1. GUÍA DE RESPUESTA
A INCIDENTES
Cómo crear un plan para responder
a un ataque de ciberseguridad
"Antes que nada, la preparación es la clave del éxito".
Alexander Graham Bell
2. Guía de respuesta a incidentes
1
¿Cuál es la mejor forma de evitar que un ciberataque acabe en una
infracción de seguridad? Prepararse por adelantado.
Después de sufrir una infracción, las empresas suelen darse cuenta de
que podrían haber evitado muchos costes, molestias e interrupciones
si hubieran contado con un plan de respuesta a incidentes efectivo.
El objetivo de esta guía es ayudarle a definir el marco para la planificación
de una respuesta a incidentes de ciberseguridad que le ofrezca las
mejores posibilidades de vencer a un adversario. Estas recomendaciones
están basadas en experiencias del mundo real de los equipos de Sophos
Managed Threat Response y Sophos Rapid Response, que cuentan con
miles de horas de experiencia en la gestión de ciberataques.
Plan de respuesta a incidentes de ciberseguridad
Un plan de respuesta a incidentes efectivo consta de 10 pasos
principales.
1. Determinar a las partes interesadas clave
2. Identificar los recursos críticos
3. Realizar ejercicios de simulación
4. Desplegar herramientas de protección
5. Garantizar la máxima visibilidad
6. Implementar el control de acceso
7. Invertir en herramientas de investigación
8. Establecer acciones de respuesta
9. Organizar formación de concienciación
10. Contratar un servicio de seguridad
gestionado
Marco del plan de respuesta a incidentes
3. Guía de respuesta a incidentes
2
1. Determinar las partes interesadas clave
Prepararse correctamente para un posible incidente de seguridad no es responsabilidad exclusiva de su equipo
de seguridad. De hecho, es probable que el incidente afecte a casi todos los departamentos de su empresa,
especialmente si este incidente acaba en una infracción de seguridad a gran escala. Para coordinar una respuesta
de forma adecuada, primero debe determinar a quiénes debe implicar. Esto suele incluir a representantes de los
equipos directivo, de seguridad, de TI, jurídico y de relaciones públicas.
Saber quiénes deben sentarse a la mesa e involucrarse en los ejercicios de planificación de su empresa es algo que
debe determinarse de antemano. Asimismo, es necesario establecer un método de comunicación para garantizar
una respuesta rápida. Esto debe tener en cuenta la posibilidad de que sus canales de comunicación habituales
(por ejemplo, el correo electrónico corporativo) se vean afectados por el incidente.
2. Identificar los recursos críticos
A fin de determinar el alcance y el impacto de un ataque, su empresa debe identificar primero sus recursos más
prioritarios. Definir sus recursos de mayor prioridad no solo le ayudará a determinar su estrategia de protección,
sino que también hará que sea mucho más sencillo determinar el alcance y el impacto de un ataque. Además, al
identificar estos de antemano, su equipo de respuesta a incidentes podrá centrarse en los recursos más críticos
durante un ataque, lo que minimizará la interrupción del negocio.
3. Realizar ejercicios de simulación
La respuesta a incidentes es como muchas otras disciplinas: la práctica hace al maestro. Aunque es difícil
reproducir plenamente la presión intensa a la que se verá sujeto su equipo durante una posible infracción, los
ejercicios prácticos garantizan una respuesta más coordinada y efectiva cuando se produzca una situación real.
Es importante no solo realizar ejercicios de simulación técnica (con frecuencia como parte de un simulacro del
equipo rojo), sino también ejercicios más amplios que incluyan a las distintas partes interesadas de la empresa
identificadas previamente.
Los ejercicios de simulación deben poner a prueba sus respuestas organizativas ante una serie de posibles
escenarios de respuesta a incidentes. Cada uno de estos escenarios también podría incluir a partes interesadas
ajenas al equipo técnico inmediato. Su empresa tiene que determinar de antemano a quién se debe informar al
detectarse un ataque, aunque este se detenga con éxito.
