El BCSC y la cultura en ciberseguridad

BCSC, acrónimo de «Basque Cybersecurity Centre», es la organización designada para promover y desarrollar una cultura de ciberseguridad entre la sociedad vasca, dinamizar la actividad económica relacionada con la aplicación de la ciberseguridad y fortalecer el sector profesional.

Como iniciativa transversal representa el compromiso del Gobierno Vasco con sus empresas y ciudadanía en el ámbito de la ciberseguridad.

Si bien el primer servicio de Asesoramiento ante Ciberamenazas 24×7 fue lanzado el 5 de octubre de 2017, la oficina del BCSC se inauguró el 18 de julio de 2018. El proyecto en la actualidad ha logrado situar a Euskadi como uno de los ecosistemas referentes europeos en ciberseguridad y su director, Fco. Javier Diéguez Barriocanal, recibe a ‘Canal de Noticias USECIM’ para hablarnos de la práctica presente y futura de la Ciberseguridad.

Le estoy muy agradecido por atender a nuestro medio, Sr. Diéguez .

¿Quiénes conforman el BSCH?

El comité permanente del Basque CyberSecurity Centre está formado por 4 departamentos del Gobierno Vasco: el de Desarrollo Económico, Sostenibilidad y Medio Ambiente; Seguridad; Gobernanza Pública y Autogobierno; y el de Educación. Y por 4 Centros tecnológicos: Basque Center for Applied Mathematics; Ikerlan, Tecnalia y Vicomtech.

¿Cuáles son sus principales objetivos?

– La misión del BCSC es promover y desarrollar una cultura de ciberseguridad entre la sociedad vasca, dinamizar la actividad económica relacionada con la aplicación de la ciberseguridad y fortalecer el sector profesional.

Nuestra visión es posicionar a Euskadi como un referente internacional en la aplicación de tecnologías de ciberseguridad a la industria. También, ser reconocido como punto de encuentro entre oferentes y demandantes locales de ciberseguridad. Y, por último, liderar iniciativas de colaboración público-privadas tanto a nivel local como interregional.

Instalaciones del Basque Cibersecurity Center en el Parque Tecnológico de Álava

¿Qué servicios ofrecen?

– Somos el punto de encuentro de la ciberseguridad en Euskadi.

Para alcanzar nuestros objetivos lideramos y apoyamos multitud de iniciativas que contribuyan a elevar el nivel de madurez en ciberseguridad de la sociedad vasca. La labor del centro se puede agrupar en dos grandes bloques:

• Iniciativas englobadas dentro del ámbito CERT: estamos constituidos como un equipo de respuesta a incidentes de ciberseguridad (CERT, Computer Emergency Response Team) y ofrecemos servicios de prevención y respuesta a incidentes de ciberseguridad. Estamos autorizados por la Carnegie Mellon para utilizar la marca CERT.
• Iniciativas orientadas a la promoción del ecosistema vasco de ciberseguridad de cara a atraer inversión y talento, colaborando para ello con las empresas vascas y contribuyendo al desarrollo de sus negocios.

¿En qué iniciativas participan a nivel internacional?

– El BCSC forma parte de los principales foros y grupos de trabajo en ciberseguridad del plano local, estatal e internacional, y se coordina y colabora con actores estratégicos en ciberseguridad a nivel mundial.

A nivel internacional formamos parte de iniciativas enfocadas a atraer inversión y promocionar el ecosistema vasco de ciberseguridad, a través de ECSO (European Cyber Security Organization) o de la Global Cyber Alliance. y a dar una respuesta conjunta y coordinada frente a las ciberamenazas, participando en el Forum of Incident Response and Security Teams y en The Task Force on Computer Security Incident Response Teams

Además, tenemos un acuerdo de colaboración firmado con Canadian Institute for Cybersecurity.

Forman parte del Foro CSIRT.es y del Foro Nacional de Ciberseguridad.

– A nivel estatal formamos parte de la iniciativa CSIRT.es, una red de confianza y sin ánimo de lucro cuya misión principal es la de fomentar la coordinación y colaboración entre los equipos de respuesta a incidentes de ciberseguridad, cuya comunidad de usuarios y ámbito de actuación se encuentra dentro del Estado y está formada por más 45 equipos.

El pasado 11 de marzo, el BCSC fue elegido comité coordinador de este, siendo Asier Martinez, nuestro responsable del CERT quién ha asumido las labores de coordinación del Foro.

