SOC Telefónica y las barreras del mundo digital

El mundo ya no tiene muros. En cuestión de segundos se puede pedir por Internet un producto, por ejemplo, desde China y disfrutarlo en casa la misma semana. Todo está a golpe de clic; rápido, súbito. Pero millones de usuarios del mundo navegan por la web solo por una razón: la confianza. La confianza es el máximo atractivo que pueden ofrecer las empresas ya que, sin esta, con la mayoría de compañías digitalizándose, no existiría la gran revolución de nuestro tiempo. Para ello, se necesitan, cómo no, nuevos guardianes. Profesionales que se atrevan a poner barreras en un planeta conectado.

Muchos de los mejores expertos en ciberseguridad de nuestro país se encuentran en el SOC de Telefónica –a cargo de ElevenPaths–, el centro de operaciones de seguridad desde el que provisionan las arquitecturas de seguridad de los clientes y las configuran para aportar la mayor visibilidad y protección posible. En su servicio, 24 horas al día los 365 días a la semana, prometen anticiparse, identificar y solucionar cualquier problema que ocurra en los sistemas de sus clientes –unos 1.200–. 

“En nuestro negocio hablamos de unos 400 trabajadores, pero si sumamos la capacidad que tenemos para nuestra propia protección en España nos vamos a las casi 700. En otros países u otros operadores ya hablaríamos de 1.600. Pero en esta sala caben 120”, nos explica Raúl Bretón, gerente del SOC, que recibe a Innovaspain en uno de los doce departamentos que hay repartidos por todo el mundo. En este, situado en Madrid, cada uno de los empleados se dedica a securizar todos los servicios, y también a ir añadiendo iniciativas que se comercialicen. 

“Nosotros tenemos organizada la actividad en tres grandes líneas de trabajo. Por un lado, contamos con una unidad que se dedica a iniciativas y hace todos los proyectos de seguridad. Estos van desde lo que sería montar infraestructuras de seguridad a hacer un despliegue de protección de puestos de trabajo de un cliente, pasando por la gestión de plataformas de seguridad que pasamos a controlar nosotros…”, indica. Esta línea tiene un componente muy tecnológico ya que, como hay que implantar infraestructuras de seguridad, se debe tener mucha relación con el fabricante. 

Por otro lado, la segunda línea se dedica a los servicios industrializados: todo lo que es el 24/7 y aquellos que son más industriales. “Se incluye también la atención a las alertas de seguridad a nivel más básico, más servicios ligados a las comunicaciones”. Servicios de este estilo, “como protección contra ataques de denegación de servicio; la configuración de redes limpias; servicios como la protección de webs a través de Internet; limpieza de tráfico de correo”, resume Bretón. Son, por lo general, servicios muy estructurados, tecnológicamente muy estándares. 

Por último, la tercera línea del SOC de Telefónica consiste, en general, en una unidad dedicada a servicios personalizados para grandes cuentas. “Ahí se llevan las grandes corporaciones, servicios mucho más customizados, oficinas dedicadas con recursos a un solo cliente”. Según Bretón, “hay clientes que pueden tener desde una persona plenamente dedicada a oficinas de más de 20 personas; depende siempre del cliente y del tipo de atención que requieran”. El porfolio, en la pirámide de personalización, barre todos los colores del arcoíris: en todo el espectro se pueden encontrar empresas pequeñas, muy grandes o técnicos carterizados –tres o cuatro analistas dedicados a tres o cuatro clientes, que siempre son los mismos–, lo que denominan células de personalización. En cualquier caso, “en peso de actividad y en volumen de personas son equivalentes. Aunque las tres son más o menos igual de importantes”.

Y todo ocurre en media hora. 30 minutos donde, tras un ataque, ya se han puesto en marcha, han analizado la situación y alguien ya ha mirado lo que está ocurriendo. “Independientemente de la criticidad. Si nos llaman y nos dicen que es crítico y está afectando al servicio se vuelca la organización. Y cuando digo que se vuelca es que se vuelca”, asegura. “Eso sí, todos los procesos son comunes entre sí. O, por lo menos, tratamos de que sean comunes. Esto nos permite trabajar la misma metodología con todos los clientes. La misma información para que un técnico pueda pasar de un sitio a otro y no tenga impacto en ellos; así podemos cubrir cosas para que un problema de recursos humanos no se convierta en un problema de servicios”. 

Sobre el tipo de ataques que suelen recibir, Bretón aclara que la mayor parte de los ataques eran de origen humano, normalmente intencionado, y en alto porcentaje solían venir desde dentro de las organizaciones. Pero por ejemplo, el ataque más importante de los últimos años, que supuso un revulsivo para la ciberseguridad, fue el ataque WannaCry. “Nos afectó. No tocó infraestructuras, pero nos llegó. Y no fue un ataque humano”. Es cierto que el malware lo creó una persona, pero tuvo vida propia. Ahora hay malware con bastante impacto que ya es capaz de moverse de forma autónoma. La sensación, según él, es que eso “no va a decaer: pasamos de vigilar el comportamiento humano a vigilar comportamiento de autómatas”.

El gerente del SOC explica: “venimos de una especialización en comportamiento humano donde había mucha sinergia con la seguridad física tradicional e incluso emocional –‘¿qué puede llevar a una persona a hacer esto?’– y ahora nos encontramos con programas que se comportan como autómatas”. La intencionalidad de la persona tiene un componente psicológico muy importante, pero, una vez que lo programa, el autómata puede tener vida propia, puede desarrollarse por su cuenta –como otro tipo de criptogusanos que ya ha habido–, o puede estar manipulado y gestionado por un grupo de hackers o activistas. 

“Independientemente de cuál sea el caso –prosigue–, analizando el malware puedes ver cómo se comportan. Nosotros lo que hacemos es identificarlo lo antes posible, sacar las muestras adecuadas para saber lo que llamamos indicadores de compromiso, con qué entornos se relacionan –se conectan a determinados sitios, a sitios web, a dominios– y saber que en esa dirección se pueden alojar determinadas funcionalidades que el malware va a aprovechar. Con esa información es con la que luego alimentas a los sistemas para que vean esa actividad relacionada con los indicadores de compromiso y se asegure de que hay una intención maliciosa”. 

Ese tipo de automatizaciones son las que permiten, casi en tiempo real, ir controlando todo tipo de situaciones. Los típicos antivirus funcionan así desde casi siempre, pero lo cierto es que con la masificación de la banda ancha, con el aumento de la capacidad de computación de los dispositivos o el movimiento hacia la nube hace que todo sea mucho más complicado. “Ahora ya no hay barreras”, asegura Bretón. Más allá de las que pongan ellos para proteger a sus clientes, claro.