La Red Nacional de SOC de España, pionera en Europa.

La Red Nacional de SOC de España, pionera en Europa.

España A FONDO: DÍA INTERNACIONAL DE LA CIBERSEGURIDAD

Así opera la red de 250 SOC que combate el cibercrimen en España y es referente europeo

DISRUPTORES - EL ESPAÑOL ha hablado con el CCN y compañías como Accenture, BBVA y Eset para conocer cómo se articula la cooperación público-privada que está transformando la defensa digital en Europa.

Más información: El 'leitmotiv' de los criminales cibernéticos: cómo el beneficio económico inspira los ataques informáticos más letales

Publicada
Actualizada

Las claves
nuevo Generado con IA

España lidera en Europa con una red de más de 250 Centros de Operaciones de Seguridad (SOC) interconectados, coordinada por el CCN-CERT, que combate ciberataques de forma colaborativa entre organismos públicos y privados.

La Red Nacional de SOC permite compartir inteligencia en tiempo real, estandarizar la respuesta ante amenazas y facilitar la detección y bloqueo coordinado de ataques como ransomware o campañas de phishing.

El modelo español es pionero y sirve de referencia para la futura red europea ENSOC, destacando por su integración tecnológica, automatización, estándares abiertos y enfoque en la soberanía y privacidad de los datos.

El reto para el futuro incluye la extensión de la red a sectores críticos, la automatización avanzada mediante inteligencia artificial y la atracción de talento especializado para mantener la eficacia frente a ciberamenazas cada vez más sofisticadas.

Liderar tecnologías trascendentales para el devenir de estados, empresas y ciudadanos es complicado si el punto de partida es un contexto geopolítico en el que, si tomamos el mantra como cierto, Estados Unidos innova, China copia y Europa regula.

Más aún si hablamos de ciberseguridad, un intangible dominado por los dos bloques geopolíticos ‘rivales’ que ganan posiciones a golpe de talonario, tanto en la faceta defensiva como en la ofensiva. Pero hay excepciones. El Viejo Continente tiene en España un reducto de esa innovación.

A finales de 2020 la Comisión Europea (CE) comenzó a hablar en términos de “pandemia de ransomware”. En ese momento se produjo un aumento de ciberataques patrocinados por los Estados, una digitalización masiva de empresas y Administración, y la aparición de técnicas de ataque cada vez más sofisticadas.

Fotomontaje con la ilustración de un hacker y la bandera de Rusia.

Esto supuso un punto de inflexión que llevó a plantear la necesidad de conectar distintos Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés) a lomos de la inteligencia artificial. Iniciativa que terminó formando parte de la Estrategia de Ciberseguridad para la Década Digital.

España recogió la idea y en 2022 se puso en marcha una red que hoy suma más de 250 organismos. Todos ellos han puesto sus SOC al servicio de la lucha contra los ciberataques a escala nacional. Esta infraestructura supone el mayor ejemplo de colaboración público-privada en la compartición de inteligencia de amenazas e indicadores de compromiso. Su fin: generar un país más conectado, seguro y resiliente.

España, punta de lanza

Comandada por el Centro Criptológico Nacional (CCN-CERT), organismo dependiente del Centro Nacional de Inteligencia (CNI), la Red Nacional de SOC (RNS) es pionera en Europa. Para su puesta en marcha, se tomó como punto de partida la experiencia en la gestión de sus plataformas a escala ministerial y regional.

El siguiente paso fue añadir agentes privados que, según su nivel de compromiso y certificación, mantienen una escala dentro de la red. Entre ellos figuran empresas del Ibex 35 como BBVA; consultoras como Accenture y Evolutio; o firmas de ciberseguridad como Palo Alto Networks y Ontinet, con las que ha hablado este medio.

"Con esta red nacional, una señal detectada en un punto se convierte en protección global"

CNN-CERT

El resultado es un ecosistema que mejora la calidad empresarial, genera un impacto recíproco en la defensa pública, y ofrece una respuesta unificada y más ágil a las amenazas en el ámbito nacional.

“Este mecanismo significa que una detección en un sitio se convierte en una protección global para todos los miembros, permitiéndonos reaccionar mucho más rápido frente a los ciberdelincuentes”, aseveran desde el CCN-CERT a DISRUPTORES – EL ESPAÑOL. “Hemos conseguido un éxito rotundo, algo fundamental para la seguridad nacional”.

SOCs colaborativos

En el sector privado se comparte esta visión y las empresas consultadas por este medio añaden algunos matices que facilitan entender mejor el modelo. Así, el director de Seguridad en España y Portugal de Accenture, Agustín Muñoz-Grandes, considera que “la Red Nacional de SOC debe desempeñar un papel clave como punto de encuentro operativo para la ciberseguridad en España, sin sustituir a los centros existentes, sino conectándolos y coordinándolos”.

