APROXIMACIÓN ESPAÑOLA A LA CIBERSEGURIDAD · estratégicos para el país en coordinación con el CNPIC. • Ley 11/2002 reguladora del Centro Nacional de Inteligencia. • Real

SIN CLASIFICAR

20/09/2018 www.ccn-cert.cni.es 1

APROXIMACIÓN ESPAÑOLA A LA

CIBERSEGURIDAD

SEDIANDAY. Ciberseguridad Sector Público SIN CLASIFICAR

www.ccn-cert.cni.es20/09/2018 2

Año Concepto Seguridad Amenaza Cambios Tecnológicos

1980-1990Compusec

Netsec

TransecNaturales

Telecomunicaciones

Sistemas Clasificados

1990-2004Infosec

Info. AssuranceIntencionadas

Redes corporativas

Sist. Control industrial

Infraestructuras Criticas

2005-2010Ciberseguridad

Ciberdefensa

Ciberespionaje

Ciberterrorismo

Telefonía móvil

Redes sociales

Servicios en Cloud

2010-2015 Ciberresiliencia

Seg. TransparenteAPT

HacktivismoBYOD

Shadow IT

2015-2018 Defensa activa

Ciberinteligencia

CiberguerraConflicto hibrido

Desinformación

Big Data

Redes operacionales

IoT



CCN / CCN-CERT

¿Por qué el CNI en ciberseguridad?

CIBERSEGURIDAD aproximación en ESPAÑA

• Estrategia de ciberseguridad

• Esquema Nacional de Seguridad

• Notificación vs Intercambio

• Capacitación y detección talento

INDICE

www.ccn-cert.cni.es

CONCLUSIONES

CIBERAMENAZAS 2018



CNI / CCN

¿ QUE PAPEL JUEGA EL CCN /CNI ?• Mejor conocimiento de la AMENAZA.

• Capacidad técnica y experiencia en seguridad en redes.

• Capacidades de detección (Intercambio de información)

• Capacidad de Defensa de redes (CCN-CERT).

• Capacidad de CONTRAINTELIGENCIA / SIGINT



InteligenciaQuién? Qué? Cómo?

Relación Atacantes, Víctimas,

Motivación

Estados / contrainteligencia

Medios e Infraestructura

Base Datos ciberamenaza

Intercambio otros servicios

Fuentes HUMINT

Inteligencia de

Señales / ISP,s

Detección Temprana

Firmas, Patrones, Conectividades

Análisis de Tráfico / Minería de Datos

Intercambio Información Técnica

Refuerzo forense

RESPUESTA

Detección y respuesta

Defensa de

Redes

Políticas

Procedimientos

Medidas técnicas

Gestión de Incidentes

Capacidades de detección

Análisis Forense

Intercambio otros SOC/CERTs

Ingeniería Inversa

Base de Datos Victimas y TTP,s

Ciberseguridad



…

Actividades del CCN

Desarrollo

Art 2. Apdo.2e RD 421/2004: Coordinar la

promoción, desarrollo, obtención, adquisición,

explotación y uso de tecnologías de seguridad

Evaluación

Art 2. Apdo.2d RD 421/2004: Valorar y acreditar

capacidades de productos de cifra para

manejar información de forma segura

Certificación

Art 2. Apdo.2c RD 421/2004: Constituir el

organismo de certificación del Esquema Nacional

de Evaluación y Certificación del ámbito STIC

APROBACIÓN DE USO

Equipos para proteger

información clasificada

Difusión Limitada

Routers IPSec

APROBADO

De acuerdo con al configuración segura

y el documento:

- CCN-PE-2009-02 Configuración de

seguridad routers IPSec

- CCN-IT-2009-01 Implementación

segura VPN con IPSec

Conocimiento amenazas

Necesidades operativas

Estado tecnología

seguridad

Conocimiento industria

sectorSeguridad funcional

Criptológica

TEMPEST

Seguridad funcional

Criptológica

TEMPEST



Cifrador IP alta velocidad EP430GN

Cifrador IP táctico EP430T

Cifrador SCIP Satélite (CRIPTOPER SAT)

Terminales Móviles Seguros

Terminal de voz y video SCIP (EP641)

Productos de cifra nacionales 2016



CCN-CERT



Establece al CCN-CERT como CERT Gubernamental/Nacional competente

MISIÓNContribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y

respuesta nacional que coopere y ayude a responder de forma rápida y eficiente

al Sector Público a afrontar de forma activa las nuevas ciberamenazas.