Por otro lado, hace casi un año que entramos a formar parte del Foro Nacional de Ciberseguridad. Organismo formado por miembros de la sociedad civil, representantes del sector privado, expertos independientes, asociaciones y diferentes organismos relacionados con el sector. Su objetivo es proponer iniciativas al Consejo de Seguridad Nacional y crear sinergias de carácter público-privadas. Aspiramos a que nuestra voz permita crear oportunidades beneficiosas para la industria local del sector.

Por último, a través de un acuerdo de colaboración público-privada estamos alineados con la asociación de Industrias de Ciberseguridad de Euskadi CYBASQUE,

¿Qué beneficios proporcionará el Plan estratégico de Ciberseguridad Euskadi 2025?

– En el BCSC, por iniciativa del Gobierno Vasco y en colaboración con la industria, estamos desarrollando un proyecto tecnológico de excelencia para posicionar a Euskadi como referente internacional en el ámbito de la ciberseguridad industrial.

El nuevo ecosistema integrará a las industrias de los sectores estratégicos recogidas en la Estrategia de Especialización Inteligente en Investigación e Innovación del Gobierno Vasco, que son la fabricación avanzada, la energía y las bio-ciencias aplicadas a la salud.

El ecosistema vasco de ciberseguridad permitirá aglutinar esfuerzos y capacidades para:

• Reforzar la marca Euskadi.
• Generar oportunidades de desarrollo económico.
• Afianzar el entorno industrial.
• Lograr una sociedad digital más protegida.

¿Principales líneas estratégicas?

– Hemos elaborado un plan estratégico hasta 2025 que busca, entre otros objetivos, dinamizar el tejido empresarial vasco vinculado a la ciberseguridad, fomentando el emprendimiento y la creación de start-ups, impulsando las empresas ya constituidas, desarrollando y atrayendo talento e inversión.

Se compone de las siguientes 30 líneas estratégicas:

1. Ideas/Innovación:

• Compra público-privada en innovación.
• Identificación temprana de oportunidades de negocio /cambios normativos.
• Investigación “Business driven”.
• Refuerzo de cultura emprendedora en sistema educativo.
• Involucración emprendedores en serie.
• Plan de apoyo a escalado start-ups.
• Transferencia ciberseguridad a ámbito público.

2. Talento:

• Concienciación.
• Atracción a carreras STEM.
• Transferencia de talento.
• Formación de referencia.
• Empresa de referencia internacional.
• Modelo lingüístico multilingüe.
• Facilidades laborales para atracción y retención del talento.
• Flexibilidad legislativa.
• Coordinación y complementariedad de oferta universitaria.

3. Inversión:

• Confianza en tecnología y servicios vascos.
• Red formal inversores estatales e internacionales.
• Transferencia ciberseguridad a ámbito privado.
• Cultura empresarial abierta a innovación.
• Criterio ciberseguridad en contratación pública.
• Apoyo e incentivación inversión extranjera.

4. Relaciones:

• Especialización en nichos de mercado.
• Observatorio de ciberseguridad.
• Concienciación y educación.
• Modelo de relación y posicionamiento estatal y europeo.
• Eventos de referencia internacional.
• Colaboración start-ups – empresas (corporate venturing).
• Estrategia común.
• Espacio físico icónico de relaciones.

¿Están claras las fortalezas y puntos de mejora del ecosistema vasco de ciberseguridad?

– Sí. Para construir el nuevo ecosistema vasco sobre los mejores cimientos, hemos analizado 12 hubs de referencia internacional, entrevistando a 85 agentes relevantes del entorno de la ciberseguridad. Esto nos ha permitido conocer las fortalezas, pero también los puntos de mejora de Euskadi.

En el marco del acuerdo de colaboración estratégica con Cybasque se han creado diferentes grupos de trabajo cuya actividad está orientada a reforzar las áreas de mayor debilidad y a explotar las nuevas oportunidades.

Para los neófitos en la materia, ¿qué es un CERT?

– Estamos constituidos como un equipo de respuesta a incidentes de ciberseguridad (CERT, Computer Emergency Response Team) y ofrecemos servicios de prevención y respuesta a incidentes de ciberseguridad.

Un incidente de ciberseguridad se define como un evento que atenta contra la confidencialidad, integridad o disponibilidad de información. Para ello, en el BCSC disponemos de un servicio de gestión de incidentes de ciberseguridad cuyo objetivo es mitigar las amenazas que afectan a los ciudadanos y empresas de Euskadi para reducir el impacto potencial de las mismas.

