Las operaciones de seguridad cibernética de Israel se llevan a cabo en Beer Sheva, la ciudad más grande del país en el desierto del Néguev, al sur de Israel. El Equipo de Respuesta a Emergencias Cibernéticas de Israel (Il-CERT) proporciona una respuesta de primera línea a las empresas y los ciudadanos afectados por ataques cibernéticos. El CERT es parte de un centro de seguridad cibernética de empresas emergentes, respaldado por la Universidad Ben Gurion del Néguev, laboratorios de innovación de alta tecnología y el campus cibernético y tecnológico de las Fuerzas de Defensa de Israel. Unos siete Centros de Operaciones de Seguridad (SOC) operan junto al CERT, monitoreando, detectando y analizando amenazas cibernéticas en diferentes sectores de la economía, incluidos el agua y la energía, los servicios públicos y la policía y los servicios de emergencia. Se está trabajando en otros seis SOC. En el centro de la operación hay una línea telefónica de emergencia 119 disponible para que cualquiera pueda llamar para informar sobre cualquier cosa que pueda estar vinculada a un ataque cibernético. Eso podría ser un correo electrónico sospechoso, una URL sospechosa o malware. La línea directa es ampliamente utilizada por todos, desde jóvenes a los que se les ha enviado un enlace sospechoso en las redes sociales hasta ejecutivos de empresas que creen que han sido hackeados. Al mapear los incidentes, los expertos en seguridad cibernética del CERT pueden ver las tendencias nacionales e identificar los intentos de piratería más críticos para los equipos de respuesta del CERT. La directora ejecutiva Dana Toren es la directora ejecutiva del CERT. Ex analista de inteligencia y analista de datos de la oficina del Primer Ministro, es responsable de supervisar las operaciones del CERT. «Necesitamos entender si los incidentes son de importancia nacional», dijo a Computer Weekly. Un ataque contra una pequeña empresa, por ejemplo, podría afectar a muchas otras empresas que dependen de sus servicios. El año pasado, el CERT recibió 13.000 informes de incidentes, un aumento del 43% con respecto al año anterior. En los 270 días desde que Israel declaró la guerra a Gaza, el CERT ha identificado 1.900 ataques cibernéticos significativos contra empresas israelíes, y la naturaleza de los ataques ha cambiado. Ahora están diseñados para causar daños a la infraestructura israelí, y el número de ataques de ransomware ha aumentado. Los grupos respaldados por Irán buscan publicar datos pirateados en la red oscura o filtrarlos a los medios. Las mayores amenazas Gaby Portnoy, directora general de la Dirección Nacional Cibernética de Israel (INCD), identifica a Irán, Hezbolá y los grupos de piratas informáticos vinculados a Irán como la mayor amenaza cibernética contra Israel, y sus ataques se han vuelto más severos desde la guerra. «Hasta el 7 de octubre, no atacaron hospitales», dijo. «Desde el 7 de octubre, todos los hospitales israelíes fueron atacados por Irán». Toren dijo que aunque Irán juega un papel importante en los ataques contra Israel, el equipo de respuesta a emergencias está más preocupado por reaccionar a las incursiones cibernéticas que por identificar quién estaba detrás de ellas. «Es difícil atribuir los ataques a actores específicos», dijo. «Todos usan las mismas herramientas. [We are] El centro de control del CERT cuenta con puestos de trabajo para una docena de personas y diez grandes pantallas montadas en la pared. Una de ellas muestra un mapa en tiempo real de los ciberataques recopilados con información proporcionada por la empresa estadounidense-israelí de ciberseguridad Check Point. Otra pantalla muestra los sitios web de las empresas atacadas por los piratas informáticos. Los analistas los revisan dos veces al día y alertan a las organizaciones afectadas. Desde que comenzó la guerra, Toren ha aumentado el número de personas que trabajan a tiempo completo en el CERT de 90 a 120 empleados. Las organizaciones que forman parte de la infraestructura nacional