COMUNIDADResponsabilidad en ciberataques sobre sistemas clasificados, sistemas

del Sector Público y empresas y organizaciones de sectores

estratégicos para el país en coordinación con el CNPIC.

• Ley 11/2002 reguladora del Centro Nacional de Inteligencia.

• Real Decreto 421/2004, 12 de Marzo, que regula ámbito y funciones del

CCN.

• Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de

Seguridad para la Administración Electrónica, modificado por el RD

951/2015, de 23 de octubre, en respuesta a la evolución del entorno

regulatorio, las tecnologías de la información y experiencia de

implantación.

• RDL 12/2018, de 7 de septiembre de seguridad de las redes y sistemas

de información. Coordinación incidentes



SERVICIOS CCN-CERT

1. Proporcionar guías y estándares de seguridad

• Configuración segura de los sistemas2. Avisos y vulnerabilidades

• Amenazas / Malware / Mejores prácticas3. Formación

4. Respuesta rápida ante ciberataques

5. Intercambio de información

• Incidentes

• Ciberamenazas

6. Auditorias / Inspecciones

7. SOC AGE / SOC SGNTJ

+ 1000



INTERCAMBIO

Servicios / Soluciones de Ciberseguridad

AUDITORÍA DETECCIÓN ANÁLISIS FORMACIÓN

Vídeos/REYES y LUCIA.mp4



APROXIMACIÓN PRÁCTICA

A LA CIBERSEGURIDAD



Camino a seguir…

1. Estrategia / política de ciberseguridad.

2. Gobernanza de la ciberseguridad.

3. Desarrollo reglamentario posibilista.

4. CSIRT de referencia, sectoriales y SOCs.

5. Capacidad de detección y alerta temprana.

6. Incremento de vigilancia (SOC).

7. Capacitación y certificación de personas y búsqueda de talento.

8. Cooperación pública-privada. (construir comunidad)

9. Intercambio de información (confianza)

10.Comunicación y promoción

… Ciberseguridad es un asunto de Seguridad Nacional



Consejo Seguridad Nacional

COMISIÓN PERMANENTE

Consejo de Ciberseguridad Nacional

SISTEMA DE SEGURIDAD NACIONAL / ESTRATEGIA CIBRSEGURIDAD



Líneas de Acción

1

Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las AAPP

2

Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las infraestructuras críticas

3

Capacidades de detección y persecución del ciberterrorismo y de la ciberdelincuencia

4

Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación (TIC) en el sector privado

5

Conocimientos, competencias e I+D+i6

Cultura de ciberseguridad7

Compromiso internacional8

TODOS

Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas

INTERCAMBIO9



2000

2004

2008

2012

2016

2018

RD 3/2010

Ley 11/2007Acceso Electrónico

2016/679

GDPR

Ley Orgánica

2016/1148Directiva NISRDL 12/2018

Transposición

RD 951/20158 Instrucciones Técnicas

de Seguridad

Ley 18/2011EJIS

RD 421/2004

LO 15/1999RD 1720/2007

Ley 39/2015

Ley 40/2015PAC y RJSP

LEY 8/2011

RD 704/2011

https://www.ccn-cert.cni.es/ens.html

https://www.ccn-cert.cni.es/ens.html



PRESIDENTE-CNI

Coordinador



ESQUEMA NACIONAL DE CIBERSEGURIDAD

1. Los Principios básicos, que sirven de guía.

2. Los Requisitos mínimos, de obligado cumplimiento.

3. La Categorización de los sistemas para la adopción

de medidas de seguridad proporcionadas.

4. La auditoría de la seguridad que verifique el

cumplimiento del ENS. SELLOS DE CERTIFICACIÓN.

5. La respuesta a incidentes de seguridad. Papel de

CCN- CERT.

6. El uso de productos certificados. A considerar al

adquirir los productos de seguridad. Papel del

Organismo de Certificación (CCN).

