Jorge Merchán Lima – Gerente de Seguridad de la Información CEDIA
Un vistazo a la evolución y futuro de la ciberseguridad desde una perspectiva SOC-CSIRT
En la constante batalla contra las amenazas cibernéticas, América Latina y el Caribe han atestiguado una evolución significativa en la forma en que se aborda la ciberseguridad. Los Centros de Operaciones de Seguridad (SOC) y los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) han sido pilares fundamentales en esta transformación, adaptándose y evolucionando hasta convertirse en entidades proactivas y, eventualmente, predictivas. Este artículo explora la trayectoria de estos centros, sus avances tecnológicos, los desafíos que enfrentan y las proyecciones hacia un futuro más seguro en el ciberespacio, con un enfoque especial en la situación de Ecuador; destacando los beneficios del SOC-CSIRT de CEDIA.
Historia
El concepto de un equipo de respuesta a incidentes de seguridad informática se materializó por primera vez con la creación del Computer Emergency Response Team (CERT) en Estados Unidos, en 1988, tras el incidente del gusano Morris. Este equipo, ahora conocido como CERT Division del Software Engineering Institute (SEI) en Carnegie Mellon University, se estableció con el enfoque de estudiar y contrarrestar las vulnerabilidades de seguridad en redes de computadoras.
En América Latina, Brasil fue el primero en establecer un equipo de respuesta a incidentes de seguridad con la creación del CERT. br, en 1997, gestionando incidentes y promoviendo la concienciación sobre seguridad informática. En Ecuador, el ECU-CERT se estableció oficialmente en 2015 para proteger infraestructuras críticas nacionales y mejorar la seguridad informática en el país.
El concepto moderno de SOC comenzó a desarrollarse en Estados Unidos en la década de 1990, enfocándose en monitorear y proteger infraestructuras de TI contra ciberamenazas, gestionar incidentes de seguridad en tiempo real y asegurar la continuidad de operaciones
De la reacción a la pre- dicción: La evolución de los SOC y CSIRT
Los SOC y CSIRT han evolucionado de roles reactivos a adoptar estrategias proactivas y predictivas. Utilizan inteligencia de amenazas cibernéticas (CTI) para anticiparse a los ataques mediante el conocimiento del comportamiento del adversario y las técnicas utilizadas. Esto permite una detección más precisa y una respuesta más efectiva.
A diferencia de los CSIRT, que responden a incidentes, los SOC se dedican a la vigilancia continua y la gestión de la seguridad de la información en tiempo real. Juegan un papel crucial en la protección de los activos organizacionales mediante la identificación, análisis y respuesta oportuna a las amenazas cibernéticas. Proporcionan servicios adicionales como la identificación de vulnerabilidades, gestión de inventarios, inteligencia de amenazas y mitigación de riesgos potenciales
Innovación Tecnológica y el Camino hacia la Automatización
La integración de tecnologías avanzadas como la inteligencia artificial (IA) y el aprendizaje automático ha marcado una nueva era para los SOC y CSIRT en América Latina y el Caribe. Según MarketsandMarkets, se prevé un crecimiento anual de IA en ciberseguridad del 23.3% hasta 2026. Estas herramientas han revolucionado la capacidad de análisis de datos en tiempo real, permitiendo la detección de patrones anómalos y la identificación temprana de amenazas emergentes. La colaboración interinstitucional y el intercambio de inteligencia sobre amenazas son esenciales para una defensa cibernética efectiva.
Desafíos persistentes y la realidad actual
América Latina enfrenta desafíos significativos en ciberseguridad, especialmente la escasez de talento especializado. Se proyecta que, para 2024, la región necesitará alrededor de 10 millones de expertos en ciberseguridad. Actualmente, hay un déficit considerable de profesionales capacitados para gestionar y responder a incidentes de seguridad, agravado por la rápida evolución y sofisticación de las amenazas cibernéticas. En 2023, Ael gmérica Latina y el Caribe experimentaron un aumento significativo en la actividad cibercriminal, con incrementos notables en ataques de phishing, ransomware y troyanos bancarios. Según Kaspersky, los ataques de phishing aumentaron un 617%, mientras que los troyanos bancarios vieron un aumento del 50%, equivalente a cinco ataques por minuto en la región.
