Inicio / Protege tu empresa / Blog / Respuesta a incidentes: tomando evidencias y recuperando la actividad

Respuesta a incidentes: tomando evidencias y recuperando la actividad

Publicado el 21/03/2019, por INCIBE
Imagen de acompañamiento.

Continuando con las fases para gestionar de forma correcta un incidente de seguridad, en el artículo pasado «Primeros pasos en la respuesta a incidentes» veíamos cómo actuar una vez reconocemos que ha sucedido el incidente. La fase inicial terminó conteniendo el posible daño causado a la organización. En esta segunda fase, trataremos de arrojar más luz sobre el incidente y cómo la empresa podría recuperar su actividad normal.

Identificación de la gravedad del ataque

Tras la evaluación inicial, la comunicación y la contención, tenemos que determinar qué sistemas, equipos e información han podido verse comprometidos. Esto será de utilidad para identificar los activos afectados y tomar las acciones que se consideren oportunas para valorar los daños y evitar que vuelva a suceder. En función de los activos afectados, la metodología de actuación variará y como cada caso es diferente, se debe intentar seguir las siguientes recomendaciones:

  • Determinar qué tipo de ataque se ha sufrido, como puede ser un ransomware, robo de información confidencial o acceso no autorizado a la página web. En este punto, al conocer más detalle de los activos afectados, podemos darnos cuenta del alcance real del ataque y clasificarlo de forma diferente que lo hicimos en la fase inicial.
    Clase de incidente Tipo de incidente
    Ataque Ataque dirigido (incluido ataque de ingeniería social)
    Modificación de sitio web
    Código maliciosos Infección extendida
    Infección única
    Denegación de servicio (DOS) Con éxito
    Sin éxito (intento de)
    Acceso no autorizado, robo o pérdida de datos Acceso no autorizado
    Robo o pérdida de equipos
    Pérdida de datos
    Pruebas y reconocimientos Pruebas no autorizadas
    Alarmas de sistemas de monitorización
    Daños físicos Daños o cambios físicos no autorizados a los sistemas
    Abuso de privilegios y usos inadecuados Abuso de privilegios o de políticas de seguridad
    Infracciones de derechos de autor o piratería
    Uso indebido de la marca
  • Determinar el punto de origen o vector de ataque que se ha utilizado. Puede ser el correo electrónico corporativo, una memoria USB infectada con malware, etc.
  • Identificar si el ataque ha sido dirigido en particular contra la empresa o si por el contrario, se trata de un ataque aleatorio. Los incidentes provocados por situaciones relacionadas con comunicaciones genéricas e impersonales, a través de correos electrónicos, o debidos a vulnerabilidades no parcheadas de la web corporativa, es muy probable que sean ataques aleatorios. Por el contrario, si el ataque cuenta con información personal de la víctima o sobre el software utilizado por la empresa, es muy posible que el ataque sea dirigido.
  • En base al tipo de ataque sufrido y el vector utilizado, se identificarán los activos que hayan podido verse comprometidos.

Protección de las pruebas

Cuando nuestra empresa es atacada intencionadamente, bien sea para dañar su reputación, obtener beneficio económico o robar información, es recomendable interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Para ello se deberán recopilar todas las pruebas posibles, realizando copias completas del sistema y los activos que aloja antes de llevar a cabo cualquier otra acción sobre el dispositivo en cuestión, permitiendo además realizar un análisis más exhaustivo.

Lo más recomendable es realizar dos copias de seguridad. La primera de ellas, debe realizarse en un medio que admitan únicamente una escritura como DVD-R o BD-R. La segunda copia, puede realizarse en otro tipo de medio, preferiblemente nuevo y éste actuará como copia a utilizar para intentar recuperar los datos. Una vez realizadas ambas copias, se deben retirar de los sistemas afectados los discos duros que hayan podido verse afectados para guardarlos en un lugar seguro. Ambas copias también deberán estar protegidas en un lugar seguro e indicando información relevante sobre ellas, como:

  • Quién hizo las copias.
  • Cuándo se realizaron.
  • Quién ha tenido acceso a ellas.

La forma en que se recolecten las pruebas y como se manipulen será de suma importancia en un juicio. Por ello, habrá que documentar todo el proceso minuciosamente. En cualquier caso, si vas a denunciar, considera ponerte en contacto con un perito forense que aportará sus conocimientos y herramientas para obtener las evidencias válidas necesarias para presentarlas en un juicio.

Notificación a organismos externos

Una vez recabadas todas las pruebas posibles, documentado correctamente todo lo necesario y contenida la amenaza, únicamente quedará interponer, si procede, una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.

Además, es recomendable notificar el incidente al INCIBE-CERT como centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España.  En este artículo ¿Tu empresa ha sido víctima de un incidente de seguridad? Repórtalo puedes aprender a tomar evidencias de un correo sospechoso.

En caso de que se hayan visto comprometidos datos personales se deberá notificar ante la Agencia Española de Protección de Datos y a los afectados, tal y como se indica en el Reglamento General de Protección de Datos o RGPD.

Recuperación de los sistemas afectados

Es hora de reinstalar los equipos afectados y restaurar las copias de seguridad si las tuviéramos. Hacer copias de seguridad periódicas off-line y almacenarlas en otra ubicación distinta a la de los equipos afectados será en algunos casos la única forma de recuperar los datos y equipos afectados.

Un incidente de seguridad se puede presentar sin ser detectado. En estos casos, algunas copias de seguridad almacenadas podrían estar afectadas y tendremos que identificar cuál de ellas tenemos que restaurar. Para saber qué copia utilizar, es de suma importancia identificar en qué momento se produjo el ataque. Para determinarlo puede ser de utilidad contar con software de integridad de archivos u otras herramientas de seguridad como IDS, IPS, UTM, etc. Para recuperar los sistemas y los activos afectados se debe utilizar una copia de seguridad previa al incidente. Es vital para la empresa disponer de varias copias de seguridad y utilizar aquella sobre la que tengamos la seguridad de que sus archivos no se han visto comprometidos.

Lecciones aprendidas

Con todos los datos recopilados tras un incidente tenemos que recapitular y ver qué ha pasado. Debemos informar a todos de lo que ha pasado, tomar buena nota y elaborar instrucciones precisas para que no vuelva a suceder.

Para aprender a responder a incidentes de ransomware, phishing, fuga de información, ingeniería social y botnets, puedes entrenarte junto a tus empleados con el Juego de Rol: ¿Te atreves a resolver un incidente?

Y si te ha ocurrido y no sabes cómo actuar puedes contactar con la Línea de ayuda en ciberseguridad ofrecida por INCIBE.