7. La formación y concienciación.

• RD 3/2010

• RD 951/2015

• 4 ITS



MEDIDAS DE SEGURIDAD ENS

Categoría BÁSICA: 45 controles (60%)

Categoría MEDIA: 63 controles (84%)

Categoría ALTA: 75 controles (100%)

CCN-STIC 825

27001 vs ENS



CIBERSEGURIDAD EN EL SECTOR PÚBLICO

Informe Nacional del Estado de Seguridad



NIVEL DE SEGURIDAD SECTOR PÚBLICO 2017

100%

60,7 59,2

46,651,2 52,2

72,2 69,3

57,161,8 63,8

0

10

20

30

40

50

60

70

80

90

100

AGE CC.AA. EE.LL. UNIV. GLOBALÍndice de Madurez Índice de Cumplimiento

Cat ALTA: 90%

Cat MEDIA: 80%

Cat BÁSICA: 50%



25-30 sondas / año

182 organismos

186 sondas



15

24

18

https://commons.wikimedia.org/wiki/File:Logotipo_de_Renfe_Operadora.svg



FORMACIÓN en 2017

24

Objetivos 2018:

• Formación a distancia a EELL y CCAA• Cursos específicos mejorar eficiencias

responsables de seguridad

• Más formación ON LINE (Acuerdos Universidades)

10 cursos



Formación a distancia en 2018

FECHA CURSOUSUARIOS

REGISTRADOSACCESOS

22 febrero Herramienta PILAR 7.1 632 326

4 abril Recolección de evidencias digitales 475 256

25 abril Actualización ENS 476 293

29 mayo Control de ejecución de aplicaciones con AppLocker 379 246

30 mayo Herramienta LUCIA. Gestión de incidentes 383 211

5 junio Análisis forense en iOS / Android 485 248

12 junio Análisis de código dañino 500 231

13 junioHerramienta ROCIO. Auditoría de equipos de

comunicaciones263 131

9 julio Auditoría orientada al ENS -

10 julio Incidentes complejos -

- -

- Herramienta CLARA. Auditoría de sistemas Windows -

- Herramienta REYES. Empleo y capacidades de intercambio -

Herramienta INES. Informe Nacional del Estado de la Seguridad

-

+ 3300 registrados

+ 1800 accesos



GUÍAS / INFORMES

TOTAL GUIASPUBLICADAS 300

TOTAL DOCUMENTOS 356

Descargas:

224.007 • Públicas: 211.081

• Restringidas: 12.926

Informes de Amenazas (IA) (28/30)

Informes de Código Dañino (ID) (29/27)

Informes Técnicos (IT) (92/57)

Buenas Prácticas (BP) (5/3)

154



NOTIFICACIÓN vs INTERCAMBIO

ITS Notificación Incidentes

de Seguridad

BOE 95 (19.04.2018)

RD 3/2010 que regula el Esquema Nacional de Seguridad (ENS). En su artículo 36 se habla de la notificación al Centro

Criptológico Nacional de aquellos incidentes que tengan un impacto significativo en la seguridad de la información

manejada y de los servicios prestados.

Ley 8/2011 - RD 704/2011 Protección de las Infraestructuras Críticas

Instrucciones de la Secretaria de Estado para la Seguridad en el caso de las Infraestructuras Criticas.

REGLAMENTO (UE) 2016/679 de 27 de abril de 2016. Tratamiento y libre circulación datos personales (GPDR).

Directiva Banco Central Europeo. Notificar impacto significativo ( luz publico, daño financiero – 5 millones €, incumplimiento legal,

replica en otras… ).

DIRECTIVA (UE) 2016/1148 de 06 de julio de 2016. (NIS) Medidas garantizar nivel común seguridad de redes y sistemas.

LEY TRANSPOSICIÓN (RDL 12/2018, de 7 de septiembre ),

Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de

notificación, comunicación e información sobre incidentes.

…//…



• ¿Este incidente se notifica?

• ¿Tiene relación con el ENS?

• ¿Es Infraestructura Crítica?

• ¿Es servicio esencial NIS?

• ¿Hay datos personales?

• ¿Cuándo notifico?

• ¿Imagen / sanciones?

• ¿Es delito? ¿Es necesaria una denuncia?

PERO YO LO QUE QUIERO ES AYUDAAAAAA



LUCIA CENTRAL

CCN-CERT

MCCD

ANDALUCÍASGAD

EJÉRCITO1

DIVISIÓN

EJÉRCITO2SEVILLA

DOS HERMANAS

CÓRDOBAMINISTERIO 1 ORGANISMO 2

LUCIA 2018.

