Interior exprime la inteligencia de amenazas

 

El ritmo de ciberataques y amenazas se ha multiplicado exponencialmente en los últimos años. La Administración Pública es uno de los principales objetivos de los grupos criminales –en ocasiones, patrocinados por otros Estados- así como de los denominados hacktivistas. Por este motivo, desde el Ministerio del Interior han apostado por apoyarse en la plataforma Recorded Future para blindar las aplicaciones web que pone a disposición de la ciudadanía, en un contrato por dos años y un importe cercano a los 800.000 euros.

Recorded Future cuenta con más de 1.900 clientes en 80 países, incluidos los gobiernos de 45 países. Su base de datos de inteligencia de amenazas permite monitorizar en tiempo real los riesgos y se comercializa en modo software como servicio (SaaS) bajo un modelo de suscripción, de manera que el acceso es vía internet sin necesidad de adquirir nuevo hardware ni instalar software. Nadie lo diría al pasar por su fachada en un edificio de ladrillo rojo a las afueras de Boston, en el que todavía cuelga el cartel de sus antiguos propietarios, una lavandería.

Desde 2019 y hasta el año pasado, Recorded Future pertenecía al fondo de capital privado Insight Partners. Sin embargo, en septiembre de 2024, MasterCard sorprendía con la noticia de la adquisición de la plataforma por 2.650 millones de dólares. La firma de pagos ya venía colaborando con Recorded Future para mejorar su detección de fraudes apoyándose para ello en Inteligencia Artificial generativa (GenAI por su acrónimo en inglés).

La Subdirección General de Información y Comunicaciones para la Seguridad (SGSICS) ya pudo comprobar la efectividad de la plataforma al contratar dos suscripciones por espacio de seis meses el pasado noviembre. Vistos los buenos resultados pero acreditado que la SGSICS no dispone de medios suficientes para extender por sí misma el aprovechamiento del potencial de Recorded Future, el contrato ha sido adjudicado a la única oferta presentada por parte de la empresa TRC Informática, que hará uso de dos suscripciones a la plataforma durante dos años por 791.219 euros. 

Recorded Future se ha convertido en uno de los mayores repositorios de seguridad, con información de hace más de una década que permite a las organizaciones encontrar información en tiempo real tanto de potenciales atacantes como de víctimas y en diferentes formatos (texto, imágenes, fuentes técnicas…). La importancia del ‘tiempo real’ es superlativa, tal y como explicaba recientemente, Matt Kodama, director de Ciencia de Datos de Recorded Future. Desde su punto de vista, cuando un ciberdelincuente se hace con tus contraseñas o inicios de sesión, se inicia una carrera basada en “la rapidez con la que los actores de amenazas usarán esta información frente a la rapidez con la que los defensores la descubrirán y pondrán remedio”. En esencia, se trata de aprovechar las bondades de la IA, el procesamiento masivo de datos (big data) y las tecnologías de automatización para adelantarse o mitigar las vulnerabilidades de las aplicaciones, incorporando alertas personalizadas, informes dinámicos, plantillas de inteligencia de amenazas personalizadas, etc.

La base de datos no sólo es capaz de informar sobre los niveles de riesgo de un dominio de internet específico, sino también del perfil más frecuente de sus víctimas y si mi organización encaja o no en ese perfil. El abanico de espacios en los que se exponen amenazas es amplísimo, de ahí la importancia de una plataforma como esta. Para hacerse una idea más clara, sólo refiriéndonos a fuentes abiertas accesibles para cualquiera es preciso monitorizar canales de noticias, páginas web, redes sociales (Facebook, X, Instagram, LinkedIn, Reddit, TikTok, VK, Mastodon…), foros y blogs, canales de IRC (Internet Relay Chat) y mensajería instantánea (WhatsApp, Telegram…), repositorios de código como GitHub. A este panorama tan amplio es preciso incorporar la Dark y Deep Web, donde hay multitud de foros de atacantes, portales y sitios accesibles a través de TOR (The Onion Router) para enmascar la identidad, etc. El contrato explicita la obligatoriedad de recopilar datos de al menos 1.500 portales de la Dark Web.

Todo esto está contemplando en el contrato del Ministerio del lnterior que, además, requiere que la plataforma use algoritmos de aprendizaje automático, procesamiento de lenguaje natural y patrones para recopilar, indexar y analizar todos estos datos. Además, la plataforma tendrá que ser capaz de recoger y procesar información de manera nativa en no menos de 14 idiomas distintos (español, árabe, chino, inglés, farsi, francés, alemán, portugués, italiano, japonés, coreano, ruso, ucraniano y sueco). El sistema deberá proporcionar alertas sobre amenazas relacionadas con  países y geografías específicas, así como advertir, por ejemplo, sobre campañas de phishing o spam.

Otra de las grandes preocupaciones de Interior es el auge de los casos de ransomware; no es para menos después del bochornoso episodio vivido con el SEPE en 2021, cuando lapágina web fue ‘secuestrada’ y el servicio caída durante días. Por este motivo, el contrato también contempla un panel de control para víctimas de ransomware, permitiendo su consulta y su cruce con otros organismos, actualizándose al menos dos veces al día. Este panel proporcionará tendencias de ataques para identificar a los actores y amenazas de ransomware más relevantes para el Ministerio del Interior, incluyendo un perfil de riesgo del ministerio.

(Artículo en Público)