Hablan los cibercentinelas del Ibex 35: “Están robando patentes y licitaciones a espuertas”

Fachada gris y discreta en una calle cualquiera de un barrio obrero de Valencia. Solamente el dispositivo de reconocimiento de huella digital en la puerta indica que detrás de sus escaparates de cristal opaco se esconde algún tipo de actividad que requiere tecnología de última generación. Estamos en el umbral de la sede central de S2 Grupo, la empresa de seguridad informática que en 2003 fundaron dos ingenieros industriales, José Miguel Rosell y Miguel Ángel Juan, y que hoy es referencia en detección y defensa contra intrusiones en el sector privado y colaboradora de numerosas administraciones públicas.

No es una empresa cualquiera. Asesora del Centro Criptológico Nacional CCN-CERT, el organismo adscrito al Centro Nacional de Inteligencia (CNI) encargado de la defensa de España frente a las ciberamenazas; consultora en seguridad de varias agencias de Naciones Unidas; y contratista responsable del CSIRT (Centro de Respuesta ante Emergencia Informática) de la Generalitat valenciana. Además de todo esto, S2 Grupo es uno de los principales cibercentinelas del Ibex 35. Su cartera de clientes abarca a más de la mitad de las empresas del selectivo. Sus responsables se niegan a confirmar nombres por razones de confidencialidad, pero en esa lista hay cotizadas como Red Eléctrica Española, Iberdrola, Endesa o algunos de los principales bancos del país, como BBVA, CaixaBank o Bankia.

Nos reciben en la puerta, nos colocan una tarjeta de identificación de lo más normal y entramos en el edificio, en lo que se conoce como Equipo de Respuesta ante Emergencias Informáticas (CERT), uno de los pocos privados que hay en España. Lo primero que llama la atención es el silencio. A lo largo de sus distintas estancias y espacios, muchos de ellos de acceso restringido, trabaja cara a la pantalla un ejercito de más de 200 personas dedicadas a plantar batalla a los piratas informáticos que, de forma permanente y sin horarios, bombardean los sistemas de organismos públicos y privados en busca de debilidades y puertas entrada. Aquí no hay personal uniformado ni encorbatado. En esta consultora se llevan más las barbas hípsters y los pantalones vaqueros. La mayoría de la plantilla apenas rebasa los 30 años, pero sus contratos laborales contienen diez páginas con letra pequeña repleta de advertencias sobre confidencialidad y medidas de seguridad.

"Saber la oferta o el precio de una propuesta en una licitación internacional unos días antes de que se presente es algo que puede valer mucho dinero"

“Nos están robando mucho en patentes y diseños, a manos llenas, a espuertas. No solo en España, sino en todo el mundo”, advierte a El Confidencial José Miguel Rosell. El copropietario de S2 Grupo explica que la figura del ‘hacker’ romántico que buscaba entrar en los sistemas para demostrar su debilidad y hacerse notar ha pasado a la historia. Ahora los piratas informáticos son profesionales, ladrones de información organizados que intentan pasar desapercibidos, que emplean señuelos o ‘ransomware’ para despistar los cortafuegos o hacerse con el control de ordenadores y servidores. El CCN detecta cada año unos 8.000 troyanos y una media de dos secuestros informáticos diarios, según explicó recientemente el director del CNI, Félix Sanz Roldán.

Toda información interna es susceptible de ser sustraída y puesta en el mercado negro. Pero Rosell destaca también que una de las dianas son las ofertas comerciales, los proyectos de licitación de proyectos internacionales, información financiera interna o datos de pacientes de salud. “Saber la oferta o el precio de una propuesta en una licitación unos días antes de que se presente es algo que puede valer mucho dinero”, explica. “Es mucho más fácil copiar que inventar. Imagina que has logrado una patente de biogenética. Hay empresas que se tiran cinco años investigando a pérdidas hasta que encuentran algo que resulta rentable. Se está robando información a este tipo de empresas”, añade su socio Miguel Ángel Juan.

TE PUEDE INTERESAR

Terrorismo, ciberataques, infraestructuras: así vigila el CNPIC la seguridad del Estado

Roberto R. Ballesteros Fotografías: Enrique Villarino

Los ciberdelincuentes trafican con esta información en las redes del mercado negro. Algunas se mueven con cierta comodidad en el llamado internet oscuro, como el sistema de navegación Tor, que permite moverse sin que la IP sea identificada. El bitcóin es la moneda elegida para las transacciones, porque permite realizar los pagos y es convertible en cualquier lugar del mundo. En cualquier caso, Rosell advierte a los ciberdelincuentes: “Al final hay que sacar el dinero de algún sitio y se acaba dejando un rastro”.

¿De dónde vienen los robos? Hay mafias, pero a veces también estados. Juan sostiene que Rusia nunca va a confesar que trató de influir en las elecciones de Estados Unidos, pero está convencido de que trató de hacerlo. El problema es que es cada vez más complicado “atribuir” los ataques porque la red está repleta de mecanismos para despistar a la ciberpolicía. Según los responsables de S2 Grupo, es fácil localizar y perseguir a los autores cuando están dentro de España, pero la cosa se complica mucho cuando el cibercrimen se comete desde otros países. “Imaginemos una empresa de motores para aviones que le roban un diseño. Nosotros hacemos un (análisis) forense y descubrimos que la IP desde la que se ha hecho el ataque está en China. ¿Esto significa que el ataque lo ha hecho alguien de China? No. Hoy puede comprarse lo que nosotros llamamos un VPS (un servidor virtual), que es una máquina virtual que permite que desde Valencia, tomando el control de la máquina de China, se lance un ataque y robar una información”.

