STI 2020 ®

Acciones clave tras sufrir un ciberataque.

Mitigación de daños: respuesta rápida a brechas de seguridad

by

STI 2020®
in , , ,

Actuar rápido y con precisión tras un ciberataque, es lo que puede marcar la diferencia entre una crisis de seguridad controlada y un desastre empresarial. El número de filtraciones de datos, durante 2025, siguió con su tendencia al alza, con respecto al año anterior. Esto no debería ser catastrófico, siempre que los equipos de defensa ante amenazas, sean capaces de responder con rapidez y decisión ante las intrusiones. Vamos a tratar este aspecto, con mayor profundidad.

La preparación es la clave, para una respuesta ante incidentes eficaz. Aunque cada organización y cada incidente es diferente, si todos los miembros del equipo de respuesta saben exactamente lo que tienen que hacer, nada queda en manos del azar o inventar sobre la marcha, hay más posibilidades de que la resolución del problema sea rápida, satisfactoria y con un bajo coste para la organización o empresa.

En el momento en el que las amenazas se introducen en la red, el tiempo juega en contra y detenerlas antes de que lleguen a provocar mayor daño es cada vez más difícil. Según recientes investigaciones, en 2024 los adversarios fueron un 22% más rápidos que en el año anterior, para progresar desde el acceso inicial hasta el movimiento lateral, también conocido como «tiempo de fuga». El tiempo medio de penetración fue de 48 minutos, aunque el ataque más rápido registrado fue casi la mitad: tan sólo necesitando 27 minutos para su ejecución.

Por otra parte, existe un fuerte incentivo económico para responder de forma rápida y efectiva ante los incidentes de seguridad. Según IBM, las brechas que se detectan y contienen en menos de 200 días tuvieron este año un coste medio de 3,9 millones de dólares, lo que representa un descenso del 5% respecto al año anterior. Por contra, aquellas que superan los 200 días, suponen un gasto añadido de más de 5 millones. Ello demuestra, que acertar con la respuesta a incidentes (IR) puede suponer un ahorro significativo.

Brechas de datos en ciberataques.
Las brechas de datos resultantes de los ciberataques, pueden aportar grandes pérdidas a las empresas.

Pasos a seguir tras sufrir una brecha de seguridad

Lo cierto es, que ninguna organización está protegida al 100% ante brechas de seguridad. Por ello, si sufre un incidente y se sospecha de un acceso no autorizado, se debe trabajar metódicamente y con gran rapidez.

Vamos a tratar a continuación, cómo se debería actuar durante las primeras 24 o 48 horas, con rapidez y minuciosidad, pero sin comprometer la precisión ni las pruebas.

Recopilar toda información posible y comprender el alcance

El primer paso, es comprender exactamente qué sucedió, activar el plan de respuesta a incidentes establecido y notificarlo al equipo de respuesta. Este grupo debe incluir a las partes interesadas de toda la empresa, incluidas las áreas de recursos humanos, relaciones públicas y comunicación, departamento jurídico y dirección ejecutiva. Todos ellos tienen un importante papel que desempeñar, tras producirse el incidente.

A continuación, se debe calcular el radio de acción del ataque:

  • ¿Cómo han entrado los atacantes en la red de la empresa?
  • ¿Qué sistemas o servicios se han visto comprometidos?
  • ¿Qué acciones maliciosas han llevado a cabo ya los atacantes?

Documentar cada paso y recopilar cuantas pruebas sea posible, es fundamental, tanto para evaluar el impacto del ataque, como para la etapa de investigación forense, incluso para futuros procesos legales. Mantener la cadena de custodia, garantizará la credibilidad en caso de intervención de las fuerzas de seguridad o tener que llegar a los tribunales.

Comunicación a terceros

Una vez se tiene conocimiento sobre qué sucedió, es necesario informar a las autoridades pertinentes. Además se debe poner en conocimiento de los siguientes actores:

