En la sala hay seis técnicos sentados y enfundados en batas blancas. Observan atentamente sus dobles pantallas de ordenador en las que se suceden líneas de caracteres alfanuméricos indescifrables para la mayoría de los mortales. Alguno teclea sin apartar la vista del monitor. Comentan entre ellos algún detalle, pero la mayoría trabaja en silencio, concentrado. Un grupo de hackers ha conseguido meterse hasta la cocina de su sistema y están causando estragos. Hoy se trata de un simulacro, pero mañana podría no serlo.
"Cuando recibimos visitas en casa, nos ocupamos de que todo esté ordenado, pero si alguien entra sin avisar, seguramente nos hayamos dejado alguna puerta o algún cajón abiertos. Esas fallas de seguridad dentro de nuestros sistemas son las que están aprovechando los hackers", explica didácticamente Sergio González, responsable de sistemas del Instituto Nacional de Ciberseguridad (Incibe).
González está hoy al frente del "Blue Team", el equipo encargado de responder al ataque. Sentado detrás de él, José Carlos Rodríguez, técnico de la Universidad de León, coordina el equipo de falsos hackers, el "Red Team", que llevan toda la mañana tratando de meter mano en las brechas de seguridad de la institución.
"Tras haber estado varias horas intentándolo, no hemos llegado a conseguir degradar el servicio lo suficiente como para conseguir el objetivo inicial", declara Rodríguez a los periodistas invitados al simulacro en la sede del Incibe, en León. "Hemos hablado con nuestros compañeros de Incibe para que nos faciliten el acceso a la red interna de la infraestructura y, tras estar una serie de tiempo escaneando la red, hemos detectado una vulnerabilidad".
El simulacro representa un ataque ransomware, un tipo de hackeo que consiste en el "secuestro" de una parte de la red interna de una empresa mediante su cifrado para reclamar posteriormente un rescate económico a cambio de liberarlo. "José Carlos y su equipo están yendo por distintas habitaciones de la vivienda y nos está cerrando con llave las zonas y ya nadie puede acceder", explica Rodríguez, continuando con la metáfora.
Más de 80.000 incidentes en 2023
Una de esas zonas que los hackers han conseguido cerrar con llave -cifrar- para impedir que los técnicos del Incibe accedan durante el simulacro es la del 017. Este servicio de asistencia telefónica sobre ciberdelincuencia es una de las ramas del Incibe, una institución estatal dependiente del Ministerio de Transformación Digital y de la Función Pública que, entre otras funciones, realiza simulacros como el de este miércoles con grandes empresas para conseguir reforzar su ciberseguridad.
El Incibe gestionó el año pasado más de 80.000 incidentes de ciberseguridad, la gran mayoría de los cuales afectaron a usuarios individuales, pero más de 22.000 a empresas privadas. Algunos de los ataques más sonados de los últimos meses han afectado a grandes empresas como Banco Santander, Telefónica, Iberdrola, Decathlon España, Ticketmaster e incluso la Dirección General de Tráfico (DGT). Todas ellas admitieron que hackers habían logrado acceder a sus sistemas y robar datos de cientos de miles de clientes.
"Hay veces que son grupos organizados, un pequeño porcentaje están asociados a algunos gobiernos, y luego también, lobos solitarios, por llamarnos de alguna manera", explica el responsable de ciberseguridad del Incibe, Jorge Chinea, que señala que el 95% de los ciberdelitos tienen detrás una motivación económica.
"Nosotros trabajamos tanto con la Policía Nacional como con la Guardia Civil en esas investigaciones, pero a veces es muy complicado, porque los ciberdelincuentes también saben tapar muy bien su rastro", declara Chinea. "Antes el delincuente estaba en el barrio, estaba a la vuelta de la esquina, pero ahora puede estar en la otra punta del mundo e incluso puede utilizar infraestructuras y tecnologías que pueden estar, por ejemplo, en Estados Unidos y él puede estar en Móstoles".
Así se responde a un ciberataque
Una veintena de teleoperadores atienden las llamadas de la línea de asistencia en ciberseguridad 017 en una de las salas del Incibe. Todo funciona con normalidad porque el ciberataque está siendo una simple simulación, si no, el servicio estaría completamente interrumpido. Al fondo de la sala, de pie, un grupo de personas forma un círculo discutiendo sobre cómo proceder. Ellos sí están participando del simulacro.
"Estamos manteniendo una reunión para informar sobre el ataque", explica uno de los responsables que están reunidos. "Estamos identificando acciones y viendo como aplicar el plan de contingencia y recuperación". En la sala contigua, los dos equipos ensayan el ataque y la primera respuesta, que consiste en localizar la brecha y aislar las áreas
"Lo primero es detectar el ataque, una vez detectado tenemos que analizar el alcance y, dependiendo de su alcance, tomamos unas decisiones, en el simulacro que nos atañe hoy el alcance es prácticamente total", declara González, el responsable de sistemas. "En este caso, en una situación real, creo que deberíamos parar sentarnos, analizar qué ha pasado, cómo han entrado en nuestros sistemas mientras activamos el protocolo de contingencias para que los servicios que presta Incibe no se vean afectados".
La sala contigua es precisamente ese centro de contingencias, donde, básicamente, se duplican todos los sistemas internos de la empresa para que, en caso de ataque, el centro principal se pueda aislar y los servicios se sigan dando a través de este otro centro de respaldo. "Utilizamos copias de seguridad y lo que hacemos es redirigir el tráfico a estos nuevos servicios para continuar dando los servicios y continuar con nuestra actividad de la mejor forma posible, de una manera más normal", explica el responsable de esta sección.
Todo el proceso va siendo fiscalizado y dirigido en cierto modo por un comité de crisis compuesto por personal del comité de dirección, responsables de comunicación, equipo jurídico, sistemas de información, operaciones y en definitiva cualquier tipo de responsable que deba en un momento determinado tomar acciones que puedan afectar a la estrategia de la compañía en una crisis como esta.
Este es el protocolo frente a un ataque de estas características. En la mayoría de los casos, podrá ser resuelto sin mayor consecuencia, pero la realidad, como admiten los propios técnicos, es que los ciberdelincuentes van siempre por delante de los profesionales de la ciberseguridad.
"Aquí lo importante es formarse, cuando nosotros trabajamos con equipos de ataque (Red Teams como el de este simulacro) buscamos distintos equipos, no siempre el mismo, para distintas visiones y compartimos la información con otros centros nacionales e internacionales", explica González. "La única solución es estar continuamente formándose".
REPORTAJES QUE TE PUEDEN INTERESAR:
Si quieres contactar con 20minutos o realizar alguna denuncia o tienes alguna historia que quieres que contemos, escribe a pablo.rodero@20minutos.es. También puedes suscribirte a las newsletters de 20minutos para recibir cada día las noticias más destacadas o la edición impresa.