Estos son algunos escenarios comunes de respuesta a incidentes:
Ì Adversario activo detectado dentro de la red: en estos casos, es fundamental que el equipo de respuesta
determine cómo ha podido infiltrarse el atacante en su entorno, qué herramientas y técnicas ha utilizado, qué se
ha atacado y si ha establecido persistencia. Esta información ayudará a determinar la línea de acción adecuada
para neutralizar el ataque.
Aunque expulsar al adversario inmediatamente del entorno podría parecer una medida evidente, algunos
equipos de seguridad optan por esperar y observar al atacante para obtener información importante que les
ayude a establecer qué está intentando conseguir y qué métodos está utilizando para conseguirlo.
Ì Filtración de datos lograda: si se detecta que se ha producido una filtración de datos, su equipo debe poder
determinar qué se ha exfiltrado y cómo. Esta es la información en que se basará la respuesta adecuada,
incluyendo la posible necesidad de considerar el impacto en las políticas normativas y de cumplimiento, si hay
que contactar con los clientes, y la posible implicación de las autoridades judiciales o policiales.
Ì Ataque de ransomware logrado: si se han cifrado datos y sistemas críticos, su equipo debe seguir un plan para
recuperar estas pérdidas lo más rápido posible. Debe incluir un proceso para restaurar los sistemas a partir de
copias de seguridad. Para asegurarse de que el ataque no se repita al restablecer la conexión, el equipo debe
investigar si se ha cortado el acceso al adversario. Además, la empresa debe determinar si está dispuesta a
pagar un rescate en situaciones extremas y, en caso afirmativo, cuánto estaría dispuesta a gastar.
Ì Sistema de alta prioridad comprometido: si un sistema prioritario se ve comprometido, es posible que su
empresa no pueda seguir operando normalmente. Además de todos los pasos necesarios como parte de
un plan de respuesta a incidentes, su empresa también debe considerar la opción de establecer un plan de
recuperación empresarial para garantizar un impacto mínimo en este tipo de escenario.
4. Guía de respuesta a incidentes
3
4. Desplegar herramientas de protección
La mejor forma de hacer frente a un incidente es protegerse de él antes de que ocurra. Asegúrese de que su empresa
cuenta con una protección adecuada para endpoints, redes, servidores, la nube, dispositivos móviles y el correo
electrónico.
5. Asegurarse de que tiene la máxima visibilidad
Sin la visibilidad adecuada de lo que ocurre durante un ataque, a su empresa le costará responder adecuadamente.
Antes de que se produzca un ataque, los equipos de TI y seguridad deben asegurarse de que tienen la capacidad
para comprender el alcance y el impacto del mismo, lo que incluye determinar los puntos de entrada y los puntos de
persistencia del adversario. Una visibilidad adecuada incluye la recopilación de datos de registro, con énfasis en los datos
de los endpoints y la red. Puesto que muchos ataques tardan días o semanas en detectarse, es importante disponer de
datos históricos de los días y las semanas (incluso los meses) anteriores para investigar. También debe asegurarse de
que estos datos se guardan en copias de seguridad para poder acceder a ellos durante un incidente activo.
6. Implementar el control de acceso
Los atacantes pueden aprovechar un control de acceso débil para infiltrarse en las defensas de su empresa y aumentar
sus privilegios. Compruebe de forma periódica que tiene implementados los controles necesarios para establecer
el control de acceso. Esto incluye, sin limitarse a ello, desplegar la autenticación multifactor, limitar los privilegios
de administrador al menor número posible de cuentas (siguiendo el principio del mínimo privilegio), cambiar las
contraseñas predeterminadas y reducir la cantidad de puntos de acceso que debe supervisar.
7. Invertir en herramientas de investigación
Además de asegurarse de que tiene una visibilidad adecuada, su empresa debe invertir en herramientas que ofrezcan el
contexto necesario durante una investigación.
