Introducción
En ciberseguridad, no importa lo bien que protejamos un sistema: tarde o temprano algo puede fallar. Por eso existe la respuesta ante incidentes (Incident Response, IR).
La respuesta ante incidentes es el conjunto de pasos organizados que sigue una empresa cuando ocurre un problema de seguridad, como un malware, un ransomware o una intrusión.
El objetivo no es solo apagar el incendio, sino hacerlo sin causar más daño, aprender de lo ocurrido y evitar que se repita.
Imagina que la seguridad informática es como la seguridad de un edificio:
- La prevención son las cerraduras y alarmas
- La detección es darse cuenta de que alguien ha entrado
- La respuesta es llamar a seguridad, aislar la zona y reparar los daños
Este capítulo explica cómo prepararnos, cómo detectar, cómo contener y cómo recuperar un sistema tras un incidente.
Ideas principales
- Los SIEM centralizan logs de muchas fuentes en un solo lugar.
- Ayudan a decidir si un evento es malicioso o no.
- Facilitan ver patrones y comportamientos relacionados.
- Permiten clasificar ataques y entender en qué fase están.
- Detectar un ataque antes es mucho mejor que descubrirlo tras la exfiltración.
- El tiempo es clave: cuanto antes se correlacionan los datos, mejor la respuesta.
Preparación (Preparation)
- Plan de Respuesta a Incidentes (IRP)
- Comunicación interna y externa
- Formación del personal
- Pruebas y simulacros
- Playbooks
- Documentación
Detección y análisis (Detection and Analysis)
- Análisis de eventos e incidentes
- Impacto y alcance
- Indicadores de compromiso (IOCs)
- Tiempo de caída (MTD y RTO)
- Integridad de los datos
- Declaración y escalado del incidente
- Reverse Engineering
- Herramientas de respuesta
Contención (Containment)
- Segmentación
- Aislamiento
- Retirada de sistemas
Erradicación y recuperación (Eradication and Recovery)
Eliminación segura
Restauración final
- Parcheo
- Restauración y validación de permisos
- Restauración de servicios y verificación de logs
Preparación
Plan de Respuesta a Incidentes (IRP)
Es el documento principal que indica:
- Qué hacer
- Quién hace qué
- Cuándo comunicar
- Cómo actuar en cada fase
Analogía:
Es como el plan de emergencia de un edificio pegado en la pared: si ocurre algo, no improvisas.
Comunicación
Incluye:
- Comunicación interna (equipo técnico, dirección)
- Comunicación externa (clientes, medios, autoridades)
Analogía:
En un accidente de tráfico, una sola persona autorizada habla con la prensa, no todos a la vez.
Formación (Training)
- Técnicos: herramientas, análisis, procedimientos
- Usuarios: phishing, comportamientos sospechosos
Analogía:
Todos deben saber dónde está la salida de emergencia, aunque no sean bomberos.
Pruebas (Testing)
Tipos:
- Revisión de documentos
- Ejercicios de mesa (tabletop): situaciones hipotéticas. Verificn que cada parte del equipo sepa ejecutar su tarea
- Walkthroughs: Es una práctica básica donde el equipo repasa paso a paso que haría ante un incidente.
- Ejercicios reales (full-scale)
Analogía:
Como los simulacros de evacuación: mejor equivocarse en el ensayo que en el incendio real.
Playbooks
Son guías paso a paso (manuales o automatizadas) para incidentes concretos.
Analogía:
Un playbook es como una receta de cocina: sigues pasos claros para no equivocarte bajo presión.
Documentación
Incluye:
- Procesos
- Redes
- Sistemas
- Contactos
Sin documentación, todo depende de la memoria… y eso falla cuando hay estrés.
Detección y Análisis
Alcance e Impacto
- Alcance: qué sistemas afectan
- Impacto: cuánto daño causan
Analogía:
No es lo mismo un incendio en una papelera que en la sala de servidores.
Indicadores de Compromiso (IOCs)
Señales de posible ataque:
- IP sospechosas
- Archivos extraños
- Tráfico anómalo
Analogía:
Huella, ventana rota o luz encendida de noche en una casa vacía.
