S21Sec: "Somos como el señor Lobo de los ciberataques, lo arreglamos y limpiamos todo"

La empresa española de ciberseguridad ha mostrado a los medios el funcionamiento de su SOC in situ.

Alberto Payo

Periodista

Guardar

El SOC (Centro de Operaciones de Seguridad) de S21Sec en acción.
El SOC (Centro de Operaciones de Seguridad) de S21Sec en acción.

S21Sec, empresa española que arrancó como una startup hace casi un cuarto de siglo y que desde 2022 forma parte del gigante de la tecnología y la seguridad Thales, ha mostrado a los medios de comunicación cómo trabaja su SOC (Centro de Operaciones de Seguridad) en directo y ha atendido a preguntas de los periodistas.

Ubicado en Madrid, este es uno de los dos SOC que la compañía opera en Iberia. S21Sec cuenta con dilatada experiencia en esta clase de instalaciones, ya que fue en el 2005 cuando pusieron en marcha su primer SOC para un cliente empresarial. 

En dicha década también lanzaron su primer aplicativo WAF (un firewall de aplicaciones web para proteger estas de ataques maliciosos) y organizaron el primer equipo de contrainteligencia pionero en España, según ha explicado el CEO de la empresa, Pablo Echevarría. 

Su incorporación a Thales le ha permitido operar a mayor escala y disponer de una red de 11 SOCs desplegados por todo el mundo. Actualmente en S21Sec tienen una plantilla de 300 ingenieros, aunque la mayoría está formada por hombres. 

La compañía tiene varias patas. La primera de ellas está dedicada a la inteligencia de amenazas (Threat Intel), defendiendo a sus clientes de vulnerabilidades, pero también de aquellas que todavía no se han identificado. Es lo que se conoce como ataques 'zero days' y en los últimos tres años han hallado más de 70. 

Además, S21Sec tiene otro pilar muy importante que es la automatización de operaciones. En este sentido miran y vigilan millones de cuentas cada día. 

La compañía también mantiene una férrea vigilancia en todo lo referente al ransomware, con un equipo muy especializado para ayudar a sus clientes a lidiar con estas crisis. En relación a estos incidentes, aseguran que todas las semanas se encuentran intentos de este tipo. 

"Estos ataques se producen generalmente a deshora, muchas veces en viernes", ha revelado Igor Unanue, co-fundador y actual CTO de esta filial de Thales. "Por eso ofrecemos un servicio 24x7 con un modelo híbrido, porque los ciberdelincuentes nunca descansan". 

No obstante, Unanue ha revelado que el phishing y los ataques a endpoints son los incidentes más frecuentes, con estos últimos monitorizados en cuestión de segundos. 

Desde 21Sec no han revelado el número de clientes exactos que gestionan, pero su CEO ha comentado para Escudo Digital que "son grandes empresas, muchas de ellas que forman parte del Ibex 35". 

Estos clientes tendrían acceso a un portal donde pueden ver datos en tiempo real sobre los incidentes, como parte del principio de transparencia y trazabilidad de la compañía. 

Pasando fila

Igor Unanue, CTO y co-fundador de S21Sec
Igor Unanue, CTO y co-fundador de S21Sec.

La empresa también ha reconocido que tiene perfectamente identificados los grupos que suelen llevar a cabo los ciberataques de ransomware. 

"Ya conocemos a los grupos de cibermalos y sabemos perfectamente cómo funcionan, los tenemos identificados", ha explicado David Conde, director del SOC/CERT de S21Sec.

Sin embargo, a veces las apariencias engañan. En ocasiones también hay actores de amenazas que se hacen pasar por otros para 'escurrir el bulto'. Otra cosa que sucede, según relata Conde, es que en ocasiones hay 'insiders', empleados que aprovechan los datos de su empresa para sacar rédito, pero echan la culpa de las filtraciones a bandas de cibermalos rusos o chinos. 

En cualquier caso, estos conocimientos ayudan a S21Sec a hacer informes específicos para clientes según su sector. "Les decimos que pueden ser víctimas de determinados grupos y que les atacarán de una u otra manera", aclara el director del SOC. 

Para Conde esta anticipación no siempre es posible y en ocasiones lo único que pueden hacer es intervenir cuando la empresa ya ha sido atacada. En esos casos el tiempo es fundamental. Si los actores de amenazas acaban de entrar y cifrar hay mayor esperanza, pero si ya llevan mucho tiempo en sus sistemas el riesgo se agrava, porque puede que hayan estado espiando sus movimientos y el de sus directivos por un intervalo prolongado. 

Cuando los cibermalos ya están dentro, S21Sec y su SOC atúan como "el señor Lobo en Pulp Fiction, nos encargamos de limpiar y resolver todo el desaguisado", bromea Conde. 
 

Falta de talento

El CEO de la compañía, Pablo Echevarría, es consciente de que hay un problema a la hora de encontrar talento en ciberseguridad, algo inherente a toda la industria. 

Desde S21Sec también han explicado cómo dentro de su equipo han reclutado a perfiles no técnicos. Así, han fichado a criminalistas o criminólogos para que les ayuden a entender mejor cómo actúan los ciberdelincuentes y anticiparse a sus movimientos o encontrar "ciertos gaps de ineficiencia".