En fechas recientes pudimos conocer de primera mano el SOC (Centro de Operaciones de Seguridad por sus siglas en ingls) que la empresa espaola Thales S21tiene en Madrid, el segundo en la Pennsula Ibrica junto al ubicado en Oporto.
De la mano de su CEO Pablo Echevara, su CTO y fundador Igor Unanue y su DIFR y cazador de amenazas David Conde, nos adentramos en esta instalacin en la que veinte ingenieros mantienen vigiladas las amenazas informticas de sus clientes 24 horas al da 7 das a la semana. Son solo una parte de los cerca de 300 ingenieros que trabajan en la empresa.
Desde su fundacin hace veinte aos S21 ha ido creciendo y responsabilizndose de la seguridad informtica de cada vez ms clientes, enfrentndose a nuevas amenazas y operando con nuestros agentes como empresas de comunicacin o consultoras. Adquirida en 2022 por Thales que la engloba en su rea de Cyber Solutions, la empresa ha ido cumpliendo importantes hitos en nuestro pas como ser la primera en establecer un SOC para un cliente privado o disear el primer aplicativo de firewall, contando con un importante equipo de investigacin o inteligencia con el que intenta posicionarse antes de la amenaza.
Thales S21es lder en tecnologa y digitalizacin en sectores como los aeronuticos o espaciales y se encuentra muy prxima a operadores de infraestructuras crticas, por ejemplo. La empresa dispone de 11 SOCs en todo el mundo, conectados entre s con los que cubren la huella geogrfica de la economa global.
Proteccin a los clientes 684y5o
La empresa se centra principalmente en dos reas para neutralizar los ataques a sus clientes. Por un lado, est la inteligencia de amenazas o ciberinteligencia, un factor importante con el que se buscan las vulnerabilidades en los sistemas de los clientes. En esta rea destacan las amenazas llamadas zero-days que se centran en las vulnerabilidades detectadas que an no han sido explotadas y de las que han identificado ms de 70 en lo que va de ao. Uno de sus hndicaps es que la inteligencia tiene un tiempo de vida muy corto porque los delincuentes borran las huellas muy rpido, en cuestin de das no hay seales.
El otro elemento vital es la automatizacin de las operaciones ya que hay que analizar millones de eventos a diario para averiguar como funcionan los sistemas de los clientes. En esta rea el talento de los profesionales de la empresa est dedicado a aportar valor, acompaado de las necesarias inversiones en equipamiento. Como nos explica David Conde, responsable de equipo de respuesta a incidentes o DFIR (por Digital Forensics and Incident Response) hay que actuar cuando se pone en riesgo la continuidad del cliente por un ataque.
.jpg)
Pablo Echevara e Igor Unanue durante la presentacin del SOC a los medios (Thales S21)
Tendencias en las amenazas 2025 3a3916
Igor Unanue nos explic las tendencias en amenazas cibernticas para el ao que viene. Entre estas destaca el crecimiento del ransonware o secuestro de datos, el uso cada vez mayor de la Inteligencia Artificial para las nuevas aplicaciones delictivas, las aplicaciones maliciosas tambin en la nube o los infostealers, programas diseados para robar informacin
En el SOC se monitoriza lo que pasa en los clientes, se detecta, analiza y responde a las amenazas y todo ello sin tener que molestar a los clientes, centrndose en la deteccin de las verdaderas amenazas y descartando falsas amenazas. El alto grado de automatizacin del SOC permite operar en tiempo real con un gran nmero de alertas y en tiempo real se puede medir la calidad del servicio. Sin embargo, hay algunos incidentes que no son automatizables aunque el objetivo es estar por encima del cincuenta por ciento de procesos automatizados.
La importancia de la investigacin y la respuesta 4vl46
Muy pocas empresas en el mundo tienen equipos de investigacin como el de Thales S21, un elemento que ayuda en el futuro al afrontar nuevas amenazas. En relacin a la colaboracin con otros SOCs y centros, la investigacin que se realiza en otras partes del mundo ayuda a proteger nuestra rea de responsabilidad. Ante la necesidad urgente de actuar, el SOC cuenta con un equipo de repuesta ante problemas, liderado por el DFIR, una suerte de SWAT (equipo de operaciones y tcticas especiales) que acta para evitar daos mayores si se tarda en responder.
El funcionamiento del SOC se basa en la asignacin de tareas o tickets, alertas que se analizan, como los ataques diarios con ransonware, que se han disparado desde la guerra de Ucrania, concretamente contra infraestructuras crticas en los pases que apoyan a este pas frente a Rusia.
El SOC se enfrenta a diferentes tipos de ataques ya que los hay que tienen efectos a corto o a largo plazo, que afectan a la reputacin de las empresas o sus directivos, que alteran la produccin, destinados a atacar la propiedad intelectual o a hacer caer el valor de la empresa en Bolsa. En este sentido hay que destacar que los sectores que han visto crecer en mayor medida los ataques es el sector industrial y la cadena de suministro aunque ya no hay sector que se pueda sentir a salvo. El centrado en las polticas de comunicacin de las empresas tambin se ve afectado por esta lacra. (Jos M Navarro Garca)