MULTINIVEL

CNPIC AGPD NOTIFICACION

UNICA

Los incidentes que afecten a la

LPIC/RGPD serán sincronizados

automáticamente para su gestión

directa con los organismos

Correo electrónico / Formulario Web

SOC AGE



Red de CSIRT en España

• ESP DEF CERT

• eSOC Ingenia

• Eulen-CCSI-CERT

• Guardia Civil

• MAPFRE-CCG-CERT

• Policía Nacional

• Prosegur CERT

• RedIRIS

• S2 Grupo CERT

• S21sec CERT

• Telefónica-CSIRT

• Everis CERT

• Renfe

Iniciativa de CSIRT/CERT, públicos o

privados, cuyo ámbito de actuación es el

territorio español con el objetivo de compartir

e intercambiar de una manera real

Confianza

Intercambio

• Andalucía CERT

• BBVA CERT

• Caixabank CSIRT

• CCN-CERT

• CERTSI

• CertUC3M

• CESICAT-CERT

• CNPIC

• CSIRT-CV

• CSUC-CSIRT

• InnoTec-Entelgy-CSIRT

• esCERT-UPC

• Centro Vasco Ciberseg.



1. RedIRIS Accredited since (23 Mar 2001)

2. CCN-CERT Accredited since (25 Jan 2008)

3. CERTSI Accredited since (01 Jul 2008)

4. CESICAT-CERT Accredited since (25 Dec 2010)

5. esCERT-UPC Accredited since (04 Apr 2011)

6. MAPFRE-CCG-CERT Listed since (15 Jun 2011)

7. S21sec CERT Accredited since (19 Sep 2011)

8. CSIRT-CV Accredited since (27 Sep 2011)

9. AndaluciaCERT Listed since (29 Nov 2012)

10. ESP DEF CERT Accredited since (18 Jul 2013)

11. e-LC CSIRT Listed since (12 Aug 2013)--- Accredited (03-

2017)

12. TEFCCSIRT Accredited (04 Apr 2016) (suspended 06 Dec 2017)

13. S2 Grupo CERT (Accredited since 19 apr 2016)

14. CSUC-CSIRT Acredited since 13 jan 2015

15. ENTELGY-CSIRT (Accredited since 14 oct 2016)

16. CERT-UC3M (Listed since 22 Feb 2017)

17. NUNSYS-CERT (11 2018)

14/3

1. RedIRIS 1997-02-11

2. Caixabank Team 2005-03-29

3. esCERT-UPC 2007-05-09

4. CCN-CERT 2007-06-20

5. CERTSI 2008-06-01

6. CESICAT-CERT 2010-12-01

7. S21sec CERT 2011-04-01

8. MAPFRE-CCG-CERT 2011-07-01

9. Telefonica-CSIRT 2011-07-01

10. BBVA CERT 2014-12-02

11. S2 Grupo CERT 2015-02-27

12. PROSEGUR CERT 2015-11-26

13. ENTELGY-CSIRT 2016-04.26

14. ITS-CERT 2016-12-28

15. EULEN-CCSI-CERT 2017-05-29

16. EVERIS CERT 2017-07-27

17. eSOC INGENIA 2017-11-15

18. Nestle SOC 2017-11-15

19. RENFE 2018.01.18

20. ESP DEF CERT 2018.05.22

21. CSIRT-CV 2018.07.31

22. SIA-CEC CERT 2018.07.31

438 / 86 países

22

310 / +50 países



• Herramientas y soluciones disponibles

• Referencia en ciberseguridad

• Apoyo CNI / CCN



CIBERINCIDENTES 2018Incremento de

presencia de la

amenaza



34

CIBERSEGURIDAD

La habilidad de proteger y defender las redes o sistemas de los ciberataques. Estos

según su motivación pueden ser:

CIBERESPIONAJE

Ciberataques realizados para obtener secretos de estado, propiedad industrial, propiedad

intelectual, información comercial sensible o datos de carácter personal.

CIBERDELITO / CIBERCRIMEN

Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito.

CIBERACTIVISMO

Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas (sitios

web) para promover su causa o defender su posicionamiento político o social.

CIBERTERRORISMO

Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas o

utilizando éstas como medio.

CIBERCONFLICTO / CIBERGUERRA / GUERRA HÍBRIDAOperación dirigida por un Estado que utiliza tácticas abiertas y encubiertas con el objetivo de desestabilizar

otros Estados y polarizar a la población civil. Incluye una gran variedad de herramientas como diplomacia

y acciones de inteligencia tradicional, actos subversivos y de sabotaje, influencia política y económica,

instrumentalización del crimen organizado, operaciones psicológicas, propaganda y desinformación y

ciberataques

CIBERATAQUE

Uso de redes y comunicaciones para acceder a información y servicios sin

autorización con el ánimo de robar, abusar o destruir.



