Seguridad informática: qué hace y cómo opera un equipo de ciberseguridad

Los organismos de Neuquén reciben un promedio diario de 20.000 ataques informáticos por día. Las medidas que se aplican ante hackeos, robos y filtraciones.

Matías Del Pozzi
POR MATÍAS DEL POZZI

El mayor flujo de información digital y de activos tecnológicos le demandó a los organismos públicos y privados la necesidad de implementar estructuras sólidas de prevención y respuesta, ante posibles ataques, hackeos, robos y filtraciones. La seguridad informática juega un rol central en esa tarea de protección de los sistemas y redes. ¿Qué hace y cómo funciona un equipo de ciberseguridad?

Según datos de Neuquén, la provincia recibe un promedio de 20.000 ataques informáticos por día (la mayoría sin éxito), entre todos los organismos oficiales. Y la encargada de controlar y aplicar la política de seguridad para este sector (Decreto 2223/2008) es la Oficina Provincial de Tecnologías de la Información y las Comunicaciones (Optic).

En números

20.000 ataques informáticos por día reciben los organismos provinciales, en promedio.
El más golpe más reciente -y de mayor relevancia- fue el robo que sufrió el Hospital Castro Rendón, el mes pasado (ver adelante). Para mitigar el ataque, fue clave el rol del Equipo de Respuestas a Incidentes de Ciberseguridad (Csirt-NQN).

Para conocer cómo es el funcionamiento y cuáles son las tareas de la Optic y del equipo especializado, Generación EZ dialogó con el director provincial de Servicios TICs del organismo, Víctor Figueroa.

La seguridad de la información básicamente se centra en la protección de los activos tecnológicos y de la información digital».

Víctor Figueroa.

“La seguridad de la información básicamente se centra en la protección de los activos tecnológicos y de la información digital del Estado provincial”, explicó Figueroa. Los objetivos son proteger la integridad, disponibilidad y confidencialidad de la información y de los servicios tecnológicos.

La Optic cuenta con una dirección de Seguridad de la Información, que es la responsable de coordinar al Csirt-NQN, y de promover la implementación de la política de Seguridad por parte de los organismos del Estado.

Entre sus tareas, el Csirt recibe y recolecta información de inteligencia y ciberseguridad para conocer si en su infraestructura existe algún incidente o ataque que haya sido reportado en algún lugar del mundo.

Seguridad informática: acción proactiva y reactiva

La aplicación de la seguridad de la información podría separarse (de manera brutal) en dos ramas: la acción proactiva y la reactiva.

La proactiva es -más o menos- lo que se habló líneas arriba, y tiene que ver con la implementación de medidas de seguridad para prevenir cualquier incidente de ciberseguridad. Mientas que la reactiva tiene que ver con la acción ante un incidente, y justamente ahí es donde entra en acción Csirt para dar soporte, guiar, asesorar y colaborar en la recuperación ante un incidente.

Entre todos los organismos provinciales reciben un promedio de 20.000 ataques por día, la mayoría sin éxito.
Hay que tener en cuenta que cada organismo tiene su infraestructura y equipo, con lo cual, desde la Optic no pueden entrometerse de manera directa en la gestión de cada uno.

“En ciberseguridad, la colaboración entre equipos de respuesta es fundamental, no solo a nivel nacional, sino a nivel también internacional”, indicó Figueroa.

El equipo local está vinculado al Csirt América, que es una red de respuesta a incidentes de ciberseguridad de la Organización de los Estados Americanos (OEA) a donde están vinculados todos los Latinoamérica y el Caribe. “Es un marco de colaboración para elevar la madurez de cada equipo”, señaló.

Seguridad informática: cómo fue la operación Castro Rendón

Una vez que el Csirt comenzó a colaborar con el equipo de seguridad informática del Hospital Castro Rendón, a partir de los trabajos de ciber-inteligencia que realizó y la información que recibió, confirmaron efectivamente el incidente.

“No se vio comprometida la infraestructura tecnológica del hospital. Se filtraron, o los atacantes pudieron obtenerlas, las credenciales de un usuario de un sistema hospitalario. A través de ese usuario, pudieron extraer información, que fue puesta a la venta en un foro en Internet”, relató Figueroa.

A través de las denuncias y reportes que hicieron a la unidad fiscal especializada en Cibercrimen y al departamento de Ciberseguridad de la Policía Federal, se pudo intervenir en ese foro a donde se publicó esa información para la venta. Finalmente, se pudo contener la distribución de esa información.

Seguridad informática: ingeniería social

Muchas veces los hackeos tienen que ver más con la mala gestión de la información sensible por parte de usuarios que con las estructuras.

En el ataque al hospital, lo que dedujo el Csirt, fue que los datos de la credencial se obtuvieron a través de una campaña de phishing, en la que los atacantes enviaron correos suplantando la identidad de algún organismo o ente de confianza del usuario. A través a través de lo que se conoce como ingeniería social.

“Recibimos en promedio alrededor de 20.000 ataques diarios, pero la arquitectura de ciberseguridad que está implementada permite operar con diversos niveles de protección para que los ataques se vayan degradando a la medida que atraviesa cada capa, con lo cual, la mayoría no llega a materializarse”, concluyó Figueroa.

Diario Río Negro