Respuesta a incidentes: tomando evidencias y recuperando la actividad
Continuando con las fases para gestionar de forma correcta un incidente de seguridad, en el artículo pasado «Primeros pasos en la respuesta a incidentes» veíamos cómo actuar una vez reconocemos que ha sucedido el incidente. La fase inicial terminó conteniendo el posible daño causado a la organización. En esta segunda fase, trataremos de arrojar más luz sobre el incidente y cómo la empresa podría recuperar su actividad normal.
Identificación de la gravedad del ataque
Tras la evaluación inicial, la comunicación y la contención, tenemos que determinar qué sistemas, equipos e información han podido verse comprometidos. Esto será de utilidad para identificar los activos afectados y tomar las acciones que se consideren oportunas para valorar los daños y evitar que vuelva a suceder. En función de los activos afectados, la metodología de actuación variará y como cada caso es diferente, se debe intentar seguir las siguientes recomendaciones:
| Clase de incidente | Tipo de incidente |
|---|---|
| Ataque | Ataque dirigido (incluido ataque de ingeniería social) |
| Modificación de sitio web | |
| Código maliciosos | Infección extendida |
| Infección única | |
| Denegación de servicio (DOS) | Con éxito |
| Sin éxito (intento de) | |
| Acceso no autorizado, robo o pérdida de datos | Acceso no autorizado |
| Robo o pérdida de equipos | |
| Pérdida de datos | |
| Pruebas y reconocimientos | Pruebas no autorizadas |
| Alarmas de sistemas de monitorización | |
| Daños físicos | Daños o cambios físicos no autorizados a los sistemas |
| Abuso de privilegios y usos inadecuados | Abuso de privilegios o de políticas de seguridad |
| Infracciones de derechos de autor o piratería | |
| Uso indebido de la marca |
- Determinar qué tipo de ataque se ha sufrido, como puede ser un ransomware, robo de información confidencial o acceso no autorizado a la página web. En este punto, al conocer más detalle de los activos afectados, podemos darnos cuenta del alcance real del ataque y clasificarlo de forma diferente que lo hicimos en la fase inicial.
- Determinar el punto de origen o vector de ataque que se ha utilizado. Puede ser el correo electrónico corporativo, una memoria USB infectada con malware, etc.
- Identificar si el ataque ha sido dirigido en particular contra la empresa o si por el contrario, se trata de un ataque aleatorio. Los incidentes provocados por situaciones relacionadas con comunicaciones genéricas e impersonales, a través de correos electrónicos, o debidos a vulnerabilidades no parcheadas de la web corporativa, es muy probable que sean ataques aleatorios. Por el contrario, si el ataque cuenta con información personal de la víctima o sobre el software utilizado por la empresa, es muy posible que el ataque sea dirigido.
- En base al tipo de ataque sufrido y el vector utilizado, se identificarán los activos que hayan podido verse comprometidos.
Protección de las pruebas
Cuando nuestra empresa es atacada intencionadamente, bien sea para dañar su reputación, obtener beneficio económico o robar información, es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Para ello se deberán recopilar todas las pruebas posibles, realizando copias completas del sistema y los activos que aloja antes de llevar a cabo cualquier otra acción sobre el dispositivo en cuestión, permitiendo además realizar un análisis más exhaustivo.
Lo más recomendable es realizar dos copias de seguridad. La primera de ellas, debe realizarse en un medio que admitan únicamente una escritura como DVD-R o BD-R. La segunda copia, puede realizarse en otro tipo de medio, preferiblemente nuevo y éste actuará como copia a utilizar para intentar recuperar los datos. Una vez realizadas ambas copias, se deben retirar de los sistemas afectados los discos duros que hayan podido verse afectados para guardarlos en un lugar seguro. Ambas copias también deberán estar protegidas en un lugar seguro e indicando información relevante sobre ellas, como:
- Quién hizo las copias.
- Cuándo se realizaron.
- Quién ha tenido acceso a ellas.
La forma en que se recolecten las pruebas y como se manipulen será de suma importancia en un juicio. Por ello, habrá que documentar todo el proceso minuciosamente. En cualquier caso, si vas a denunciar, considera ponerte en contacto con un perito forense que aportará sus conocimientos y herramientas para obtener las evidencias válidas necesarias para presentarlas en un juicio.
Notificación a organismos externos
Una vez recabadas todas las pruebas posibles, documentado correctamente todo lo necesario y contenida la amenaza, únicamente quedará interponer, si procede, una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Además, es recomendable notificar el incidente al INCIBE-CERT como centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España. En este artículo ¿Tu empresa ha sido víctima de un incidente de seguridad? Repórtalo puedes aprender a tomar evidencias de un correo sospechoso.
En caso de que se hayan visto comprometidos datos personales se deberá notificar ante la Agencia Española de Protección de Datos y a los afectados, tal y como se indica en el Reglamento General de Protección de Datos o RGPD.
Recuperación de los sistemas afectados
Es hora de reinstalar los equipos afectados y restaurar las copias de seguridad si las tuviéramos. Hacer copias de seguridad periódicas off-line y almacenarlas en otra ubicación distinta a la de los equipos afectados será en algunos casos la única forma de recuperar los datos y equipos afectados.
Un incidente de seguridad se puede presentar sin ser detectado. En estos casos, algunas copias de seguridad almacenadas podrían estar afectadas y tendremos que identificar cuál de ellas tenemos que restaurar. Para saber qué copia utilizar, es de suma importancia identificar en qué momento se produjo el ataque. Para determinarlo puede ser de utilidad contar con software de integridad de archivos u otras herramientas de seguridad como IDS, IPS, UTM, etc. Para recuperar los sistemas y los activos afectados se debe utilizar una copia de seguridad previa al incidente. Es vital para la empresa disponer de varias copias de seguridad y utilizar aquella sobre la que tengamos la seguridad de que sus archivos no se han visto comprometidos.
Lecciones aprendidas
Con todos los datos recopilados tras un incidente tenemos que recapitular y ver qué ha pasado. Debemos informar a todos de lo que ha pasado, tomar buena nota y elaborar instrucciones precisas para que no vuelva a suceder.
Para aprender a responder a incidentes de ransomware, phishing, fuga de información, ingeniería social y botnets, puedes entrenarte junto a tus empleados con el Juego de Rol: ¿Te atreves a resolver un incidente?
Y si te ha ocurrido y no sabes cómo actuar puedes contactar con la Línea de ayuda en ciberseguridad ofrecida por INCIBE.
