“La seguridad y la privacidad de los datos siempre han sido una prioridad para el Notariado. Es de vital importancia que la corporación notarial y los profesionales del CTNotariado sigan concienciados y comprometidos con la ciberseguridad para continuar protegiendo la confidencialidad de los documentos notariales”, afirma José Carmelo Llopis, decano del Colegio Notarial de Valencia, miembro de la Comisión Permanente del CGN y consejero del Centro Tecnológico del Notariado.

Detectar patrones maliciosos

En este nuevo sistema de protección, la detección y análisis de las posibles brechas o ciberataques consta de dos fases. En una primera etapa, el abordaje es puramente técnico: se han desplegado, en los centros de datos de CTNotariado y del proveedor de la red RENO, unas sondas diseñadas y operadas por el CCN-CERT, cuya labor es inspeccionar el tráfico de la red notarial y reconocer, de manera automatizada, patrones de actividad potencialmente maliciosa. “Las sondas permiten detectar la presencia de malware, conexiones a sitios de internet considerados maliciosos o identificar otras acciones propias de ataques conocidos”, explica Pau del Canto, responsable de Seguridad en el CTNotariado.

Para identificar los posibles ataques, las sondas toman como base las direcciones IP de origen y destino, los dominios, así como otros datos de las comunicaciones, y los comparan con una base de datos que recoge miles de patrones de ciberataques previamente catalogados. El Centro Criptológico Nacional recopila gran cantidad de información de las sondas que tiene desplegadas en multitud de organismos y entidades públicas y la utiliza para alimentar esta base de datos.

Asimismo, el CCN-CERT cuenta con un gestor de eventos de seguridad, conocido en sus siglas en inglés por SIEM. Este gestor tiene la capacidad de relacionar eventos aislados y al hacerlo puede desentrañar las maniobras que emplean los ciberatacantes para dificultar la detección de sus acciones maliciosas.

Al identificar una actividad sospechosa, el SIEM genera una alerta que recoge los datos más relevantes de lo que ha ocurrido.

Análisis de las alertas

Es entonces cuando se inicia la segunda fase del sistema de alerta temprana. El equipo del CCN-CERT analiza, en primera instancia, todas las alertas. Aquellos avisos que pasan este primer triaje se notifican al Centro Tecnológico del Notariado a través del sistema LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas) y, seguidamente, son recogidos y analizados por miembros de la Oficina de Seguridad. Estos analistas los examinan en detalle para determinar si las alertas corresponden a un evento peligroso.

En el caso que la alerta no suponga un riesgo, se descarta y se clasifica como “falso positivo”. Los datos de este aviso se incorporan a la información manejada por el SIEM a través de LUCIA, con lo que en el futuro la detección y generación de alertas será más precisa. Es un proceso que se retroalimenta para hacerse más eficaz.

En el supuesto que el analista del CTNotariado considere que la amenaza es real, lo primero es determinar el tipo de ciberataque y evaluar su peligrosidad. “Con esta información, la Oficina de Seguridad define las intervenciones a realizar para resolver la situación: desde acciones menores, como bloquear conexiones a sitios maliciosos, hasta la activación de protocolos de respuesta a gran escala, que movilizan a un equipo de especialistas, quienes tomarán todas las acciones necesarias para reducir el daño y resolverlo cuanto antes”, detalla Pau del Canto.

Con este sistema de alerta temprana, “estamos elevando la protección de nuestra red RENO y dando respuesta a una exigencia real del panorama tecnológico actual, que es potenciar la detección y prevenir ciberataques”, asegura José Carmelo Llopis.