Licencia para hackear Red.es

 

Red.es, la entidad adscrita al Ministerio para la Transformación Digital y de la Función Pública, será ciberatacada por petición propia a partir del próximo mes de septiembre. Se trata de un servicio de red teaming y hacking ético mediante el cual la organización pondrá a prueba su seguridad informática con ataques simulados y no destructivos. Durante cuatro años, la empresa pública se someterá a esta prueba de fuego de sus medidas de protección y ciberresiliencia.

El concurso público, que cuenta con una licitación cercana a los 350.000 euros, todavía no ha sido adjudicado, pero se ha presentado casi una decena de ofertas. Dada la naturaleza del concurso, los criterios técnicos pesan mucho más que los económicos a la hora de la adjudicación, en una relación de 70%-30%.

La protección de Red.es no es un tema menor, dado que es la entidad encargada de articular multitud de iniciativas en colaboración con otras Administraciones y Organismos públicos, desarrollando la Agenda Digital y otros programas de digitalización con cargo a fondos europeos. Además de este rol dinamizador del ecosistema digital en España, Red.es gestiona también los dominios “.es”, actuando la entidad como autoridad de registro para los nombres de dominio de internet bajo el indicativo de primer nivel correspondiente a España (.ES).

Para quienes no están familiarizados con estas fórmulas de ciberseguridad, seguramente una de las primeras cuestiones que les sorprende son los 48 meses de contrato. Sin embargo, ya no es sólo que de esta manera se pueda afrontar mejor el contexto de ciberamenazas de forma continuada, sino que determinados ataques requieren el tiempo que los ciberdelincuentes se toman.

Durante estos cuatro años, el adjudicatario habrá de realizar hasta cuatro ejercicios denominados Red Team y 16 pruebas breves de hacking ético. Para entender la compleja realización de estos ejercicios es importante conocer a los actores que participan de él, que emplean la terminología anglosajona:

•          Blue Team, encargado de la seguridad defensiva.
•          Red Team, que acomete la seguridad ofensiva, poniendo a prueba las capacidades defensivas del Blue Team. Una parte de él realiza los ciberataques con un conocimiento específico de la infraestructura y medidas defensivas de Red.es; otra no tienen por qué disponer de ese conocimiento previo para romper las defensas.
• White Team, compuesto por directivos de Red.es con alto nivel de decisión que supervisan el trabajo del equipo de hacking ético. Suya es la decisión última de autorizar o no acciones que puedan suponer un riesgo o desencadenar una situación de cibercrisis.
• Purple Team es un equipo mixto y temporal que se nutre tanto del Blue Team como del Red Team. El objetivo es compartir las debilidades identificadas y buscar soluciones al respecto. Cada hallazgo ha de incorporar su nivel de peligrosidad (crítico, muy alto, alto, medio, bajo), detallando su contexto y las técnicas empleadas para provocar el incidente.
• Comité Técnico de Ciberseguridad, que se reúne semanalmente para analizar los ciberincidentes ocurridos, vulnerabilidades detectadas (a todos los niveles, no sólo tecnológico) y las recomendaciones en materia de ciberseguridad.

Los ataques del Red Team son los más sofisticados –de mayor envergadura que un test de intrusión y/o un análisis de vulnerabilidades-, utilizando técnicas empleadas en ataques reales, con el mayor número posible de vectores de ataque y de un modo sostenido en el tiempo. Tanto es así que el plazo mínimo orientativo de ejecución de un ejercicio de estas características es de cuatro meses. La finalidad es reproducir un escenario comprometido real, simulando un ataque que busque, como sucede con las últimas tendencias de ransomware, la exfiltración de información.

Cada vez un mayor número de amenazas dan un rodeo hasta llegar a su objetivo principal, atacando a otros eslabones de su cadena de valor. Por este motivo y dado el nivel de acceso a los sistemas e infraestructura de Red.es por parte del adjudicatario, es imperativo que si éste sufre un ciberataque en su propia organización lo comunique inmediatamente. De existir riesgo de que la amenaza se pudiera propagar a Red.es, podría incluso cortar todos los accesos del contratista.

Poner a prueba de este modo la ciberseguridad de un organismo tan crítico como Red.es una buena noticia, si bien es cierto que exige unos elevadísimos niveles de confidencialidad y así como de garantías de que no se verán perjudicados en modo alguno la disponibilidad de sistemas, servicios e información de la entidad ni su integridad. 

(Artículo en Público)