Por: Krissia Chacón.   5 abril

Cuatro ingenieros informáticos que trabajan en el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) son los encargados de velar por la ciberseguridad de Costa Rica.

Así funciona la oficina de ciberseguridad del Micitt.
Así funciona la oficina de ciberseguridad del Micitt.

Este centro está ubicado en las instalaciones del Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) en Zapote, San José.

La unidad de seguridad informática es el punto de contacto que tiene el país con el resto del mundo en cuanto a temas de ciberseguridad. Ellos son nuestra carta de presentación.

Desde el Centro se desarrollan medidas preventivas de seguridad en los sistemas de información e infraestructura crítica y también estudian en tiempo real la seguridad global de las redes.

Aunque los cibercriminales no fijan su mirada directamente en Costa Rica -como para ser blanco de un WannaCry- las autoridades afirman que no se puede bajar la guardia, pues los ataques informáticos serán cada vez más sofisticados y no tendrán distinción de países.

Hasta el momento el país ha enfrentado vulnerabilidades en sitios web, fraudes electrónicos y saturación de servidores, que a pesar de ser inconvenientes que nadie quiere enfrentar, no han escalado a niveles más grandes como los ransomware que se propagan y roban datos en diferentes partes del mundo.

El CSIRT ha invertido $300.000 en equipos de alta tecnología, cifra que se espera que aumente con la llegada de más profesionales al Centro.

Cada vez es más común que existan este tipo de unidades en los países, en las instituciones públicas y entes privados, debido a que la cantidad de dispositivos conectados a Internet aumentan a velocidad vertiginosa y las vulnerabilidades son mayores.

Siempre alerta

El CSIRT nació hace tres años con el decreto ejecutivo Nº 37052-Micitt con una sola persona a cargo.

Hace nueve meses se le autorizó al Ministerio contratar a tres profesionales más con el fin de robustecer la seguridad informática del país. Aunque la petición inicial del Micitt fue de 10 plazas.

Costa Rica tiene un déficit de personal especializado en seguridad informática, así como una débil estructura en oficinas de ciberseguridad dentro de las 342 instituciones públicas del país.

De momento el CSIRT es el encargado de brindar ese soporte y apoyo para quienes todavía no cuentan con los recursos para velar por su propia seguridad informática.

Además coordinan con los Poderes del Estado, instituciones autónomas, empresas y bancos del Estado, todo lo relacionado con la materia de seguridad informática y cibernética.

Un día normal en la oficina de ciberseguridad comienza con la revisión de la actividad computacional del país, para esto un software especializado -del cual no se pueden brindar detalles porque le daría una alerta a los ciberdelincuentes de como vulnerarlo- se mantiene en constante monitoreo. Los ingenieros tienen que estar vigilantes de que no se produzca alguna actividad fuera de lo normal.

Imagine una tubería de agua, el sistema de alcantarillado está previsto para manejar cierta cantidad de agua, en el caso que haya una anomalía y el líquido comienza a rebalsarse, en Acueductos y Alcantarillados ya saben cómo tienen que actuar. Esto mismo sucede con la actividad informática; el sistema reconoce cuando va a suceder algo extraño y los encargados del CSIRT son capaces de prevenir ataques. Entre sus manos está el poder de bloquer una IP por ejemplo.

En el caso de que no hayan podido prevenirlo, su trabajo es luchar en tiempo real para detener el ataque. Una lucha entre ingenieros para ver quién es el que podrá sobrevivir. Aunque esto sucede en casos esporádicos, según explicó Sander Pacheco, viceministro de Ciencia y Tecnología y Coordinador Nacional en Ciberseguridad.

En el peor de los escenarios, si el ataque no pudo ser prevenido ni frenado, en el CSIRT tienen que realizar un trabajo forense, es decir, investigar cómo sucedió y su magnitud.

Las entidades con las que tiene que coordinar el Centro son las instituciones estatales, los bancos, Poder Judicial y organizaciones internacionales.

"La estrategia de ciberseguridad tiene que asegurar el entorno tanto de las instituciones, como el de la empresa privada y el del habitante. Cuando hay ataques se coopera con otros países para saber de dónde viene, también se involucran los operadores internacionales, enlaces satelitales. A nivel interno ayuda el ICE, Claro y Movistar, otros operadores más pequeños y las instituciones públicas y privadas", explicó Pacheco.