Así mismo, ofrecemos un servicio de asesoramiento 24×7 en el que ayudamos a los usuarios y les explicamos cómo reaccionar ante un incidente.

Este servicio está en comunicación directa y permanente con la Sección de Delitos Informáticos de la Ertzaintza que es parte integrante del Centro.

Hablemos de números. ¿Cuántos incidentes han gestionado durante el año pasado?¿El número ha crecido respecto al año anterior?

– En 2020 gestionamos 501 incidentes frente a los 253 de 2019, lo que supone que gestionamos un 98% más de incidentes que el año anterior.

Los incidentes más destacados de 2020 han sido:

1. Ciberamenazas COVID-19: A medida que el coronavirus comenzó a extenderse, también lo hicieron las acciones de los cibercriminales. Así, se produjo un aumento de phishing y de la aparición de un buen número de programas maliciosos, que utilizaban como pretexto el COVID-19.

2. EMOTET: En septiembre se identificó el inicio de una nueva campaña del malware Emotet, especialmente agresiva en cuanto al volumen de correos que propagaban la amenaza, si bien no tuvieron un impacto masivo.

3. Suplantación a organismos públicos: En abril se identificaron tres campañas de correos electrónicos que intentaban suplantar al Ministerio de Trabajo, Migraciones y Seguridad Social, a la Agencia Tributaria y a la Seguridad Social.

4. Vulnerabilidad Zerologon: Como parte del Boletín de Seguridad de Microsoft del mes de agosto, se corrigió una vulnerabilidad referenciada como CVE-2020-1472 en Windows Server a la que se le asignó el nivel de criticidad crítica.

Cuentan con un Programa de divulgación responsable de vulnerabilidades. ¿Cuáles son sus fases?

– En el BCSC seguimos una política de revelación responsable de vulnerabilidades ya que consideremos que es la mejor manera de fomentar una sociedad más segura y protegida frente a las ciberamenazas. Creemos que la investigación y la divulgación sobre ciberseguridad responsable nos ayudan a mejorar constantemente.

Los errores y las vulnerabilidades se vuelven casi inevitables cuando se desarrolla un sistema informático, software o hardware sofisticado. A menudo, estos errores no los encuentran los empleados ni los técnicos expertos de la propia empresa, sino los investigadores externos.

La detección de estas vulnerabilidades es clave para lograr una sociedad cibersegura. Desde el BCSC realizamos la coordinación responsable de la vulnerabilidad, es decir, hacer de intermediario entre quién descubre las vulnerabilidades y las entidades afectadas con el fin de que dicha comunicación sea lo más fluida honesta posible.

En el momento de recibir las vulnerabilidades, y tras un análisis inicial para confirmarla, notificamos inmediatamente a las entidades afectadas a través de canales de comunicación seguros, de modo que tengan tiempo suficiente para analizar el fallo y tomar las medidas pertinentes para solucionarlo.

Por norma general, se establecerá un periodo de 45 días tras haber enviado la notificación inicial a la entidad afectada para corregir el fallo. En ciertas ocasiones, como en las que explotación de dicha vulnerabilidad pueda tener un impacto crítico, si fuera necesario se convendrá un periodo de gracia adicional, siendo normalmente de 14 días o el que se estime oportuno.

Finalmente, una vez corregido el fallo, se realizará una divulgación conjunta de la información. En aquellos casos en los que la entidad afectada haga caso omiso o muestre desinterés manifiesto en corregir el fallo, se valorará la posibilidad de dar difusión de la vulnerabilidad con el objetivo de alertar a los potenciales afectados.

¿Se crean Start-ups de ciberseguridad en Euskadi?¿Ayudan a su internacionalización?

– La actividad emprendedora de Euskadi en materia de ciberseguridad es una de las más grandes del Estado. Prueba de ello son las numerosas start-ups de ciberseguridad que han sido creadas, las cuales contribuyen al fortalecimiento del sector, afrontando un futuro lleno de posibilidades.

Utilizando como fuente de información la segunda edición del libro blanco de la ciberseguridad de Euskadi, que publicamos a principio de año, de los 153 agentes que conforman nuestro ecosistema, 125 son empresas, 29 de las cuales son start-ups.

