En fechas recientes pudimos conocer de primera mano el SOC (Centro de Operaciones de Seguridad por sus siglas en inglés) que la empresa española Thales S21 tiene en Madrid, el segundo en la Península Ibérica junto al ubicado en Oporto.
De la mano de su CEO Pablo Echevaría, su CTO y fundador Igor Unanue y su DIFR y “cazador de amenazas” David Conde, nos adentramos en esta instalación en la que veinte ingenieros mantienen vigiladas las amenazas informáticas de sus clientes 24 horas al día 7 días a la semana. Son solo una parte de los cerca de 300 ingenieros que trabajan en la empresa.
Desde su fundación hace veinte años S21 ha ido creciendo y responsabilizándose de la seguridad informática de cada vez más clientes, enfrentándose a nuevas amenazas y operando con nuestros agentes como empresas de comunicación o consultoras. Adquirida en 2022 por Thales que la engloba en su área de Cyber Solutions, la empresa ha ido cumpliendo importantes hitos en nuestro país como ser la primera en establecer un SOC para un cliente privado o diseñar el primer aplicativo de firewall, contando con un importante equipo de investigación o inteligencia con el que intenta posicionarse antes de la amenaza.
Thales S21 es líder en tecnología y digitalización en sectores como los aeronáuticos o espaciales y se encuentra muy próxima a operadores de infraestructuras críticas, por ejemplo. La empresa dispone de 11 SOCs en todo el mundo, conectados entre sí con los que cubren la “huella geográfica” de la economía global.
Protección a los clientes
La empresa se centra principalmente en dos áreas para neutralizar los ataques a sus clientes. Por un lado, está la inteligencia de amenazas o ciberinteligencia, un factor importante con el que se buscan las vulnerabilidades en los sistemas de los clientes. En esta área destacan las amenazas llamadas zero-days que se centran en las vulnerabilidades detectadas que aún no han sido explotadas y de las que han identificado más de 70 en lo que va de año. Uno de sus hándicaps es que la inteligencia tiene un tiempo de vida muy corto porque los delincuentes borran las huellas muy rápido, en cuestión de días no hay señales.
El otro elemento vital es la automatización de las operaciones ya que hay que analizar millones de eventos a diario para averiguar como funcionan los sistemas de los clientes. En esta área el talento de los profesionales de la empresa está dedicado a aportar valor, acompañado de las necesarias inversiones en equipamiento. Como nos explica David Conde, responsable de equipo de respuesta a incidentes o DFIR (por Digital Forensics and Incident Response) hay que actuar cuando se pone en riesgo la continuidad del cliente por un ataque.
Pablo Echevaría e Igor Unanue durante la presentación del SOC a los medios (Thales S21)
Tendencias en las amenazas 2025
Igor Unanue nos explicó las tendencias en amenazas cibernéticas para el año que viene. Entre estas destaca el crecimiento del ransonware o secuestro de datos, el uso cada vez mayor de la Inteligencia Artificial para las nuevas aplicaciones delictivas, las aplicaciones maliciosas también en la nube o los infostealers, programas diseñados para robar información
En el SOC se monitoriza lo que pasa en los clientes, se detecta, analiza y responde a las amenazas y todo ello sin tener que molestar a los clientes, centrándose en la detección de las verdaderas amenazas y descartando falsas amenazas. El alto grado de automatización del SOC permite operar en tiempo real con un gran número de alertas y en tiempo real se puede medir la “calidad” del servicio. Sin embargo, hay algunos incidentes que no son automatizables aunque el objetivo es estar por encima del cincuenta por ciento de procesos automatizados.
La importancia de la investigación y la respuesta
Muy pocas empresas en el mundo tienen equipos de investigación como el de Thales S21, un elemento que ayuda en el futuro al afrontar nuevas amenazas. En relación a la colaboración con otros SOCs y centros, la investigación que se realiza en otras partes del mundo ayuda a proteger nuestra área de responsabilidad. Ante la necesidad urgente de actuar, el SOC cuenta con un equipo de repuesta ante problemas, liderado por el DFIR, una suerte de SWAT (equipo de operaciones y tácticas especiales) que actúa para evitar daños mayores si se tarda en responder.
El funcionamiento del SOC se basa en la asignación de tareas o “tickets”, alertas que se analizan, como los ataques diarios con ransonware, que se han disparado desde la guerra de Ucrania, concretamente contra infraestructuras críticas en los países que apoyan a este país frente a Rusia.
El SOC se enfrenta a diferentes tipos de ataques ya que los hay que tienen efectos a corto o a largo plazo, que afectan a la reputación de las empresas o sus directivos, que alteran la producción, destinados a atacar la propiedad intelectual o a hacer caer el valor de la empresa en Bolsa. En este sentido hay que destacar que los sectores que han visto crecer en mayor medida los ataques es el sector industrial y la cadena de suministro aunque ya no hay sector que se pueda sentir a salvo. El centrado en las políticas de comunicación de las empresas también se ve afectado por esta lacra. (José Mª Navarro García)