Agencias públicas y privadas de ciberseguridad de 40 países se han reunido en Valencia a puerta cerrada para compartir datos contra los piratas

La dificultad por parte de las autoridades a la hora de perseguir a los ladrones o secuestradores de sistemas informáticos convierte la protección, la prevención y la defensa en elemento clave en seguridad informática. Esta semana se ha celebrado en Valencia el 50º Congreso TF-CSIRT, un evento organizado por la asociación FIRST (Forum for Incident Response and Security Teams) que ha congregado a los responsables de los centros más importantes de protección de la ciberseguridad internacional. Durante tres días y a puerta cerrada, estos expertos de más de 40 países se han reunido para compartir información y experiencias, con el objetivo de estar mejor preparados ante los incidentes de ciberseguridad.

El congreso, en el que S2 Grupo ha ejercido de socio local, ha contado con la presencia de agencias públicas y privadas de Estados Unidos, China, toda Europa, Australia o Malasia. Sus conclusiones no son públicas, pero Miguel Ángel Juan sostiene que una de las previsiones es que el año 2017 esté marcado por los ataques que supongan “una gran beneficio” para el ‘hacker’, basados en ‘ransomware’ , ataques para compra y alquiler de capacidades o destinados a los directores financieros de las entidades víctimas. “Como ya vimos a finales de 2016, consideramos que continuarán los ataques destinados a robar información con motivaciones geopolíticas y económicas, un ejemplo muy conocido fue el sufrido por Yahoo, por lo que es esencial que las organizaciones se conciencien sobre la importancia de implantar una cultura de la ciberseguridad desde su creación y que englobe a todos sus implicados”, explicaba Juan.

Otro sector de riesgo es el de la industria. Cada vez más se lanzan ataques contra sistema de conectividad o procesos industriales, muchas veces por razones económicas. Hoy en día puede secuestrarse el corazón informático de una planta industrial, de una depuradora o de una eléctrica y dejar una ciudad medio ciega. S2 Grupo presume ser pionero en investigación de mecanismos de defensa para este tipo de situaciones. Cuenta con un laboratorio propio de sistemas industriales, con simuladores en su sede de Valencia. Acceder a esta sala le provoca a uno la sensación de estar en un cuarto de juegos, con maquetas de ciudades y plantas de energía conectadas a paneles de control. Nada más lejos de un juguete. En diciembre de 2015 casi 700.000 ucranianos se quedaron sin electricidad como consecuencia de un ataque coordinado a varias plantas energéticas del país. Es el secuestro exprés 4.0. Una nueva delincuencia para la que urge estar preparados.

Alta tecnología y capital humano 'made in spain' con sede en Valencia

S2 Grupo tiene oficinas en Madrid y Barcelona y un pequeño centro de respuesta de emergencia informática (CERT) en Colombia. Sin embargo la sede principal de la compañía, donde trabajan cerca de las 200 personas de las 230 que tiene en plantilla, está en Valencia. La vocación de sus propietarios, José Miguel Rosell y Miguel Ángel Juan, ha sido, desde que comenzaron a andar en 2003, "hacer una gran empresa de seguridad informática con sede en Valencia". 

El grueso de la plantilla de S2 Grupo se nutre de jóvenes titulados de la Universidad Politécnica de Valencia, la Universidad de Valencia o la Universidad Jaume I de Castellón. Son ingenieros informáticos, de telecomunicaciones o industriales seleccionados a través de una iniciativa que Rosell y Juan han puesto en marcha y que se denomina Enigma. Se trata de un proceso de captación de talento basado en una preselección, formación durante seis meses, otros tres de prácticas en la empresa e incorporación final a la empresa. El 6 de febrero comienza la tercera edición, Enigma 3.0, con doce elegidos de entre más de 200 aspirantes. 

Rosell y Juan prefieren formar desde abajo y desconfian de cualquier 'hacker' con pasado turbulento que quiera regresar al lado bueno de la fuerza. "Nuestros clientes tienen que tener confianza en nosotros. Nunca fichamos delincuentes", afirma Juan con rotundidad.

S3 Grupo ha desarrollado tecnología y herramientas propias de seguridad informática que compite en calidad y fiabilidad con la que llega de grandes compañías de Estados Unidos. En ejemplo: ahora mismo gran parte de la seguriad perimetral de la Administración del Estado está bajo su control y han desarrollado con el Centro Nacional de Inteligencia la solución Carmen, una herramienta con tecnología 100% española que permite detectar los ataques llamados APT (amenazas avanzadas persistentes).

Recientemente también han ganado el contrato para dar respuestas a las emergencias informáticas de la Generalitat valenciana durante los cuatro próximos años. En breve inaugurarán el centro CSIRT, dedicado en exclusiva a esta labor. La compañía cerró 2015 con unas ventas de 8,2 millones de euros, cifra que superaron holgadamente en 2016, ejercicio del que todavía están cerrando las cuentas.