Downtime: MTD y RTO
- MTD: tiempo máximo que un servicio puede estar caído. Categorizar dispotivos para saber como se ha de actuar la hora de recuperar los sistemas.
- RTO: tiempo objetivo para recuperarlo. Debe ser menor que MTD.
Analogía:
¿Cuánto tiempo puedes vivir sin electricidad antes de que sea un problema grave?
Integridad de datos
- Un ataque no siempre busca tumbar sistemas, a veces solo alterar datos.
- Los datos más atacados: financieros, personales y correos.
- La manipulación de datos puede ser silenciosa y difícil de detectar.
- Los backups son esenciales, pero deben:Estar separados del sistema
- Probarse periódicamente
- Un backup no probado no garantiza recuperación.
Impacto económico
- Un incidente genera costes directos e indirectos difíciles de medir.
- Incluye multas, pérdida de reputación y confianza.
- Es esencial conocer el valor real de los activos.
- No se debe gastar más en proteger o recuperar un activo de lo que vale.
Si no sabes cuánto vale un activo, no sabes cuánto riesgo estás asumiendo.
Criticidad de los sistemas
- Identificar los procesos esenciales del negocio es clave.
- Son los primeros que deben restaurarse tras un incidente.
- Incluyen sistemas y personal clave, no solo tecnología.
- La criticidad mide el impacto, no la probabilidad.
- Niveles de criticidad: alta, media, baja.
- La prioridad de respuesta se basa en la criticidad.
Correlación y analisis de datos:
SIEM:
- Centraliza logs de múltiples fuentes
- Presenta datos en una vista unificada
Funciones clave:
- Correlación de eventos
- Identificación de actividad maliciosa
- Relación de eventos y comportamientos
Ventajas:
- Ahorra tiempo al analista
- Evita problemas por falta de registros
- Facilita saber qué ocurrió realmente
Importancia en IR:
- Clasificación de ataques
- Identificación de la fase del ataque
- Priorización de acciones de respuesta
- Detección temprana > menor impacto
- (mejor que descubrir exfiltración a posteriori)
Declaración del Incidente:
Responsable:
- Líder del equipo de IR / Incident Commander
Criterios de decisión:
- Indicadores de compromiso (IOC)
- Alcance del incidente
- Impacto operativo
- Impacto económico
- Criticidad de los sistemas afectados
Basado en:
- Procedimientos definidos en el Plan de IR
Acciones iniciales:
- Declarar oficialmente el incidente
- Activar el proceso de respuesta
- Notificar a la dirección
- Reunir al equipo de IR
Escalado del Incidente
Cuándo se escala:
- Mayor impacto o alcance
- Afectación a sistemas críticos
- Necesidad de ayuda externa
Tipos de escalado:
- Interno (dirección, otros equipos)
- Externo (fuerzas de seguridad, proveedores, consultores)
Responsable del escalado:
- Como mínimo, líder del equipo de IR
- En casos graves, alta dirección
Reverse Engineering
Analizar malware para entender:- Qué hace
- Cómo se comunica
- Cómo se elimina
Tipos:
- Dinámico: verlo actuar
- Estático: leer su código
Analogía:
Abrir un reloj roto para ver qué pieza falla.
Herramientas de Respuesta
- SIEM
- IDS/IPS
- Logs
- Herramientas forenses
- Sistemas de gestión de incidentes
Analogía:
Cámaras, sensores y cuaderno de notas del equipo de seguridad.
Contención
Segmentación
Dividir la red en zonas separadas.
Analogía:
Compartimentos estancos en un barco: si entra agua, no se hunde todo.
Aislamiento
Mover equipos comprometidos a una red aislada.
Analogía:
Sala de aislamiento en un hospital para evitar contagios.
Retirada de sistemas
Desconectar completamente equipos comprometidos.
A veces es mejor perder un sistema que contaminar toda la red.
