Tema 41: Ciberdelincuencia

Las guías CCN-CERT del Centro Criptológico Nacional establecen los principios y recomendaciones básicas de ciberseguridad. Incluyen la necesidad de proteger los sistemas de información y comunicaciones de las Administraciones Públicas españolas, mediante la aplicación de medidas de seguridad proporcionadas al nivel de clasificación de la información y al análisis de riesgos realizado.

Se definen las responsabilidades en materia de ciberseguridad: el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. Cada organismo debe designar estos roles conforme al Esquema Nacional de Seguridad (ENS).

El CCN-CERT es el equipo de respuesta ante incidentes de seguridad del Centro Criptológico Nacional. Coordina la gestión de incidentes de ciberseguridad que afecten a las Administraciones Públicas, proporcionando soporte técnico, alertas, avisos y guías de actuación para la detección, análisis, contención y recuperación ante incidentes.

La información se clasifica según su nivel de confidencialidad: DIFUSIÓN LIMITADA, CONFIDENCIAL, RESERVADO y SECRETO. Cada nivel requiere medidas de protección específicas tanto para el almacenamiento como para la transmisión de la información.

Se establecen medidas de seguridad en tres dimensiones: marco organizativo (políticas de seguridad, normativa, procedimientos), marco operacional (planificación, control de acceso, explotación, servicios externos, continuidad) y medidas de protección (instalaciones, personal, equipos, comunicaciones, soportes, aplicaciones, protección de la información, servicios).

El CCN-CERT desarrolla y distribuye herramientas de ciberseguridad: LUCIA (gestión de incidentes), CARMEN (detección de APT), CLAUDIA (análisis de amenazas), REYES (intercambio de indicadores), PILAR (análisis de riesgos) e INES (informe del estado de seguridad del ENS en organismos públicos).

El CCN-CERT promueve la cultura de la ciberseguridad mediante programas de formación, jornadas técnicas (STIC), publicación de guías y recomendaciones, y campañas de concienciación para empleados públicos sobre buenas prácticas de seguridad de la información.

virtualización se entiende como la recreación de un recurso físico (hardware) o lógico (software), por medio de un hipervisor (hypervisor) que permite su ejecución por más de un entorno al mismo tiempo. En el entorno de máquinas virtuales, el hipervisor permite el uso simultáneo del hardware en más de un sistema operativo. El apogeo de la virtualización ha llegado con la utilización de la nube, donde este sistema de reparto de los recursos se hace casi indispensable. Aunque ya existían múltiples sistemas de muchos fabricantes, el desarrollo y avances de los mismos se han incrementado de una forma exponencial. Actualmente se puede optar, entre otros, por XenServer de Citrix, VMware ESXi de Dell, VirtualBox de Oracle, Oracle VM Server e Hyper-V de Microsoft. La seguridad en la virtualización tiene la misma premisa que cualquier otro sistema, que es la minimización de la superficie de ataque. No obstante, cuenta con particularidades que hacen que la aseguración sea más difícil como por ejemplo la multitud de recursos compartidos o los sistemas operativos que funcionan simultáneamente con sus propias aplicaciones sobre una misma máquina física. Como norma general, es conveniente seguir las siguientes indicaciones a la hora de configurar un host de máquinas virtuales:Tener instaladas en el sistema operativo las últimas actualizaciones de seguridad.Tener la última reversión disponible del programa de virtualización.Si es posible, tener al menos un adaptador de red en exclusiva para la infraestructura de virtualización.Crear un entorno de laboratorio aislado del entorno de producción.Disponer de un grupo de seguridad para gestionar la plataforma de seguridad.Proteger los dispositivos de almacenamiento en los que guardan los archivos de recursos y de definición de la máquina virtual.Mantener estancos a los administradores de los guest respecto a los de host.Para la creación de guest, se recomienda seguir las siguientes normas:Hacer un esquema previo de lo que será la infraestructura de virtualización.Dimensionar la creación de máquinas virtuales a las necesidades reales y a los recursos de hardware disponibles en el host.Cifrar los ficheros de máquinas virtuales, instantáneas y discos duros virtuales destinados al almacenamiento de la plataforma de virtualización.Instalar las últimas actualizaciones de seguridad en cada sistema operativo guest.Valorar la instalación de los agentes de hipervisor, tipo Guest Additions, y en caso de hacerlo, mantenerlos actualizados.Asegurar con antimalware y firewalls todos los sistemas operativos invitados.

Si se trabaja con una red inalámbrica, para maximizar la seguridad en la red WiFi es necesario prestar atención a las siguientes recomendaciones: Cambiar la contraseña de acceso por defecto para la administración del Punto de Acceso. Modificar el SSID configurado por defecto no empleando nombres que pudieran identificar a la entidad y que permitan pasar desapercibidos con el entorno. Ocultar el identificador SSID al exterior dificulta obtener el nombre de la red, aunque la trazabilidad de los clientes sigue siendo posible con independencia de la ocultación del SSID. Activar el filtrado de direcciones MAC de los dispositivos WiFi para permitir que se conecten a la red los dispositivos con las direcciones MAC especificadas. Configurar WPA2-AES en el modo de confidencialidad de datos, obteniendo autenticación y cifrado de datos robusto. Limitar la cobertura WLAN. Una antena multidireccional ubicada en el centro de la casa/oficina es la opción más común. Desconectar la red cuando no se utilice. Si bien no es práctico hacerlo diariamente, es muy recomendable durante largos períodos de inactividad. Desactivar UPnP (Universal Plug and Play) cuando su uso no sea necesario, para evitar que un código dañino de la propia red lo utilice para abrir una brecha en el cortafuegos del router y permitir así que otros atacantes accedan a él. Actualizar el “firmware” del router periódicamente, pues muchas de las actualizaciones y parches que se van incorporando afectan a la seguridad. Usar direcciones IP estáticas o limitar el número de direcciones reservadas (DHCP) cuando sea posible, para evitar que usuarios no autorizados puedan obtener una dirección IP de la red local. Activar el cortafuegos del router, para que sólo los usuarios y los servicios autorizados puedan tener acceso a la red. Activar la opción de registro (login) para el router y analizar periódicamente el historial de accesos. Es recomendable cambiar el DNS que por defecto trae configurado el router por otro que preserve la privacidad del usuario y mejore su seguridad, por ejemplo, DNSCrypt.

Artículo contenedor para preguntas sin artículo específico de CCN-CERT Ciberseguridad

La guía CCN-STIC-425 del Centro Criptológico Nacional establece las directrices para la implementación de medidas de seguridad en los Sistemas de Información y Comunicaciones (SIC) que manejan información clasificada. Su objetivo es proporcionar un marco de referencia para la configuración segura de sistemas y la protección de la información según los niveles de clasificación establecidos.

Se definen los requisitos mínimos de seguridad que deben cumplir los sistemas: control de acceso, autenticación de usuarios, cifrado de comunicaciones, gestión de vulnerabilidades, auditoría de eventos, protección perimetral, segmentación de redes y gestión de incidentes. Los requisitos se gradúan según la categoría del sistema (BÁSICA, MEDIA, ALTA).

Directrices para la configuración segura de los elementos del sistema: bastionado de servidores, configuración de cortafuegos, gestión de parches, eliminación de servicios innecesarios, política de contraseñas robustas y configuración de registros de auditoría.

Procedimientos de auditoría para verificar el cumplimiento de las medidas de seguridad establecidas. Incluye la frecuencia de las auditorías, las herramientas a emplear, la documentación de resultados y las acciones correctoras ante incumplimientos detectados.

Artículo contenedor para preguntas sin artículo específico de CCN-STIC-425