A su juicio, el modelo ideal es “federado y colaborativo, donde cada entidad mantiene su autonomía pero comparte inteligencia de manera estandarizada”. Una necesidad de estandarización que no es menor.

"La Red Nacional de SOC no sustituye a los centros existentes, sino que los conecta y coordina"

Agustín Muñoz-Grandes, director de Seguridad en España y Portugal de Accenture.

Según el Libro blanco del SOC, publicado hace unos días y avalado por la RNS, estos centros han evolucionado integrando inteligencia de amenazas, análisis de comportamiento (UEBA), automatización avanzada mediante SOAR y playbooks dinámicos, así como visibilidad unificada en entornos híbridos, cloud u OT. Todo ello es lo que permite que la red opere como un sistema coordinado y no como un compendio de piezas aisladas.

En esta misma línea, el CTO de Ontinet/Eset, Alejandro Aliaga, advierte que “una red nacional de SOC debería funcionar como un gran centro de coordinación donde convergen las señales que alertan de posibles ciberamenazas en el país”. Recuerda que esa visión global permite ordenar la respuesta y evitar actuaciones aisladas “ofreciendo recomendaciones y medidas concretas que ayuden a reforzar la seguridad de las organizaciones afectadas”.

¿Cómo frena las amenazas la red de SOC?

La Red Nacional de SOC funciona como un sistema nervioso distribuido que detecta, interpreta y reacciona antes de que un incidente aislado se convierta en un problema para el país. Según el Libro Blanco del SOC y las prácticas descritas por el CCN,son varios los escenarios donde esta infraestructura de colaboración marca la diferencia.

Para ilustrarlos (sin dar nombres concretos), se puede dar el caso de que un SOC local reporte correos maliciosos que imitan a organismos públicos. La plataforma común identifica el patrón y difunde reglas de bloqueo a todos los miembros, cortando la campaña antes de que genere accesos indebidos.

Otro ejemplo es cuando un organismo detecta un script cifrador o un comportamiento anómalo. En esta situación, la red comparte de inmediato los indicadores de compromiso. Esto permite que otros SOC detengan el mismo vector de ataque en minutos, evitando que el ransomware llegue a escalar entre comunidades o servicios esenciales.

Automatizados y soberanos

Una premisa que se refuerza con los datos aportados por el director de Cortex Cloud para EMEA de Palo Alto Networks, Jesús Díaz Barrero, desde donde recuerdan que “el 84% de los incidentes ya afectan a varios ámbitos, ya sea red, endpoints, identidad, correo o cloud”. Por ello, defienden que es necesario transformar los SOC hacia “un enfoque mucho más integrado, automatizado y guiado por datos”.

El informe mencionado también alude a la cuestión de la hiperautomatización como esencia para los SOC del futuro, “que deberán contener incidentes en segundos y no en horas”.

Desde BBVA, su equipo de seguridad señala otro aspecto fundamental: la privacidad y la soberanía tecnológica. “La privacidad se preserva mediante políticas y procedimientos comunes que aseguran la anonimización de la información antes de su intercambio”. También destacan la aceleración del riesgo: “La inteligencia artificial generativa no crea riesgos completamente nuevos, pero sí amplifica y acelera los existentes”.

Mientras Jacinto Cavestany, CEO de Evolutio, pone en valor el proceso de normalización técnica: “Se ha hecho un gran trabajo certificando la calidad de los SOC”. A ello se suma un cambio de paradigma: “Ha habido una normalización de los sistemas estatales y de las comunidades autónomas y se ha implantado un modelo de éxito. Hay que seguir ampliándolo”.

“El 84% de los incidentes ya afectan de forma simultánea a varios ámbitos”

Jesús Díaz Barrero, director de Cortex Cloud para EMEA en Palo Alto Networks.

El Libro blanco del SOC confirma que una de las grandes dificultades actuales para identificar y parar parte de los ciberataques es “la fragmentación tecnológica”.

Concreta que muchos SOC trabajan con más de 30 herramientas desconectadas, “lo que genera fatiga por alertas, falsos positivos y pérdida de contexto”. Un modelo como el español, que establece estándares comunes, reduce este problema.

Ejemplo para Europa

Con toda esta experiencia acumulada, no es de extrañar que Bruselas haya puesto sus ojos en España para coordinar su modelo ENSOC (European Network of Security Operation Centres) y liderar un consorcio del que forman parte más de 16 países.