Aspectos a considerar a la hora de retirar dispositivos de la red:
- Valor a nivel de inteligencia de amenazas; puede que el equipo sea de utilidad para analizar el comportamiento del ataque y evitar futuras amaezas a aprtir de este analisis
- Conservar evidencias de la escena del crimen
- El equipo contienen información esencial que no ha podido se recuperada y es posible eliminarlo
Erradicación y Recuperación
Remediación
Arreglar las causas del incidente.
Controles compensatorios
Medidas alternativas cuando no se puede aplicar la ideal.
Suelen ser temporales
Analogía:
Si la puerta está rota, pones un guardia hasta que se repare.
Mitigación de vulnerabilidades
Eliminar la vulnerabilidad explotada.
Si se explotó una vez, volverá a explotarse si no se corrige.
Sanitización
Eliminar completamente los datos:
- Sobrescritura
- Cifrado
- Desmagnetización
- Destrucción física
Analogía:
No basta con borrar un papel: hay que triturarlo.
Reconstrucción
Objetivo:- Devolver el host comprometido a un estado confiable y limpio
- Uso de imágenes conocidas y endurecidas (gold images / gold masters)
- Evitan reinstalación manual (SO + hardening + apps)
- Necesario tener backups actualizados
- Clave frente a ransomware
- Backups centralizados
- Uso de file servers gestionados
Reimagen
Cuándo se aplica:- No se puede recuperar el sistema a un estado confiable
- Borrado completo y restauración desde imagen confiable
Riesgo de:
- Pérdida de datos no respaldados
- Indisponibilidad del servicio
- Infección extensa o ataque complejo
- Backups regulares y verificados
- Procedimientos documentados y estandarizados
Reconstruir sistemas desde imágenes limpias (gold images).
Analogía:
Reformar la casa desde planos seguros, no parchear grietas.
Soluciones de Virtualización
- Restauración rápida mediante snapshots
- Reducción de pérdida de datos
- Recuperación casi en tiempo real
- Máquinas virtuales (snapshots)
- Infraestructura en la nube
- Infrastructure as Code (IaC)
- Restauración a un estado previo al incidente
Eliminación segura
Técnicas:
- Sobrescritura
- Cifrado
- Desmagnetización (degaussing)
- Destrucción física
Limitaciones:
- SSD: sobrescritura no siempre posible
- Degaussing: solo medios magnéticos
- Dispositivos de red: pocas opciones
Caso extremo
- Destrucción física certificada
- Triturado
- Pulverización
- Incineración
Parcheo
- Vulnerabilidades sin parchear
- Zero-day vs fallo interno de parcheo
- Parche disponible no aplicado → fallo organizativo
- Zero-day → notificar al proveedor
- Riesgo por falta de parcheo centralizado
- Necesidad de controles compensatorios
- NAC
- Verifica parches y AV
- Dispositivos no conformes → red de cuarentena
Restauración y Validación de Permisos
- Recuperar accesos para operar con normalidad
- Quitar privilegios excesivos
- Administradores que usan cuentas admin para todo
- Cuentas antiguas sin eliminar
- Secuestros o creación de cuentas admin
- Recomendación
- Eliminar cuentas comprometidas
- Crear nuevas credenciales
- Validar todas las cuentas
Analogía:
Revisar quién tiene llaves maestras después de un robo.
Restauración de Servicios y Verificación de Logs
- Volver a la normalidad
- Asegurar que los sistemas siguen vigilando
Glosario rápido
- Incidente: evento de seguridad que afecta a la organización
- IRP: Incident Response Plan
- IOC: Indicator of Compromise
- MTD: Maximum Tolerable Downtime
- RTO: Recovery Time Objective
- SIEM: sistema centralizado de logs y eventos
- Playbook: guía estructurada de respuesta
- Reverse Engineering: análisis profundo de malware
Conclusión / Recordatorio para el estudio
La respuesta ante incidentes no es improvisación, es preparación, método y aprendizaje continuo.
Para el CySA+ recuerda:
- Las fases del IR
- La diferencia entre contención, erradicación y recuperación
- La importancia de documentar y aprender del incidente
No se trata de si habrá un incidente, sino de qué tan preparados estaremos cuando ocurra.
No hay comentarios:
Publicar un comentario