De estas 29 start-ups, 12 son proveedoras de servicios de ciberseguridad y las 17 restantes son fabricantes de tecnología propia (producto). Todas ellas se pueden localizar a través de nuestro catálogo de ciberseguridad.

Uno de los objetivos prioritarios de la actividad del BCSC es contribuir al posicionamiento y despliegue internacional de las empresas vascas de ciberseguridad.

Trabajamos principalmente sobre las geografías donde nuestras empresas pueden querer abrir mercado y llevamos a cabo acciones de dos tipos.

Por un lado, mediante la generación de relaciones con empresas, clústeres e instituciones públicas de los ecosistemas target. Un ejemplo podría ser el acuerdo existente entre Euskadi y el Estado de Nuevo León (México) alrededor de Industria 4.0 donde se incluye la Ciberseguridad como un habilitador clave.

Por otro, mediante el desarrollo de actos de promoción para dar a conocer la oferta de las empresas vascas allá donde necesiten darse a conocer o establecer una filial. Ejemplo de ello podrían ser los eventos privados que en 2019 y 2020 promovimos en el marco de la RSA Conference en San Francisco (USA).

También cuentan con un Programa de ayudas de ciberseguridad industrial.

– Por cuarto año consecutivo, el Gobierno Vasco, a través del Grupo SPRI y el BCSC, ponen en marcha el programa de ayudas de ciberseguridad industrial 2021, con subvenciones de hasta 18.000 euros a fondo perdido para impulsar mejoras en la ciberseguridad de las empresas industriales y de servicios avanzados.

Este año se lanzó el programa con un presupuesto inicial de 2.500.000 euros, pero en septiembre tras la recepción y aprobación de la cifra objetivo de 320 proyectos, cubriendo el 99% del presupuesto, se decidió ampliar en un millón de euros más, siendo el presupuesto final de este año de 3.500.000 euros.

La primera convocatoria de este programa, pionero en España, se lanzó en 2018 y desde entonces ha ido creciendo año tras año por el enorme interés que suscita.

¿Realizan campañas de concienciación ante el problema?

– Impulsar una sociedad más segura frente a las amenazas derivadas del uso de Internet y de las nuevas tecnologías y promover la competitividad de las empresas son dos de los objetivos principales del centro.

Por ello, durante el año pasado realizamos 106 jornadas de sensibilización a empresas y agrupaciones empresariales, llegando a 3.300 personas.

Dentro del programa Cyberjendea, enfocado a menores, realizamos 166 jornadas, llegando a más de 2.000 personas.

Toda la información referente a nuestras actividades de concienciación y las fechas de las siguientes sesiones, así como la posibilidad de registrarse se encuentra en nuestra página web o través de la difusión que hacemos de las misma en nuestras redes sociales.

¿En qué consiste el Basque Digital Innovation Hub?

– El Basque Digital Innovation Hub es una red conectada de activos y servicios de fabricación avanzada. Infraestructura para la formación, investigación, testeo y validación a disposición de las empresas. Una realidad en funcionamiento con capacidad de ofrecer conocimiento y servicios concretos a las empresas en los ámbitos de fabricación aditiva, robótica flexible y ciberseguridad.

El objetivo de la iniciativa es proporcionar a las empresas industriales, especialmente a las PYMEs, las capacidades tecnológicas necesarias para hacer frente a los desafíos de la industria 4.0.

Y para eso hemos creado una red de colaboración público-privada: universidades, centros tecnológicos, unidades de I+D empresariales, networking internacional etc. Una red conectada de activos compuesta por infraestructuras, laboratorios, equipamientos, software, y capacidades científico-tecnológicas innovadoras y excelentes en el entorno de la fabricación avanzada.

El nodo de ciberseguridad del BDIH está compuesto por 5 laboratorios distribuidos en los 3 territorios históricos y conectados entre sí. Los laboratorios son utilizados para fomentar el emprendimiento y la innovación. Haciendo foco especial en proyectos de smart-grid, automoción, blockchain, testeo de productos, etc.

Háblenos, por favor, del Cyber Range, uno de sus nodos de ciberseguridad.

– Uno de los activos del nodo de ciberseguridad del Basque Digital Innovation Hub, es el laboratorio donde tenemos implantado el Cyber Range. Ubicado en el Parque Tecnológico de Álava está conectado con los otros cuatro laboratorios del nodo. Está diseñado expresamente para el entrenamiento y la capacitación continua de profesionales de ciberseguridad, contribuyendo de igual modo a la formación de nuevos profesionales del sector.