Algunas de las herramientas más comunes utilizadas para la respuesta a incidentes son la detección y respuesta para
endpoints (EDR) y la detección y respuesta ampliadas (XDR), que le permiten realizar búsquedas en todo su entorno
para detectar indicadores de peligro (IOC) e indicadores de ataque (IOA). Las herramientas de EDR ayudan a los analistas
a identificar los recursos que se han visto comprometidos, lo que a su vez ayuda a determinar el impacto y el alcance
de un ataque. Cuantos más datos se recopilen (de endpoints y otros recursos), más contexto estará disponible durante
la investigación. Con una visibilidad más amplia, su equipo podrá determinar no solo el objetivo de los atacantes, sino
también cómo consiguieron entrar en el entorno y si aún tienen la capacidad de hacerlo.
Además de las herramientas de EDR, los equipos de seguridad avanzados también podrían desplegar una solución de
orquestación, automatización y respuesta de seguridad (SOAR) que ayude en los flujos de trabajo de respuesta.
8. Establecer acciones de respuesta
Detectar un ataque es solo una parte del proceso. Para poder responder correctamente a un ataque, sus equipos de
TI y seguridad deben asegurarse de que tienen la capacidad de tomar una amplia gama de medidas correctivas para
interrumpir y neutralizar al atacante. Las acciones de respuesta son, entre otras:
Ì Aislar los hosts afectados
Ì Bloquear archivos, procesos y programas maliciosos
Ì Bloquear actividad de comando y control (C2) y de sitios web maliciosos
Ì Congelar cuentas comprometidas y cortar el acceso a los atacantes
Ì Limpiar los artefactos y las herramientas del adversario
Ì Cerrar los puntos de entrada y las áreas de persistencia utilizados por los atacantes (internos y de terceros)
Ì Ajustar configuraciones (políticas de amenazas, habilitar seguridad para endpoints y EDR en dispositivos
desprotegidos, ajustar exclusiones, etc.)
Ì Restaurar los recursos afectados mediante copias de seguridad sin conexión
5. Guía de respuesta a incidentes
4
9. Organizar formación de concienciación
Aunque no existirá nunca ningún programa de formación 100 % efectivo contra un determinado adversario,
los programas de formación (p. ej., concienciación sobre el phishing) ayudan a reducir su nivel de riesgo y
limitan el número de alertas a las que debe responder su equipo. Utilizar herramientas para simular ataques
de phishing ofrece a su plantilla una forma segura de experimentar (o posiblemente sucumbir a) uno de
ellos. Inscriba en módulos formativos a quienes no superen las simulaciones, e identifique usuarios de
riesgo que pueden necesitar más formación.
10. Contratar un servicio de seguridad gestionado
Muchas empresas no están equipadas para enfrentarse a incidentes por su cuenta. Para ofrecer una
respuesta veloz y efectiva se requieren operadores de seguridad experimentados. Para asegurarse de que
puede responder de la forma adecuada, considere la posibilidad de trabajar con un recurso externo como
un proveedor de detección y respuesta gestionadas (MDR).
Los proveedores de MDR ofrecen un servicio gestionado de búsqueda de amenazas, investigación y
respuesta a incidentes 24/7. Los servicios de MDR no solo ayudan a su empresa a responder a incidentes
antes de que se conviertan en infracciones, sino que también trabajan para reducir la probabilidad de
que se produzca un incidente de entrada. Los servicios de MDR se están volviendo muy populares: según
Gartner*
, para el 2025, el 50 % de las empresas utilizará servicios de MDR (en 2019, la cifra era inferior al
5 %).
En ocasiones, después de un incidente también se mantienen servicios de respuesta a incidentes con
datos forenses (DFIR) para recopilar pruebas en apoyo de demandas judiciales o de seguros.
Resumen
Cuando se produce un incidente de ciberseguridad, el tiempo es un factor esencial. Contar con un plan de
respuesta bien preparado y bien entendido que todas las partes clave puedan ejecutar de forma inmediata
reduce enormemente el impacto de un ataque en una empresa.