S21sec ha abierto las puertas de su Centro de Operaciones de Seguridad en Madrid, uno de los dos que operan en la península ibérica. Desde este centro, la ciberseguridad se gestiona en tiempo real. Conectado a una red de 11 SOCs, la empresa, que forma parte del grupo Thales, que mantiene una vigilancia constante sobre las amenazas globales. Esta integración les permite compartir inteligencia sobre ciberataques detectados en cualquier parte del mundo, ajustando sus defensas locales de manera inmediata.
El trabajo diario del SOC gira en torno a la identificación y contención de ataques como el ransomware, que sigue siendo una de las principales amenazas. Según el último Threat Landscape Report 2024 de la compañía, durante el primer semestre de este año se registraron 2.175 ataques a nivel mundial, afectando principalmente a sectores como la industria y el de servicios. España, con 58 incidentes reportados, se posiciona entre los países más atacados de Europa, con LockBit y Ransomhub como grupos más activos.
El SOC de S21sec trabaja las 24 horas del día, los siete días de la semana, analizando millones de situaciones diarias que podrían significar una amenaza potencial para sus clientes.
"Nuestro trabajo es reducir el tiempo entre la detección y la respuesta"
"Nuestro trabajo es reducir el tiempo entre la detección y la respuesta", ha explicado Pablo Echevarría CEO de S21sec.
S21sec cuenta con un equipo de investigación propio, conectado a la red de ciberinteligencia del grupo Thales, al que la compañía pertenece desde 2022. Esta integración les permite compartir y recibir información sobre ataques detectados en otros puntos del mundo, como sus SOCs en Singapur, lo que facilita una respuesta coordinada y rápida.
"Las ciberamenazas no entienden de fronteras"
"Las ciberamenazas no entienden de fronteras", ha comentado Pablo Echevarría CEO de S21sec. Esto significa que un comportamiento detectado en Asia puede ser relevante para proteger a un cliente en Europa. Es una red global que permite a S21sec reaccionar ante un incidente prácticamente en tiempo real, incorporando inteligencia sobre amenazas emergentes a sus operaciones diarias.
Zero days y el reto de la automatización
Entre los mayores desafíos que enfrentan los analistas de S21sec están las vulnerabilidades zero days, aquellas que son explotadas antes de que exista un parche disponible. "La clave es identificar estos puntos débiles antes de que lo hagan los atacantes", ha afrimado Igor Unanue CTO de S22sec.
Según el informe de S21sec, en la primera mitad de 2024 se documentaron más de 17.000 vulnerabilidades, muchas de las cuales involucran entornos en la nube y dispositivos IoT, que presentan una creciente exposición debido a la falta de medidas de seguridad robustas.
Para gestionar esta avalancha de datos y posibles amenazas, el SOC ha adoptado un enfoque de automatización mediante IA que permite procesar grandes volúmenes de información de manera eficiente. Esta automatización libera a los analistas para que se concentren en amenazas más complejas, donde la experiencia humana sigue siendo insustituible.
Respuesta rápida ante incidentes críticos
Cuando un incidente alcanza un nivel de gravedad que amenaza la continuidad del negocio de un cliente, entra en juego el equipo de Respuesta a Incidentes y Forense (DFIR). Este grupo se especializa en gestionar crisis, que pueden paralizar las operaciones de una empresa.
"Actuamos como un equipo de SWAT de la ciberseguridad, tenemos necesidad de una respuesta inmediata para contener el ataque y minimizar el daño"
"Actuamos como un equipo de SWAT de la ciberseguridad, tenemos necesidad de una respuesta inmediata para contener el ataque y minimizar el daño", ha asegurado David Conde gerente de DFIR y Threat Hunting.
La mayoría de estos incidentes se producen fuera del horario laboral, precisamente cuando los cibercriminales saben que las empresas tienen menos capacidad de respuesta. "Suelen atacar los fines de semana o de madrugada, porque saben que es cuando hay menos personal activo en las empresas", ha explicado David Conde gerente de DFIR S21sec.
El trabajo del DFIR también implica ayudar a las empresas a comunicar la crisis a las autoridades y a sus clientes, especialmente cuando se trata de incidentes que comprometen datos sensibles. Según la regulación de la Unión Europea, las empresas deben informar sobre brechas de seguridad significativas en un plazo de 72 horas. Este proceso, que incluye análisis forense, identificación del origen del ataque y recomendaciones para mitigar futuros riesgos, puede durar varios días o incluso semanas, dependiendo de la complejidad del incidente.
Una amenaza en constante evolución
S21sec destaca en su informe el crecimiento de las amenazas ligadas a la inteligencia artificial, que no solo son usadas por los defensores, sino también por los atacantes para automatizar campañas de phishing y otros vectores de ataque. La automatización y la IA permiten a los cibercriminales lanzar ataques a gran escala con una precisión antes impensable.
"Nos enfrentamos a grupos muy organizados que operan como auténticas empresas, con recursos y conocimientos que antes solo se encontraban en agencias de inteligencia"
En este contexto, S21sec se ha centrado en mejorar sus capacidades de detección y respuesta mediante inversiones en nuevas tecnologías y en la formación continua de sus profesionales. "Nos enfrentamos a grupos muy organizados que operan como auténticas empresas, con recursos y conocimientos que antes solo se encontraban en agencias de inteligencia", ha informado Igor Unanue CTO de S21sec. Esto hace que la ciberseguridad ya no sea solo una cuestión técnica, sino una tarea estratégica que requiere una visión global y capacidad de anticipación.
Una red global
La integración de S21sec en el grupo Thales ha permitido a la compañía ampliar su capacidad de actuación a nivel global. Con este modelo de trabajo, S21sec garantiza que, ante un incidente crítico, siempre haya un equipo disponible para gestionar la situación, independientemente de la zona horaria. Es lo que denominan el modelo Follow the Sun, una estrategia que permite dar respuesta a amenazas de forma ininterrumpida en cualquier parte del mundo.