Organizaciones privadas

Reventa

información

corporativa

Abuso comercial

Sustracción y

publicación de

información

Estados

Fake news

Sustracción y

publicación de

información

Ciberespionaje

económico

Ciberespionaje Ciberguerra

Sustracción y

publicación de

información

Ataques a procesos e

instituciones

democráticas

Ciberespionaje

Organizaciones criminales

Manipulación

de la

información

Disrupción de

sistemas

Disrupción de

sistemas

Robo / venta

información

Manipulación

de la

información

Toma de control de

sistemas

Robo / venta

información

Toma de control de

sistemas

Disrupción de

sistemas

Robo / venta

información

Manipulación

de la

información

Toma de control de

sistemas

Guerra híbrida

LEYENDA

Agentes de la amenaza

Víctima Nivel peligrosidad de la amenaza

Sector público

Organización privada

Ciudadanos

Desarrollos relacionados con la amenaza Las medidas tienen efecto limitado en la amenaza

Significativo número de incidentes derivados de la amenaza

Nuevas tendencias asociadas a la amenaza Medidas limitadas para eliminar la amenaza

El número de incidentes no ha sido especialmente significativo

No han aparecido nuevas amenazas Existen suficientes medidas para eliminar la amenaza

No han existido incidentes apreciables derivados de la amenaza

Fuente: Cyber Security Assessment Netherlands. CSAN 2017 y elaboración propia



Ciberterroristas

Propaganda Reclutamiento

Radicalización

Financiación

Disrupción de

sistemas


Radicalización

Financiación


Radicalización

Financiación

Actores internos

Robo y

publicación de

información

Robo y

publicación de

información

Cibervándalos Script Kiddie

Robo de

información

Disrupción de

sistemas

Disrupción de

sistemas

Robo de

información

Robo y

publicación de

información

Ciber- Investigadores

Publicación de

información

Publicación de

información

Publicación de

información

Disrupción de

sistemas

Disrupción de

sistemas

Ciberactivismo

Robo y

publicación de

información

Disrupción de

sistemas

Robo y

publicación de

información

Desfiguraciones

Desfiguraciones

Toma y control

de sistemas

Disrupción de

sistemas

Toma y control

de sistemas

Toma de control

de sistemas

4. Ciberterrorismo

5. Ciberhacktivismo

6. Cibervándalos

7. Actores internos

8. Ciberinvestigadores



TENDENCIAS

CRIPTOMINING

EXPLOIT -KITS

Se prevé que cada vez más familias de malware

incluyan funcionalidades de minería a su arsenal

de ataque.

CIBERESPIONAJE

Los objetivos geopolíticos y geoestratégicos de las naciones darán continuidad al uso de APT´s

para llevar a cabo acciones de ciberespionaje.

RANSOMWARE

ATAQUES CONTRA REDES SOCIALES

Se prevé un mayor uso de estas plataformas para

llevar a cabo actividades de ingeniería social y

reconocimiento en ataques contra organizaciones.

A pesar de que el número de ataques de este

tipo ha descendido, se prevé un aumento de

ataques dirigidos contra objetivos concretos,

como el sector sanitario.

DISPOSITIVOS INTERNET OF THINGS

La creciente utilización de los dispositivos IoT

significará el aumento del interés de los atacantes

por controlarlos. Podría ser el sector más afectado

por la brecha Spectre.

Su evolución desencadenará los primeros ataques

dirigidos al acceso biométrico, sustentado en

reconocimiento facial o huellas dactilares



INCIDENTES RANSOMWARE

CRIPTOMINING

0

50

100

150

200

250

En

e

feb

Ma

r

Ab

r

Ma

y

Ju

n

Ju

l

Ag

o

Se

p

Oc

t

No

v

Dic

En

e

feb

Ma

r

Ab

r

Ma

y

Ju

n

Ju

l

Ag

o

Se

p

Oc

t

No

v

Dic

En

e

feb

Ma

r

2016 2017 2018

Estadística de Ransomware



INCIDENTES MINERS

CRIPTOMINING

0

10

20

30

40

50

60

70

80

Jul Ago Sep Oct Nov Dic Ene feb Mar

2017 2018

Estadística de Criptominer



ATAQUE DE DENEGACIÓN DE SERVICIOS

Además de aumentar el número de ataques y

mejorar su sofisticación, se verán afectados

nuevos sectores como el de dispositivos IoT o el

sector sanitario.