Para ello, se plantean retos reales de análisis forense, criptografía, ingeniería inversa, esteganografía, explotación web, etc. que, de manera práctica, las personas que acceden al Cyber Range deben resolver ampliando así su conocimiento y preparándose mejor para hacer frente a los retos con los que se van a encontrar en su día a día.

Los ejercicios se realizan en formato captura la bandera («Capture The Flag» o CTF por sus siglas en inglés) que consiste en una competición individual o por equipos en la que se deben superar una serie de desafíos, poniendo a prueba así las habilidades de los participantes.

Las modalidades de CTF que se realizan son las siguientes:

• Jeopardy: consiste en diferentes pruebas, pudiendo ser estas en varios ámbitos de la ciberseguridad, y teniendo que ser resueltas de manera individual o por equipos, en el menor tiempo posible.
• Attack – Defense: Competición por equipos en la que el Blue Team defiende una infraestructura mientras el Red Team intenta atacarla.

Así mismo, contamos con una plataforma disponible 24x7x365 enfocada específicamente para el desarrollo de las capacidades de los participantes en el ámbito del pentesting.

¿Cuál es el objetivo de la asociación «Cybersecurity Smart Regions?

– El objetivo de la asociación «Cybersecurity Smart Regions» es desarrollar la cooperación interregional para crear sinergias entre las regiones especializadas existentes en ciberseguridad, facilitar el desarrollo de la cadena de valor de la ciberseguridad de la UE, abordar los desafíos que obstaculizan la comercialización de productos y servicios nuevos y existentes en Europa y fomentar la inversión empresarial en ciberseguridad.

EL BCSC, como parte de esta asociación, ha ayudado en el desarrollo de actividades de apoyo al desarrollo de la ciberseguridad. De hecho, el fortalecimiento de los ecosistemas de ciberseguridad regionales en Europa tiene un papel fundamental en la estructuración del aún “joven” sector europeo. En este contexto, se tiene como objetivo fomentar la cooperación entre ecosistemas maduros ya existentes. Como el de Euskadi, que ha definido la ciberseguridad como herramienta transversal en la prioridad de su Estrategia de Especialización Inteligente (S3).

Fco. Javier Diéguez Barriocanal, director del BCSC

Y, para finalizar, quisiera conocer su opinión sobre el nivel actual de ciberseguridad. ¿Nos estamos preparando a la velocidad necesaria o el ciberdelincuente nos lleva demasiada ventaja?

– Creo que la ciberdelincuencia siempre irá un paso por delante y existen circunstancias que favorecen que así sea. Y destacaría tres. En primer lugar, las organizaciones cibercriminales no actúan sujetas a ninguna limitación legal, ni ética, mientras que quienes estamos en el equipo defensor siempre nos atenemos a la ley y a observar un comportamiento rigurosamente ético, lo que nos coloca en clara desventaja.

En segundo lugar, el cibercrimen es un negocio muy lucrativo y como tal está fuertemente financiado y altamente capacitado mientras que las organizaciones amenazadas suelen tener recursos más limitados. Y, en tercer lugar, existen dificultades para realizar la atribución de la responsabilidad en el espacio digital porque quien ataca suele borrar muy bien sus huellas, e incluso en el caso de que se pudiera atribuir responsabilidad podría ser imposible responder porque la organización atacante estuviera actuando desde lugares donde la jurisdicción no se pudiera aplicar (por ejemplo, Corea del Norte).

La actitud más prudente sería hacer lo mejor que podamos con los recursos que tengamos, evitando la falsa sensación de “por si alguna vez somos víctimas” y en lugar de eso preparándonos “para cuando seamos víctimas”. La resiliencia, la capacidad de recuperarnos con el menor daño posible, es tal vez el criterio más importante a la hora de priorizar en la construcción de nuestras salvaguardas.

Muchas gracias por su tiempo , Javier.

– Muchas gracias a Uds.

OSCAR ETXEBARRIA

OTROS ARTÍCULOS RELACIONADOS

• Stop Child Abuse de EUROPOL
• El perfil criminal del Groomer
• Colaboración entre EUROPOL y Eurojust
• Acuerdo de trabajo entre EUROPOL y EPPO
• 49 países africanos contra el ciberdelito
• Estrategia contra la delincuencia organizada