de acuerdos con el consorcio, y la UE ha lanzado dos tipos de convocatorias de fondos. Este año iban a llegar los primeros, pero como es algo nuevo va con retrasos, por lo que empezaremos el año que viene, aunque realmente el proyecto está en marcha. Hay otro consorcio que apareció entre Grecia, Malta, Bulgaria y Chipre, y otro, entre los países nórdicos y bálticos que se dio de baja. Realmente, somos nosotros los que estamos haciendo de palanca. Recientemente estuve en Bruselas con la CE y nos dijeron que esperaban que tirásemos del carro. Allí todo el mundo sabe que España es el líder. Nosotros aportamos tranquilidad, hay mucha preocupación por los plazos, pero podemos enseñar ya nuestras prácticas. Eso tranquiliza bastante.
¿El intercambio de información es el pilar clave de una evolución cultural en el sector de la ciberseguridad? Hasta hace pocos años tener un incidente era un secreto.
Sí, queremos derribar ese muro. Es cierto que es muy difícil que alguien comparta información de un incidente. Pero cuando hablamos de incidente, lo hacemos de un impacto, de lo que ha pasado dentro de la red. Eso nadie quiere que se haga público. Nosotros lo que paramos son alertas. Es decir, antes del incidente hay una IP de un dominio que parece mala, por ejemplo. Entonces se comparte por la red de SOC y todo el mundo la bloquea inmediatamente. Hemos recibido críticas de que eso no es información elaborada, pero la información elaborada ya es inteligencia, y la inteligencia ya no la comparte todo el mundo. Si yo te digo todo lo que sé, tú sabes la misma inteligencia que yo, con lo cual ya no somos competitivos en el mercado. Los proveedores son los primeros que no quieren compartir inteligencia. Nos hemos dado cuenta de que si intercambiamos información muy básica que sirve para cortar, estamos generando un escudo. Los fabricantes tienen razón y yo entiendo que compartir inteligencia es complicado. Pero están perdiendo el miedo a compartir esos indicadores de actividad. Con lo cual, yo creo que tenemos futuro.
"El primer objetivo del CCN es proteger al sector público"
El mundo de las amenazas es muy cambiante. Antes ha dicho que la red de SOC funciona y lo hace bien. Pero, ¿cómo debe adaptarse a nuevos progresos como los de la inteligencia artificial (IA) generativa? ¿Cómo ha de evolucionar la estrategia?
El futuro lo veo bien, sobre todo si se unen al proyecto estos seis países, y alguno más. Ha habido geografías muy reacias a esto que estábamos haciendo. Pero les hemos enseñado los datos que estábamos intercambiando y han cambiado de opinión. Podemos callar muchas bocas simplemente mostrando lo que estamos haciendo. No estamos intercambiando arcos de iglesia, sino IP, dominios, campañas de phishing… Pero claro, a través del phishing se roban credenciales y se entra en organismos. Quiero decir que con cosas muy básicas, como compartir alertas, se pueden parar muchos golpes. Tenemos que potenciar el intercambio de información. Y, desde luego, los ‘malos’ también espabilan y aprenden. Siempre iremos por detrás de ellos, y cada vez será todo más complejo, pero nosotros no nos vamos a dormir en los laureles.
¿Todo esto se potencia a base de concienciación y programación de eventos, que es una de las grandes líneas de actividad del CCN?
Totalmente. Nuestro principal problema es que, a lo mejor, deberíamos tener más llegada y explicar que para pertenecer a la red de SOC no hay que hacer nada, ni ser nada del otro mundo. Al principio poníamos una serie de requisitos a los proveedores. Ahora, todo el mundo que quiera intercambiar IOC es bienvenido. Nosotros estamos dispuestos a ir a donde sea para explicarlo, porque así más gente se unirá al escudo que estamos creando.
¿Hay planes para expandir esta red fuera de Europa? Por ejemplo, el CCN tiene una fuerte presencia en Latinoamérica.
