Sociedad

Incibe gestiona 83.000 incidentes en 2023 y se adelanta en la detección y resolución de 183.000

El centro lleva a cabo un simulacro de ataque de ‘randsomware’ e intentos de intrusión en sus servicios que pone de relieve la “robustez” de su sistema

Simulacro de incidente en el Incibe
Simulacro de incidente en el IncibePeio García/Ical

El Instituto Nacional de Ciberseguidad, Incibe, gestionó desde su sede en la ciudad de León un total de 83.000 incidentes durante el pasado año, mientras que se adelantó en la detección y resolución proactiva de 183.000.

Así lo apuntó hoy el director de Operaciones del centro, Jorge Ordás, quien aseguró que “el número de ciberataques ha crecido en la última década debido al modelo económico y productivo basado en digitalización, lo que aumenta la exposición”, de forma que a día de hoy el 16 por ciento de los delitos que se producen en España son de este tipo. Por este motivo, puso de relieve la labor de Incibe para “generar cultura de ciberseguridad, hacer de centro de respuesta a incidentes y conseguir que se genere talento en ciberseguridad”, ya que “faltan profesionales en la materia”.

Además, en los últimos once años, Incibe ha formado a un total de 160 empresas -30 más cada año-, al tiempo que ha llevado a cabo ciberejercicios internacionales junto con la Organización de Estados Americanos para “entender el valor de coordinación y la cooperación”.

El su trayectoria de más de 15 años, Incibe trabaja “con las principales operadoras económicas del país, como las empresas del Ibex 35 y operadores de infraestructuras críticas nacionales”, con los que se lleva a cabo “simulaciones de ataques que permiten elaborar informes sobre la capacidad de sus sistemas”, detalló su director general, Félix Barrio.

Por este motivo, el centro protagonizó en el día de hoy un simulacro de ciberataque a sus servicios internos, con la colaboración del Laboratorio de Investigación en Ciberseguridad de Infraestructuras Críticas de la Universidad de León, cuyos miembros -hackers expertos- atacaron todos los sistemas de defensa “para mostrar cómo se reacciona y cómo está diseñado para que un organismo público pueda mantener su actividad si los sistemas y equipos caen”.

Secuestro de información

El ataque en cuestión se trató de un ‘ramsomware’ -secuestro de archivos- con el que se pretende demostrar “si hay vulnerabilidad en los sistemas para poder acceder y bloquear el acceso información con objetivo de conseguir algún tipo de beneficio económico o simplemente dañar reputación”.

El líder del equipo atacante, Carlos Rodríguez, explicó que el simulacro se inició a las 9 horas de este miércoles para tratar de interrumpir el uso normal de Incibe y el funcionamiento de su página web. No obstante, “no se logró degradar el servicio lo suficiente, como era el objetivo inicial”, lo que demuestra la “robustez del sistema”, por lo que se solicitó acceso a su red interna, donde se apreció “la vulnerabilidad de una de las máquinas encargadas controlar todos los equipos informáticos”, lo que permitió “ejecutar un ataque consistente en el secuestro información y cifrado de los datos con el objetivo de que Incibe realice el pago de una cantidad económica en criptomonedas”.

En el otro lado, el coordinador del ‘blue team’, Sergio González, puntualizó que el ataque, que “no consiguió vulnerar los sistemas en un tiempo razonable”, se ejecutó en un sistema simulado por laboratorio, no en los reales”. Una vez dentro de la infraestructura, “se vio afectada la web de Incibe, que se cifró”, mientras que los hackers “consiguieron la cuenta administrativa del director y el acceso a la identificación varios usuarios, cuyos datos cifraron”. Frente a ello, el equipo se encarga de “detectar cómo han entrado para buscar indicadores de compromiso que se puedan localizar en las herramientas de Incibe” y, posteriormente, notificárselos al Centro de Respuesta a Incidentes de Ciberseguridad “para hacer forenses sobre el ‘ramsomware’ y notificarlos para que las empresas y la industria se beneficien de ello.

Posteriormente, el incidente llegó a la sala de apoyo contingencias, que activó el plan de contingencias, mediante al que, “en el momento en que se detectan fallos servicios, se recupera con copias de seguridad para continuar con la actividad normal”.

Finalmente, el ataque también requirió de la activación del comité de crisis, compuesto por la alta dirección, el centro de contingencia, servicios de comunicación y jurídicos y los cuerpos y fuerzas de seguridad del Estado. Este se encargó de ordenar la activación de la página web dentro del centro de respaldo y de activar de nuevo le plan contingencia para dar continuidad al servicio y que no se vea afectada la seguridad del país”. En paralelo, activó los protocolos de comunicación con prensa y otros organismos públicos y analizó los posibles impactos jurídicos.