  • Órganismos reguladores: si se ha conseguido extraer información de identificación personal (PII), debe ponerse en conocimiento de las autoridades que corresponda, en virtud de la Ley de Protección de Datos, u otras específicas del sector. En Estados Unidos, por ejemplo, debe actuarse de acuerdo a las normas de divulgación de ciberseguridad de la SEC o las leyes de violación a nivel estatal. En España, se cuenta con la Agencia Española de Protección de Datos (AEPD), así como el INCIBE.
  • Compañías aseguradoras: La mayoría de pólizas de seguros, estipularán que se informe a su proveedor de seguros tan pronto como se haya producido una violación de la información.
  • Clientes, socios y empleados: La transparencia genera confianza y ayuda a evitar la desinformación. Es mejor que se ponga en su conocimiento, antes de que la información se difunda por redes sociales o medios de comunicación.
  • Fuerzas y cuerpos de seguridad: Informar sobre incidentes, especialmente de ransomware, puede ayudar a identificar campañas de mayor envergadura, incluso a veces, proporcionar herramientas de descifrado o apoyo de inteligencia.
  • Expertos externos: También puede llegar a ser necesario, ponerse en contacto con especialistas legales e informáticos externos a la empresa u organización.

 Aislar y contener el ataque

Mientras se establece contacto con los terceros que sea necesario, se debe trabajar con rapidez para evitar la propagación del ataque. Es recomendable aislar de internet aquellos sistemas afectados, sin apagar los dispositivos, para limitar el alcance del atacante sin comprometer pruebas valiosas.

Toda copia de seguridad, debe estar fuera de línea y desconectada para evitar que sea secuestrada o el ransomware pueda corromperla. Hay que desactivar todo acceso remoto, restablecer credenciales VPN y utilizar herramientas de seguridad, para bloquear cualquier tráfico malicioso entrante, así como las conexiones de comando y control.

El análisis forense es de vital importancia tras sufrir un ciberataque.
El análisis forense, resulta imprescindible tras sufrir un ciberataque.

Eliminar la amenaza y recuperar la actividad

Una vez conseguida la contención, se debe pasar a la etapa de erradicación y recuperación. Primeramente, se deberá realizar el análisis forense para comprender las tácticas, técnicas y procedimientos (TTP) del atacante, desde la entrada inicial, hasta el movimiento lateral y si procede, el cifrado o extracción de datos. Además, se deberá eliminar cualquier malware persistente, backdoors (puertas traseras), cuentas fraudulentas y otros signos de riesgo persistentes.

Es el momento de recuperar y restaurar. Por lo que las acciones clave, incluyen:

  • Eliminar el malware y cuentas no autorizadas.
  • Verificar la integridad de los sistemas, así como los datos críticos.
  • Restaurar copias de seguridad limpias, tras verificar que no están comprometidas.
  • Vigilar estrechamente, la aparición de indicios de un nuevo compromiso o mecanismos de persistencia.

Esta fase, puede aprovecharse para la reconstrucción de los sistemas, reforzar el control de privilegios, implementar una autenticación más estricta y reforzar la segmentación de la red. Puede recurrirse a ayuda de socios, que ofrezcan herramientas confiables.

Revisar, mejorar y actualizar

Una vez haya pasado el peligro inmediato, es el momento adecuado para revisar las obligaciones con los organismos reguladores, los clientes y otras partes interesadas, como socios y proveedores. Para ello, será necesario actualizar las comunicaciones, una vez se conoce el alcance del ataque, lo que podría incluir la presentación ante los organismos reguladores. Esta iniciativa, debería impulsarse a través de los asesores jurídicos y de relaciones públicas.

La revisión posterior al incidente, es un catalizador para la resiliencia. Una vez que se ha recuperado la normalidad, es buena idea averiguar qué ocurrió y qué lecciones se pueden extraer, para evitar que se produzca un incidente similar en el futuro.

Por ello, es fundamental examinar qué falló y actualizar el plan de gestión de incidentes, las guías de actuación y los procedimientos de escalada. Otro aspecto muy útil, será introducir ajustes en el plan de gestión de incidentes o recomendar nuevos controles de seguridad, así como consejos para la formación de los empleados.

Una cultura sólida tras un incidente, trata cada brecha como un ejercicio de entrenamiento para la siguiente, mejorando las defensas y la toma de decisiones en situaciones de riesgo.

Además de las TI

Evitar una brecha, no siempre es posible. Pero, sí minimizar los daños. Si la organización no dispone de los recursos necesarios para vigilar las amenazas las 24 horas al día, los 7 días a la semana, se debe considerar la posibilidad de contratar un servicio de detección y respuesta gestionadas (MDR), de terceros de confianza.

Pase lo que pase, se debe poner a prueba el plan de IR (respuesta ante incidentes), y luego volver a ponerlo a prueba. El éxito de la respuesta a incidentes, no es sólo una cuestión del departamento de TI. Requiere de una serie de partes implicadas de toda la organización, así como externas, que trabajen juntas.

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.