Qué hacer y qué NO hacer cuando tienes un incidente de ciberseguridad

por Antonio Félix Sánchez-Oro, posted in Actualidad, Ciberseguridad, Guías, SysAdmin

Cuando una organización se ve involucrada en un incidente de ciberseguridad el primer sentimiento que suele aparecer es el pánico. Tener claro qué hacer y qué no hacer ante una situación de este tipo puede ayudarnos a mitigar o resolver el problema de forma ordenada y eficaz.

En esta entrada voy a comentar las acciones que los expertos recomiendan hacer y las que no, si te ves envuelto en una situación así.

Relacionado con este tema te dejo también una entrada donde te propongo crear una mochila de ciberseguridad, para que tu equipo pueda responder rápidamente en las primeras fases de un incidente.

LO QUE NO DEBEMOS HACER…

entrar en pánico

Es difícil, lo sé, pero lo primero que tenemos que hacer es aplacar los nervios y ¡no dejarse llevar por el pánico! Dejarse dominar por este sentimiento solo va a retrasar nuestra toma de decisiones o peor aún: tomar acciones contraproducentes.

Aunque es difícil lo mejor que se puede hacer es actuar con tranquilidad y ceñirse al plan de respuesta a incidentes. Para mejorar la efectividad de nuestras acciones es recomendable entrenar este tipo de situaciones con el equipo de seguridad o CIRT mediante simulacros anuales o semestrales.

apagar los sistemas afectados

Aunque parezca una acción que va en contra del sentido común ¡no debemos apagar los equipos afectados! Esto es debido a que guardan mucha información útil que es volátil, y que se puede extraer para determinar las causas del incidente como, por ejemplo, datos del atacante, conexiones de la máquina afectada, puertos abiertos, etc.

Si apagamos los ordenadores corremos el riesgo de perder información valiosísima para esclarecer los acontecimientos que han llevado al incidente.

En su lugar, si necesitas cortar de inmediato la comunicación utiliza el firewall (cortando la conexión o pulsando el botón de pánico) o desconecta el enlace de red.

introducir credenciales de administrador de dominio en los equipos afectados

Si tenemos sospechas de que un equipo está afectado por un problema de ciberseguridad abstente de introducir credenciales de administrador de dominio. Con esta acción podrías comprometer estas credenciales y poner en peligro a toda la organización.

En su lugar, usa una contraseña de administrador local o de usuario avanzado.

ejecutar software no forense directamente en los equipos involucrados

Instalar, por ejemplo, software de recuperación o software antivirus en un equipo que está involucrado en un incidente de ciberseguridad podría alterar la línea de eventos que guarda el sistema y borrar evidencias útiles que deberían ser analizadas.

En vez de esto, toma una imagen de la máquina afectada y posteriormente instala lo necesario. Con esta imagen podrás analizar el equipo con la seguridad de no haber alterado el sistema, y lo tendrás listo para su análisis.

LO QUE DEBEMOS HACER…

recopilar evidencias

Recopilar evidencias con herramientas de análisis forense. Te recomiendo que empieces por las evidencias más volátiles, que sean susceptibles de desaparecer, como la memoria RAM, por ejemplo.

Después procura recopilar otras fuentes de datos relevantes como:

  • Eventos del sistema.
  • Eventos y logs de la capa de middleware (servidores web, servidores de aplicaciones, bases de datos, etc.)
  • Eventos y logs de la red (switches, routers, firewall, NAC, Proxy o NetFlow si lo tienes activado)
  • Métricas de rendimiento.

Por último, recopila otros datos interesantes como capturas de pantallas que muestren información de interés u otros datos relevantes como los correos electrónicos.

Analizar este tipo de evidencias podría llevarte a conclusiones certeras para que establezcas una línea temporal que explique lo sucedido. Posteriormente es recomendable redactar un informe con acciones preventivas y correctivas que aseguren o mitiguen que el problema de ciberseguridad no se vuelva a repetir.

comunicarse con el equipo de seguridad interno y externo

Comunicar el problema al equipo de seguridad y a las empresas contratadas que dan soporte a la organización. Ellos son los expertos que deberán seguir el plan de respuestas a incidentes previsto.

Si la organización no cuenta con ayuda de externa, y todo dependiendo del alcance del problema, se puede contratar servicios de terceros que ayuden a resolver el problema.

actuar según el plan de respuesta de incidentes

Actuar según lo establecido en el plan de respuestas a incidente debe de ser la primera acción a realizar. En este documento se detallan las acciones y los pasos que el equipo CIRT deberá dar antes un problema de ciberseguridad.

registrar las operaciones ejecutadas

Tener un registro de los pasos que se han ido acometiendo es una muy buena idea de cara a la futura investigación. Esto permitirá organizar los acontecimientos en una línea temporal y analizar si nuestras acciones han sido adecuadas en función de las circunstancias.

Analizar los pasos que se han ido dando durante un incidente de ciberseguridad permite mejorar los procedimientos en caso de se volviera a dar un nuevo ataque en el futuro, ayudando a crear know-how útil.

perder el miedo a comunicar el incidente a los usuarios

Dependiendo del ataque y las circunstancias del mismo, no hay que tener miedo a comunicar a los usuarios, por medio de un software de cartelería digital o mensajería como Teams o Spark, que la organización está bajo ataque. Esto permite elevar el nivel de atención de los usuarios y puede que comuniquen información útil para mitigar o esclarecer la incidencia.

Publicado por Antonio Félix Sánchez-Oro

¡Hola! Soy Antonio Félix y trabajo como técnico de seguridad de la información en el sector nuclear. Como ves, me encanta escribir sobre la actualidad tecnología y ciberseguridad. Sígueme para estar atento a las últimas novedades.