El objetivo, según el CCN, es “profundizar en la cooperación a escala europea mediante el intercambio de inteligencia de amenazas, la detección de incidentes y el desarrollo colaborativo de herramientas” y avanzar hacia el futuro Escudo Cibernético Comunitario.

El pleno de la Eurocámara, durante las votaciones de este jueves en Estrasburgo

Las empresas consultadas por DISRUPTORES - EL ESPAÑOL coinciden en que nuestro país llega con ventaja a este momento. “España no empieza de cero, cuenta con una red nacional plenamente operativa que otros Estados aún están diseñando”, defienden el directivo de Palo Alto.

Muñoz-Grandes, de Accenture, coincide en que el país tiene “una posición única para convertirse en uno de los pilares de la ciberseguridad europea”; mientras que Aliaga, de Eset lo resume así: “España es un ejemplo internacional de cómo organizar y coordinar una red SOC en un país con estructuras administrativas muy diversas”.

"España es un ejemplo internacional de cómo organizar y coordinar una red SOC en un país con estructuras administrativas muy diversas”

Alejandro Aliaga, CTO de Ontinet/Eset.

El documento elaborado por la RNS sostiene que esta madurez va en consonancia con las nuevas regulaciones europeas, como NIS2 y la futura Ley de Cibersolidaridad, que prevén coordinación, reservas comunes de capacidades, ejercicios conjuntos de respuesta.

En cuestiones técnicas, el ecosistema europeo ha de construirse sobre estándares abiertos, como STIX, TAXII o MISP, gestionados por organismos como el CCN-CERT y apoyados en protocolos de clasificación como TLP. “Unas prácticas ya consolidadas en muchos SOC españoles”, afirman los autores del informe.

En continua evolución

Mientras llega esa red de SOC europea, el CCN trabaja ya en planes futuros para extender la protección a las OT (tecnologías operativas) en los sectores más críticos y seguir avanzando en capacidades de inteligencia conforme el cibercrimen se va sofisticando y es más dañino.

En paralelo, el reto es seguir evolucionando, ya que la ciberseguridad forma parte de una carrera continua, sin final. “El desafío sigue siendo lograr una cobertura y una calidad de servicio homogéneas en todo el territorio, incluyendo a las entidades locales”, inciden desde el CCN.

"Se ha hecho un gran trabajo certificando la calidad de los SOC, ahora toca ampliarlo”

Jacinto Cavestany, CEO de Evolutio.

A ello se suma la carencia de talento y su retención que exige, entre otras variables, “la integración de forma profunda de capacidades avanzadas de inteligencia artificial y machine learning para automatizar aún más la detección”.

El Libro Blanco también coincide en esa escasez de talento especializado como uno de los principales frenos para los SOC. El volumen de alertas y la falta de integración de las herramientas han aumentado la carga de los analistas y, en consecuencia, limitan la necesaria mejora continua de estos centros. También señala la importancia del threat hunting, la supervisión continua del riesgo y la medición mediante KPIs de las operaciones.

IA: ataque y defensa

En este punto no hay discrepancias: todas las empresas consultadas por este medio hablan de la IA generativa como la próxima frontera. Como apuntan desde BBVA, “la IA no crea riesgos completamente nuevos, pero sí amplifica y acelera los existentes”, lo que obliga a disponer de “inteligencia más actual, precisa y contextualizada”.

Preguntados por este asunto, en Accenture señalan que los SOC evolucionarán hacia sistemas donde “la automatización y la orquestación serán esenciales”, especialmente cuando los atacantes ya están usando IA para crear amenazas personalizadas.

“La IA generativa no crea riesgos nuevos, pero amplifica y acelera los existentes”

Equipo de seguridad de BBVA.

Se trata, en definitiva, de combatir las acciones de estos delincuentes con sus propias armas. “Los adversarios ya emplean agentes de IA capaces de mutar ataques en cuestión de segundos”, lo que exige arquitecturas “mucho más integradas y guiadas por datos”, aconseja Díaz Barrero, desde Palo Alto.

En este ecosistema, Eset apela al equilibrio entre “el criterio humano y herramientas avanzadas como la defensa más eficaz”. Y añaden un mensaje más: “La IA no sustituye al analista; lo potencia”.

En un escenario donde las amenazas crecen y evolucionan a gran velocidad, España se ha convertido en un ejemplo a seguir para avanzar más rápido. El tejido creado con la Red Nacional de SOC ha demostrado que la colaboración vuelve a ser la respuesta para una defensa digital eficaz. En este caso, caminar en solitario no es la mejor opción si se quiere estar seguro.