crítica de Israel, como el agua, la electricidad y los hospitales, están obligadas por ley a informar sobre las infracciones cibernéticas. Pero para el resto, la línea telefónica 119 es voluntaria. A cambio de llamar para informar, las empresas y los individuos reciben un servicio de asesoramiento confidencial. Por ejemplo, el CERT no informará de los ciberataques a los reguladores ni identificará públicamente qué organizaciones han sido atacadas. El CERT proporciona asesoramiento y recomendaciones a las personas que llaman a la línea de ayuda con problemas de ciberseguridad. Sin embargo, sus recursos son limitados. Tiene cuatro equipos de investigadores de respuesta a incidentes que conforman un equipo de respuesta de solo 16 personas. «Necesitamos pensar detenidamente antes de brindar este servicio», dijo Toren, dados los recursos limitados del CERT. Los equipos solo se despliegan en casos de importancia nacional y donde un ataque a una empresa podría representar una amenaza para una industria más amplia. El hackeo afectó a 80 empresas En uno de esos casos, los investigadores del CERT descubrieron que un grupo de piratas informáticos vinculado a Irán se había infiltrado en una pequeña empresa de la cadena de suministro y había utilizado esa empresa como trampolín para infectar a otras 80 organizaciones. El ataque, que tuvo lugar en 2020, tenía el potencial de interrumpir las importaciones y exportaciones de petróleo a Israel, dijo Toren a Computer Weekly. «Recibimos tres o cuatro llamadas al 119 que informaron que habían sido atacados», dijo. «Al principio, no pudimos encontrar una conexión». Informes recibidos en el centro de llamadas 119 Luego, una empresa privada de respuesta de seguridad cibernética llamó para informar que una empresa de sistemas de inventario había sido pirateada. “Nos pusimos en contacto con ellos inmediatamente y les dijimos que creíamos que había un ataque informático en su red”, dijo Toren. “Era viernes y enviamos un equipo de respuesta a incidentes”. Los investigadores pudieron identificar la firma –o indicadores de compromiso– de la operación de piratería a tiempo para alertar a las 80 organizaciones en riesgo. El malware fue identificado como el software ransomware Pay2Key asociado con el grupo de piratería Fox Kitten, vinculado a Irán. Escaneo de vulnerabilidades Otra función del CERT es advertir a las organizaciones sobre las debilidades de seguridad en sus sistemas informáticos. El INCD intensificó su programa de escaneo de vulnerabilidades después del 7 de octubre, dijo Portnoy. Los hospitales y otros servicios críticos han recibido al menos seis controles de “superficie de ataque” de sus redes para identificar debilidades que podrían ser explotadas por piratas informáticos. El INCD también escanea la red oscura para identificar contraseñas u otra información crítica que podría exponer las redes de la empresa. La operación cubre 5.000 organizaciones y unas 33.000 direcciones IP. “Examinan en profundidad la infraestructura para encontrar sistemas expuestos a vulnerabilidades y nos ponemos en contacto con ellos para ofrecerles orientación sobre cómo solucionarlos”, dijo Toren. Otras alertas provienen de sondas de detección y respuesta de puntos finales colocadas en las redes de las organizaciones para proporcionar una visión interna de su ciberseguridad. Una vez que el CERT ha identificado la firma de un ataque, conocida como “indicadores de compromiso”, se comparten con otras organizaciones en una interfaz de programación de aplicaciones, que puede actualizar automáticamente las ciberdefensas. Pero se reconoce que es necesario hacer más. Israel inició un proyecto para mejorar sus ciberdefensas en 2021. Conocido como Cyber ​​Dome, en alusión al sistema antimisiles israelí Cyber ​​Dome, tiene como objetivo utilizar la inteligencia artificial y el big data para detectar y mitigar los ataques a medida que ocurren. Al mismo tiempo, Israel está intensificando la cooperación con otros países para desarrollar ciberdefensas.