AndalucíaCERT atendió el pasado año 646 peticiones mensuales, según recoge su ultima memoria de actuación

AndalucíaCERT, centro experto de la administración autonómica para la prevención, detección y respuesta a incidentes y amenazas de seguridad digital, ha gestionado desde su puesta en funcionamiento hace diez años 31.368 incidentes, 7.752 de ellos en 2019 procedentes de las entidades que conforman su Grupo Atendido. Los percances relacionados con sistemas con vulnerabilidades críticas, código dañino y de contenido abusivo representan más de dos terceras partes del total.

Según recoge la memoria de actividad 2019, el CERT cursó además 35 avisos y alertas de campañas activas y amenazas inminentes a través de su lista de distribución; publicó cinco informes divulgativos en materia de ciberseguridad; efectuó siete revisiones de incidentes, y llevó a cabo otros dos análisis forenses y una asistencia de respuesta in situ por casos de especial gravedad.

Este centro de respuesta, dependiente de la Consejería de Economía, Conocimiento, Empresas y Universidad, tiene como fin maximizar la capacidad de detección de incidencias, aportando visibilidad y perspectiva, y minimizar tanto el tiempo de acción ante ciberamenazas como los daños derivados. Para ello, realiza el análisis, seguimiento y apoyo en la resolución de casos notificados por cualquier entidad de la Junta de Andalucía, por terceros o detectadas por él, así como la interlocución y coordinación con agentes internos y externos.

La red de sensores desplegada en la Red Corporativa de la Junta de Andalucía (RCTJA) permite monitorizar el tráfico de modo continuo, en búsqueda de actividad que pueda ser considerada como incidente de seguridad. Además, los canales de comunicación de AndalucíaCERT facilitan a su Grupo Atendido el contacto permanente para gestionar consultas o percances, realizar análisis e investigaciones y proporcionar una respuesta lo más ágil posible.

A lo largo de 2019, del total de incidentes gestionados por el equipo de respuesta, con una media de 646 al mes, los más preocupantes tenían relación con intentos de distribución de ransomware o secuestro de datos (principalmente descargadores de Emotet), intrusiones (sobre todo a cuentas corporativas comprometidas) y ataques de phishing o suplantación de identidad. El grueso de los percances estuvo vinculado a vulnerabilidades críticas, infecciones e intentos de propagación de programas maliciosos (malware).

El pasado año, por vez primera desde su creación en 2010, AndalucíaCERT vio decrecer los incidentes gestionados, tras un incremento paulatino que en 2017 llegó al 80 %.

Incidentes de ciberseguridad

La clasificación de incidentes gestionados por el CERT según tipo refleja que casi el 90 % está causado por código dañino (23 %), es decir, intentos de propagación de troyanos y gusanos de red; políticas de seguridad y sistemas con vulnerabilidades críticas (19 %); obtención de información (18 %), en su mayor parte correos de phishing; contenido abusivo (15 %) -correos genéricos de spam y extorsión-, e intrusiones (14 %).

Una de las principales amenazas que afectan a la administración autonómica andaluza fueron los incidentes de código malicioso (1.772 casos). Durante el pasado año, del total, 925 correspondieron a troyanos (acceden y controlan el equipo sin ser advertido), 436 a ransomware, 293 a gusanos (programa dañino que se propaga en la red), 76 herramientas de administración remota, 34 de spyware (recopila información sin consentimiento) y ocho a virus (se propagan a través del software).

En lo que respecta al nivel de peligrosidad, la mayoría de los casos tratados tuvo un nivel entre alto (2.762, 35,6 %) y medio (3.371, 43,5 %). Además, se contabilizaron una media mensual de 17 con peligrosidad muy alta o crítica, hasta sumar 207 (2,7 % del total). Estos últimos requirieron una gestión más ágil por el riesgo que entrañaban.

Alerta temprana de ciberamenazas

El servicio de alerta temprana de ciberamenazas cursó el ejercicio pasado 35 avisos sobre incidentes que podían afectar a aplicaciones de uso común. En 2019, el 40 % de las notificaciones estuvo relacionado con vulnerabilidades de productos de Microsoft (14), casi el 19 % con el servidor Oracle WebLogic (3) y ataques del troyano Emotet (3) y un 6,3 % con ataques contra cuentas de Twitter de organismos públicos (2), entre otras.

En lo que respecta a las fuentes de notificaciones, la memoria de actuaciones 2019 de AndalucíaCERT señala que el 30 % de las detecciones fue por medios propios, plataformas de monitorización y sistemas auxiliares, mientras que el resto procedió de vías externas, de organizaciones colaboradoras o correos a la dirección abuse@juntadeandalucia.es.

En cuanto a los organismos objeto de incidentes, seis superaron los 200 y 46 los 20. Si bien existe una gran dispersión, el 80 % de percances está asociado a 14 servicios concretos atendidos por el servicio.

Objetivos para 2020

El centro experto para la gestión de la seguridad TIC de la Junta de Andalucía se marca como objetivos para el presente ejercicio aumentar los organismos adscritos al Grupo Atendido y ampliar los servicios ofrecidos. Asimismo, prevé mejorar la comunicación de la gestión de incidentes e incrementar el alcance de la plataforma de monitorización y detección de incidentes.

AndalucíaCERT, al que están adscritos sin coste económico casi un centenar de organismos, está formado por profesionales especializados, organizados según procesos definidos por estándares internacionales, para mejorar la seguridad de la información, la calidad de los servicios prestados y generar confianza en el uso de los medios tecnológicos.