Durante los dos últimos años, hemos ayudado, por ejemplo, a crear un SOC de gobierno en República Dominicana. Ellos ya tienen un sistema integrado con la Red Nacional de SOC y estamos intercambiando información. También estamos ultimando un acuerdo para hacer lo mismo en Panamá. Entonces, sí que tenemos previsto expandirnos hacia América Latina porque cada vez vienen a pedirnos más ayuda en el sentido de la integración. Aunque haya países que todavía no se creen lo de la ciberseguridad o que tienen otras prioridades. Nosotros no vamos a decir que no a nadie. El problema que tenemos es la escasez de recursos. Yo cuento con un equipo pequeño, con el que hago maravillas, por cierto.
En España se necesitan hasta 30.000 profesionales especializados en ciberseguridad.
Hace unos años dije que la universidad tenía que espabilar y hubo quejas. Pero hay una falta de profesionales brutal. Y las empresas se están robando a los trabajadores entre ellas. Eso ha generado una inflación tremenda. Estos perfiles tienen muy buenos sueldos pero hay una estabilidad muy pequeña. Por lo tanto, hace falta base, formación profesional y gente que llene esas empresas.
¿Cómo puede competir el CCN contra la empresa privada que paga más? Supongo que será el tipo de proyecto lo que anime a estos profesionales a recalar en lo público.
Es muy complicado. Nosotros ‘fichamos’ la última vez hace dos años. La gente que viene aquí no lo hace por dinero. Al final te tienes que enamorar de los colores que defendemos, que son los del sector público. Yo estoy aquí por mi país.
Volviendo a los servicios públicos, hace poco el Ayuntamiento de Sevilla recibió un importante ransomware que paralizó sus operaciones digitales durante varios días. ¿Qué lecciones se pueden sacar del incidente?
No hablamos de incidentes en curso y más con denuncias. En general, lo que vemos en los incidentes de los que tenemos conocimiento es que vienen de credenciales robadas que han sido puestas a la venta en Internet. Aquí, el doble factor de autenticación ya no es una opción, sino obligatorio. Hay muchos organismos que les cuesta aplicar estas políticas, pero es algo necesario. Después de la pandemia, y con la globalización del teletrabajo, la exposición de contraseñas en la Dark Web es brutal. Nosotros hacemos un rastreo y vamos comprando algunas. Pero, básicamente vemos que es el principal vector de entrada a las organizaciones.
"Los profesionales de ciberseguridad tienen muy buenos sueldos, pero una estabilidad muy pequeña"
¿Qué nivel de madurez le da a la Administración Pública española en cuanto a ciberseguridad?
Yo diría que la Administración central está bastante bien. Con el SOC de la Administración General del Estado ha dado un paso bastante bueno. Pero sigue habiendo organismos sueltos que deberían ser más conscientes de lo indefensos que están. La Administración autonómica va por barrios. Sabemos que muchas están trabajando bastante bien y muy seriamente con nosotros, y hay otras de las que todavía no hemos oído hablar. Pero, realmente, hay que poner el foco en los organismos locales, que están muy necesitados de recursos. Es aquí donde hay que poner más esfuerzos. Nosotros siempre nos hemos ofrecido a concienciarlos. El problema es que los proveedores les venden cosas complicadísimas y muy caras. Tienen que empezar con algo sencillo que haga que la rueda se empiece a mover para acabar generando una buena seguridad.
¿Qué amenazas se están detectando ahora en el ciberespacio, sobre todo tras el comienzo de la guerra de Ucrania?
La guerra de Ucrania la vemos en los ataques de denegación de servicio que hay de vez en cuando. Pero estas amenazas van a páginas web y poco más. No estamos experimentando una gran repercusión del conflicto. Además, los estados siguen actuando y usando el ciberespionaje cada vez más, y más sofisticado e indetectable. Y estamos viendo que el cibercrimen llega a niveles muy difíciles de detectar. Tenemos que ir a lo que no conocemos, lo cual es muy complicado.
¿Qué opina de todos los paquetes legislativos europeos que se están implementando en torno al dato, a su seguridad y a la residencia del mismo?
España está en el puesto número siete mundial en ciberseguridad de la Unión Internacional de Telecomunicaciones (UIT). Y eso no es por ser España, sino por estar dentro de la UE, que es la que realmente está empujando muchísimo. Toda nuestra legislación se debe a que hemos tenido que trasponerla. Bruselas no hace más que apretar, y gracias a eso los estados miembro estamos mejorando.