Pacheco afirmó que en una calificación de 1 a 10 el promedio que obtienen las instituciones públicas en ciberseguridad es de 8,5. El gran reto para el país es destinarle mayor presupuesto y capacitación, principalmente a las municipalidades, en seguridad informática.

Costa Rica se ha caracterizado por ser una economía que no está directamente en el blanco de los ciberdelincuentes, sin embargo no hay que bajar la guardia.

Por esta razón el viceministro insiste en redoblar esfuerzos para tener una cultura preventiva y que el país se prepare para el incremento que se proyecta en delitos en la web.

El panorama del país en actividad de cibercrimen se basa en alteraciones se sitios web -una persona manipula la información oficial de una página- y la denegación de servicio -alguien desde una IP extranjera puede estar escondido en un proxy y comienza a vulnerar un servidor de tal forma que envía tantos paquetes de datos que los satura-.

Aunque el país no ha sido víctima de grandes amenazas como WannaCry o NotPetya, "las incidencias que se reportan en nuestro CSIRT es que han ocurrido denegaciones de servicios en el sector privado en donde atacan un centro comercial y hacen que se caiga la red y también suplantan páginas web", acotó el viceministro.

Los ataques a las páginas web y de denegación de servicios alcanzan costos de hasta $1.418 en promedio, según Ponemon Institute.

El CSIRT también sirve como punto de contacto de Costa Rica con el mundo. Ellos tienen una estrecha relación con países como Estados Unidos, Argentina, Colombia, Corea del Sur, Brasil, República Dominicana y Puerto Rico.

Pacheco señaló que tienen un chat en donde se comunican de forma diaria con el objetivo de compartir información relacionada con la actividad en ciberseguridad.

Funciones del CSIRT
Apoyar a las otras instituciones en casos de incidencias, haciendo reportes y coordinaciones, así como analizar las vulnerabilidades. 
Ayuda a otras instituciones a conformar sus propios CSIRT.
Elaboración de estrategias de ciberseguridad para otras entidades y brindar capacitaciones. 
In this Monday, May 15, 2017, file photo, employees watch electronic boards to monitor possible ransomware cyberattacks at the Korea Internet and Security Agency in Seoul, South Korea. A couple of things about the WannaCry cyberattack are now pretty certain. It was the biggest in history and it’s a scary preview of things to come _ we’re all going to have to get used to hearing the word “ransomware.” But one thing is a lot less clear: whether North Korea had anything to do with it. (Yun Dong-jin/Yonhap via AP)
In this Monday, May 15, 2017, file photo, employees watch electronic boards to monitor possible ransomware cyberattacks at the Korea Internet and Security Agency in Seoul, South Korea. A couple of things about the WannaCry cyberattack are now pretty certain. It was the biggest in history and it’s a scary preview of things to come _ we’re all going to have to get used to hearing the word “ransomware.” But one thing is a lot less clear: whether North Korea had anything to do with it. (Yun Dong-jin/Yonhap via AP)
Especialización

Un laboratorio similar al del CSIRT es el de ESET.

En la unidad de ESET Latinoamérica se hace seguimiento de las amenazas en cada uno de los países de la región y de esta forma se logra incrementar el tiempo de respuesta en la generación de detecciones por parte del laboratorio central de virus ubicado en Eslovaquia.

También, está dedicado a la investigación de nuevos malware y tendencias con el fin de generar materiales actualizados para los usuarios sobre los distintos tipos de ataques informáticos.

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, señaló que cuentan con más de 20 computadoras para hacer análisis en una red especialmente diseñada para los análisis; además de poseen servidores con los cuales se pueden levantar máquinas virtuales para hacer análisis específicos.

Desde Latinoamérica ESET tiene acceso a la infraestructura global de los diferentes equipos de investigación en el mundo.

En total son 10 personas las que conforman este Laboratorio distribuidas en México, Brasil y Argentina; y que están dedicados a los temas de investigación.

"El laboratorio es la base del trabajo para educar y proteger a la comunidad. Los investigadores observan el comportamiento natural de los malware, y esto les permite dar con las formas de protegerse de su accionar malicioso, para comunicárselas a los usuarios y evitar que sean víctimas", dijo Gutiérrez.

Los cibercriminales seguirán evolucionando y aprovecharán las tecnologías emergentes como el blockchain y la inteligencia artificial para engañar a los programas de ciberseguridad clásicos, por esto es importante que los laboratorios y centros desarrollen investigación y modernicen sus equipos con el fin de brindar un entorno tecnológico confiable.