BRECHAS DE SEGURIDAD SERVICIOS EN NUBE

Esta amenaza se podría extender a servidores en

la nube, lo que conllevaría a filtraciones masivas

de datos

TENDENCIAS

CÓDIGO DAÑINO SIN ARCHIVOS

Serán una amenaza de igual potencia que los

troyanos, al no ser detectados por los antivirus.

INTELIGENCIA ARTIFICIAL Y APRENDIZAJE AUTOMÁTICO

Los actores de las amenazas aumentarán el uso

del aprendizaje automático para evadir la

detección. La inteligencia artificial propiciará

ciberataques más sofisticados

AMENAZAS MÓVILES

Los años 2018 y 2019 podrían ser testigo del

primer ransomware móvil diseminado,

probablemente, a través de SMS/MMS.



2017

Wannacry 2.0

(mayo 2017)

Grizzly Steppe

(enero 2017)

Saguaro

(enero 2017)

OwnCloud

(febrero 2017)

APT10

(abril 2017)

Emissary Panda

(febrero 2017)

Struts

(marzo 2017)

APT28

(julio 2017)Snake

(julio 2017)

LexNet

(julio 2017)

notPetya

(junio 2017)

#OpCatalunya

(oct. 2017)

Hidden Cobra

(nov. 2017)

Snake

(sep. 2017)

Emissary Panda

(julio 2017)

Desinformación

Elecciones USA

Demostración fuerza

Sabotaje

Espionaje

RESUMEN 2017



2017

42

Wannacry 2.0

(mayo 2017)

12.05.2017 se tiene constancia de

ciberataque tipo ransomware

(WannaCry)

12.05.2017 CERTs nacionales difunden

primeras alertas. Primera versión

vacuna WannaCry Prevention. Investigación del modo de proceder

del código dañino.

13.05.2017 CCN desarrolla vacuna

NoMoreCry v0.1. Más de 500.000

descargas.

14.05.2017 se publica informe de

código dañino (CCN-CERT ID 17/17

Ransom.WannaCry) Se actualiza

NoMoreCry para WINDOWS XP / 2000.

15/16.05.2015 Vigilancia y coordinación

con organismos. Se remiten +90 alertas de conexión a servidores. Se sigue

actualizando la herramienta.



CASO DE ESTUDIO – DNC & John Podesta “hack & leak”

Cronología

Julio 2015: APT29/The Dukes

Marzo 2016: APT28 vs. John Podesta & DNC

Abril 2016: DNC descubre el compromiso

Junio 2016: conocimiento público y primeras filtraciones

Guccifer 2.0

WikiLeaks

DCLeaks.com



Vector de ataque inicial basado en la explotación del actualización de un

software de contabilidad (M.E. Doc).

Petya no contiene ningún mecanismo de mando y control

Capacidades destructivas, los sectores de arranque cifrados no pueden ser

restaurados e incluso pueden ser borrados en su totalidad.

La configuración de la parte de pago del malware sugiere que el rescate sólo se

agregó como cobertura, no para ganar dinero (causar el mayor daño posible).

Ningún medio para recuperar archivos.

44

NonPetyaEjemplo de cibersabotaje (06.2017)



PARTE DEFENSIVA

• Privilegios de usuarios

• Autenticación de usuario

• Redes sociales

• Telefonía móvil

• Servicios en nube

• Unidades de memoria



TIEMPOS DE RESPUESTA EN UN APT

VERIZON rp_data-breach-investigations



CONCLUSIONES

1. Sensibilización de las autoridades ante el problema de la ciberseguridad

2. Mejorar las capacidades de vigilancia ( SAT y SOC AGE)3. Intercambio de incidentes y amenazas

4. Implantación del ENS / Certificación en el ENS y GDPR5. Uso de productos certificados

6. Colaboración público privada --- CSIRT.ES



1. Aumentar la capacidad de Vigilancia.

2. Herramientas de Gestión Centralizada.

3. Política de seguridad.

4. Aplicar configuraciones de seguridad y actualizaciones.

5. Empleo de productos confiables y certificados.

6. Concienciación de usuarios.

7. Compromiso de dirección (Aceptación Riesgo)

8. Legislación y Buenas Prácticas.

9. Intercambio de Información.

10. Trabajar como si se estuviera comprometido.



Gracias

E-Mails

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es

Documents

APROXIMACIÓN ESPAÑOLA A LA CIBERSEGURIDAD · estratégicos para el país en coordinación con el CNPIC. • Ley 11/2002 reguladora del Centro Nacional de Inteligencia. • Real