redseguridad 072

especial red seguridad primer trimestre 2016 29 industrial (ICS). Este malware fue el utilizado en el ataque a Sony Pictures Entertainment. C Ataques DDoS: tras dos años de relativa calma, este tipo de ataques ha regresado con una intensidad inusitada. El ancho de banda utili- zado y la duración de los ataques (en ocasiones muy prolongado), dan fe de esta virulencia. Este tipo de ataques se registra, principalmente, contra compañías de la industria del juego, de software/tecnología, gobiernos e instituciones e infra- estructuras críticas (por ejemplo a principios de 2015, un proveedor de redes indio sufrió un ataque con un pico de 334 Gbps, hasta el momen- to el ataque más intenso realizado). D Defacement: cada día, cientos de websites en el mundo son atacadas, en su mayoría por motivos ideoló- gicos. E Infección por código dañino: en su inmensa mayoría a través de páginas web infectadas. De hecho, se calcula que el 6 por ciento de las páginas web propagan malware o spam o forman parte de una botnet (y el 21 por ciento utilizan software con vul- nerabilidades). Se calcula, además, que el 99 por ciento de la infección de malware está causada por la vista a páginas web. 2 . Ciberespionaje: Representa una amenaza a la seguri- dad nacional y a los intereses econó- micos (por ejemplo, varios ministros y secretarios de Estado del Gobierno español sufrieron en 2015 diversas campañas de ataque dirigida contra los móviles y ordenadores personales de altos cargos del Ejecutivo a tra- vés de un correo electrónico dañino). También se detectaron ataques contra empresas españolas de los sectores tan importantes como el de defensa, alta tecnología, química, energía o espacio. 3 . Robo de información: Referida a aquel robo de información confidencial, con el ánimo de venderla con fines comerciales, publicarla o abu- sar de ella con propósitos activistas. Concretando estas amenazas, en nuestro país, en el año 2015, el CCN-CERT gestionó un total de 18.232 incidentes detectados en las Administraciones Públicas (considera- das como infraestructura crítica) y en empresas y organizaciones de interés estratégico para el país. Esta cifra representa un incremento cercano al 42 por ciento con respecto al año 2014. ¿Qué hacer? Ante la situación descrita son múltiples las medidas que se pueden adoptar y, que de hecho, se están adoptando. Los esfuerzos deben centrarse en incrementar las capacidades de pre- vención, detección, análisis, respuesta y coordinación, unido a una política de investigación y de cambio en la mentalidad. Entre las medidas de prevención es imprescindible contar con soluciones que permitan minimizar el riesgo de una intrusión, así como garantizar la confidencialidad e integridad de las comunicaciones. Para la protección de la información sensible o clasificada en las comunicaciones extremo a extre- mo, se debe hacer uso de cifradores, evaluados y certificados por el CCN. Trabajar como si se estuviera com- prometido y, por lo tanto, proteger los activos fundamentales en un medio comprometido. Además, y fundamentalmente, es preciso favorecer la coordinación y la comunicación entre los agentes impli- cados, sean públicos o privados, para fortalecer su capacidad de respuesta. Por ejemplo, si un organismo identifica algún comportamiento sospechoso en su red y remite información sobre el evento al CCN-CERT, es muy probable que se hayan tenido referencias de comportamientos similares en otras 2. Ciberespionaje: representa una amenaza a la seguridad nacional y a los intereses económicos (por ejemplo, varios ministros y secretarios de Estado del Gobierno español sufrieron en 2015 diversas campañas de ataque dirigida contra los móviles y ordenadores personales de altos cargos del Ejecutivo a través de un correo electrónico dañino). También se detectaron ataques contra empresas españolas de los sectores tan importantes como el de defensa, alta tecnología, química, energía o espacio. 3. Robo de información : referida a aquel robo de información confidencial, con el ánimo de venderla con fines comerciales, publicarla o abusar de ella con propósitos activistas. Concretando estas amenazas, en nuestro país, en el año 2015, el CCN-CERT gestionó un total de 18.232 incidentes detectados en las Administraciones Públicas (consideradas como infraestructura crítica) y en empresas y organizaciones de interés estratégico para el país. Esta cifra representa un incremento cercano al 42 por ciento con respecto al año 2014. Evolución de los incidentes gestionados por el CCN-CERT. 1227 1394 1361 1316 1448 1497 1715 1596 1796 1722 1783 1377 709 703 927 958 971 1023 1095 1168 1381 1392 1308 1281 507 516 458 578 565 561 633 612 745 919 713 452 Acumulado anual 2015: 18.232 2014: 12.916 2013: 7.259 Evolución de los incidentes gestionados por el CCN-CERT. LADILLO ¿Qué hac r? Ante la situación descrita son múltiples las medidas que se pueden adoptar y, que de hecho, se está adoptando. Los esfuerzos deben centrarse en incrementar las capacid des de prevención, detección, análisis, respuesta y coordinación, unido a una política de investigación y de cambio en la mentalidad. Entre las medidas de prevención es imprescindible contar con soluciones que permitan minimizar el riesgo de una intrusión, así como garantizar la confidencialidad e integridad de las comunicaciones. Para la protección de la información sensible o clasificada en las comunicaciones extremo a extremo, se debe hacer uso de cifradores, evaluados y certificados por el CCN. Trabajar como si se stuviera comprometido y, por lo tanto, proteger los activos fundamentales en un medio comprometido. Además, y fundamentalmente, es preciso favorecer la coordinación y la comunicación entre los agentes implicados, sean públicos o privados, para fortalecer su capacidad de respuesta. Por ejemplo, si un organismo identifica algún comportamiento sospechoso en su red y remite información sobre el evento al CCN- CERT, es muy probable que se hayan tenido referencias de comportamientos similares en otras organizaciones y se sea capaz de actuar adecuadamente ante la actividad sospechosa. También puede darse el caso de que la respuesta a incidentes requiera el uso de herramientas que pueden no estar disponibles para una sola organización, sobre todo si se trata de un organismo pequeño o mediano. En estos casos, el organismo en cuestión puede aprovechar su red de intercambio de información de confianza para externalizar de manera eficaz el análisis del ciberincidente a los recursos de A rtículo PIC monográfico