El gasto en servicios de ciberseguridad en América Latina alcanzó los $3,600 millones en 2023, un aumento del 11.1% respecto a 2022, según IDC. Brasil lidera en intentos de phishing con 134 millones de intentos registrados, seguido por México, Ecuador, Perú y Colombia. El uso de malware en ataques ha sido considerablemente alto, con un 78% de los ataques involucrando algún tipo de malware, como spyware y troyanos bancarios.
Ecuador: Un caso de estudio en la región
Ecuador ha mostrado un firme compromiso con el fortalecimiento de sus SOC y CSIRT, buscando no solo responder a las amenazas actuales sino también anticiparse a los desafíos futuros. Sin embargo, enfrenta el reto de formar y retener a profesionales de ciberseguridad calificados. En 2023, Ecuador registró más de 12 millones de ciberataques, con adware, troyanos bancarios y spyware siendo los principales tipos de ataques.
Según un informe de ISACA, el 48% de las organizaciones reportaron un aumento en los ciberataques en 2023. Aunque preocupante, esta cifra representa el menor incremento en los últimos seis años, indicando una leve estabilización en el crecimiento de incidentes cibernéticos.
Hacia un futuro más seguro
Según un informe de la Organización de los Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID), el número de SOC y CSIRT en la región ha aumentado significativamente. En 2022, más del 60% de los países en América Latina y el Caribe tenían al menos un CSIRT operativo, un aumento del 40% en comparación con cinco años atrás.
Un informe de IBM indicó que el uso de tecnologías avanzadas ha reducido el tiempo de detección y respuesta a incidentes en un 50% en algunas organizaciones de la región. Además, la automatización de procesos en SOC ha permitido un manejo más eficiente de los incidentes, reduciendo la carga de trabajo manual y mejorando la precisión en la respuesta.
El desarrollo de talento en ciberseguridad es un desafío continuo. Un estudio de (ISC)² en 2023 reveló que América Latina necesita aproximadamente 600,000 profesionales adicionales en ciberseguridad para cubrir la demanda actual. En Ecuador, la colaboración entre el sector público y privado ha sido crucial para fortalecer la ciberseguridad. El SOC-CSIRT de CEDIA (Corporación Ecuatoriana para el Desarrollo de la Investigación y la Academia) es un ejemplo destacado de esta colaboración, proporcionando soporte y recursos para mejorar la seguridad de las instituciones educativas y de investigación en el país.
Beneficios del SOC-CSIRT de CEDIA
Soporte Especializado: Ofrece acompañamiento especializado y colaborativo en la respuesta y manejo de incidentes de seguridad, asegurando una rápida recuperación y minimización de daños, comprometidos con la integridad, confidencialidad y disponibilidad mediante la cooperación interinstitucional.
Concienciación y Capacitación: CEDIA se enfoca en empoderar a individuos y organizaciones con el conocimiento y las habilidades necesarias para defenderse contra las amenazas cibernéticas, reconociendo que la tecnología por sí sola no es suficiente para garantizar la ciberseguridad
Gestión Proactiva/Predictiva de Riesgos: El SOC-CSIRT de CEDIA se especializa en la vigilancia continua de amenazas cibernéticas y la verificación de actualizaciones y parches de seguridad, permitiendo una gestión de riesgos informáticos integral y anticipada. Cumplimiento Normativo: Se compromete a fortalecer el cumplimiento de leyes y normativas nacionales e internacionales en ciberseguridad, lo que refuerza la confianza y la seguridad legal de las entidades asociadas, con el objetivo de mitigar el impacto en reputación, financiero, normativo y de infraestructura.
Conclusión
La evolución de los SOC y CSIRT en América Latina y el Caribe ha sido fundamental para enfrentar las amenazas cibernéticas. Estos centros han pasado de roles reactivos a adoptar estrategias proactivas y predictivas, aprovechando la inteligencia artificial y el aprendizaje automático para mejorar la detección y respuesta a incidentes. A pesar de los avances tecnológicos, la región enfrenta una escasez significativa de talento especializado, necesitando alrededor de 10 millones de expertos para 2024. En 2023, los ataques de phishing y troyanos bancarios aumentaron considerablemente, en parte debido al uso de IA. La colaboración entre el sector público, privado y la Academia ha sido esencial para fortalecer la ciberseguridad, que proporciona soporte y recursos indispensables. Finalmente, es crucial que la innovación tecnológica esté acompañada del desarrollo de talento y una cultura robusta de seguridad para enfrentar los desafíos futuros.