Así trabaja el Centro de Ciberseguridad de Madrid que defiende a la capital frente a posibles ataques
El Debate es testigo directo de cómo funciona el cerebro que vela por la protección de las infraestructuras municipales y que acaba de cuadruplicar su presupuesto
Internet está tan integrado en nuestras vidas que resulta difícil imaginar algún ámbito que escape a sus tentáculos. Pero las aguas del ciberespacio no son siembre tranquilas: aunque a oídos del común de los mortales no llegue más que como un lejano ruido de fondo, la red es el escenario de un combate permanente entre el bien y el mal.
El ciberespacio es, efectivamente, un lugar invisible, pero de su seguridad dependen realidades muy palpables. La protección de nuestros datos más delicados o el buen funcionamiento de nuestras infraestructuras y sistemas de comunicación son sólo algunos ejemplos. Y para todo ello es necesario que el bien prevalezca.
El presupuesto se ha cuadruplicado
La ciudad de Madrid no es ajena a estas preocupaciones. Durante los útimos años, el Ayuntamiento ha puesto en marcha un gran plan de transformación digital dotado con una inversión plurianual de 1.000 millones de euros para fortalecer el liderazgo digital en todos los ámbitos. Esto ha obligado a reforzar la protección del ciberespacio, multiplicando por cuatro los recursos humanos y económicos destinados a este fin.
En este contexto, recientemente fue inaugurado el nuevo Centro de Ciberseguridad del Ayuntamiento de Madrid (CCMAD), situado en el barrio de San Blas-Canillejas, donde el responsable del centro, José Ángel Álvarez, con más de 20 años de experiencia en el sector, recibe a El Debate.
Las nuevas instalaciones del CCMAD:
- Sala de control de 250 m²
- Sala de gestión de cibercrisis
- 15 puestos de operador con pantalla curva panorámica
- Dos despachos de responsable
- Un videowall con una superficie de 300 pulgadas
Aunque fue creado a finales de 2021, el centro se ha visto reforzado este año con estas nuevas instalaciones, que contribuirán al mejor desempeño de sus funciones: cibervigilancia, monitorización, detección y respuesta a ciberincidentes que afectan a las áreas de gobierno municipal.
Hasta 14.000 eventos por segundo
José Ángel nos conduce a la sala de control, una estancia de 250 metros cuadrados desde donde se centralizan todas las operaciones de ciberseguridad de la red municipal. La sala está presidida por un enorme videowall que refleja en tiempo real la naturaleza y el volumen de los ciberincidentes tanto locales como internacionales.
Aquí se procesan hasta 14.000 eventos por segundo (unos 1.200 millones cada día), de los cuales se derivan unas 70 investigaciones diarias. José Ángel destaca la importancia de compartir la información de las amenazas detectadas con el resto de organismos públicos, lo cual se realiza a través de la Red Nacional de SOCs, iniciativa del Centro Criptológico Nacional (CCN-CERT), organismo con el que CCMAD mantiene una comunicación permanente. Compartir permite a otros organismos prevenir los ataques antes de que se produzcan.
no se trata de si vamos a sufrir o no un ciberataque... somos conscientes de que va a suceder... solo falta saber cuándo, por lo que debemos estar preparadosResponsable del CCMAD
Aunque la mayoría de estos eventos son falsos positivos, algunos de ellos sí son actividades que provienen de «actores maliciosos», comenta José Ángel. En estos casos, una vez se ha diagnosticado el problema, el equipo de CCMAD debe ser capaz de coordinar acciones de respuesta para volver a la normalidad. A pesar de ello, su prioridad es siempre la prevención: «No se trata de si vamos a sufrir un ciberataque o no, sino de cuando; somos conscientes de que va a suceder».
¿Cómo se actúa ante una cibercrisis?
El protocolo de actuación cuando se detecta una cibercrisis depende de la naturaleza de las amenazas. Para ello hay una serie de estrategias bien definidas. José Ángel explica que «no es lo mismo un ataque de secuestro de datos o ransomware, que un ataque de robo de credenciales o una exfiltración de información».
En todo caso, siempre se trata en primer lugar de minimizar la posibilidad de que suceda. Si no se ha podido evitar el ataque, el segundo paso es «hacer un buen triaje», es decir, diagnosticar correctamente el problema. A partir de ahí, el equipo tratará de tomar «medidas específicas de contención».
¿Hackers o ciberdelincuentes?
El responsable compara un ciberataque con una infección por un virus: el primer paso es siempre tratar de que no se expanda por todo el cuerpo. Si una amenaza lograra superar las barreras de control, la prioridad es «tratar de contenerla», aislando equipos o incluso segmentos de la red municipal. Una vez neutralizada, el centro se encargará también de la restauración de la normalidad.
Para comprenderlo mejor, el equipo de CCMAD hizo un simulacro para las cámaras de El Debate:
¿Qué pretenden y quiénes son los atacantes?
Para José Ángel, los atacantes tienen dos objetivos principales: por una parte la interrupción de los servicios, normalmente a cambio de un rescate; por otra parte, acceder a la información de los ciudadanos custodiada por el Ayuntamiento de Madrid.
Los atacantes son heterogéneos. A veces se trata de particulares con habilidades informáticas operando desde sus casas «para ver qué es posible obtener», pero también existen atacantes profesionales o cibercriminales, con medios y organización detrás. Finalmente, señala José Ángel, «tampoco es descartable que determinados Estados quieran realizar operaciones en el ciberespacio con diferentes fines».
Las cuestiones sobre la atribución de los ataques son complejas. Aunque existen sospechas, nunca es fácil saber quién está detrás de cada ataqueResponsable del CCMAD
En todo caso, añade, las cuestiones sobre la atribución de los ataques son complejas. Aunque siempre existen sospechas y suposiciones, no es nada fácil saber quién está detrás de cada ataque. «Nosotros preferimos centrarnos más en las cuestiones palpables y dejar esas cuestiones a otros organismos que pueden tener más interés y competencias en esas atribuciones», señala el responsable.