El número de filtraciones de datos, durante 2024 e investigadas por Verizon, aumentó 20 puntos porcentuales en total de incidentes, con respecto al año anterior. ESET, compañía líder en detección proactiva de amenazas, advierte que la preparación es la clave de una respuesta a incidentes (IR) eficaz.
Una vez que las amenazas se introducen en la red, el tiempo juega en contra y detenerlas antes de que lleguen a provocar daño es cada vez más difícil: según las últimas investigaciones, en 2024 los adversarios fueron un 22% más rápidos que en el año anterior para progresar desde el acceso inicial hasta el movimiento lateral (también conocido como «tiempo de fuga»). El tiempo medio de penetración fue de 48 minutos, aunque el ataque más rápido registrado fue casi la mitad: solo 27 minutos.
“Una filtración de datos no tiene por qué ser tan catastrófico como parece para los defensores de la red siempre y cuando los equipos sean capaces de responder con rapidez y decisión a las intrusiones. Aunque cada organización (y cada incidente) es diferente, si todos los miembros del equipo de respuesta a incidentes saben exactamente lo que tienen que hacer, y nada queda librado al azar o a inventar sobre la marcha hay más posibilidades de que la resolución sea rápida, satisfactoria y de bajo costo”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Desde ESET aclaran que ninguna organización es 100% a prueba de brechas y que si se sufre un incidente y sospecha de un acceso no autorizado, se debe trabajar metódicamente y con rapidez. Para ello, una guía de cómo actuar durante las primeras 24 a 48 horas con rapidez y minuciosidad, sin comprometer la precisión ni las pruebas:
1. Recopilar información y comprender el alcance: El primer paso es comprender exactamente qué sucedió, activar el plan de respuesta a incidentes preestablecido y notificarlo al equipo. Este grupo debe incluir a las partes interesadas de toda la empresa, incluidos las áreas de recursos humanos, de relaciones públicas y comunicación, el departamento jurídico y la dirección ejecutiva. Todos ellos tienen un importante papel que desempeñar tras el incidente.
A continuación, se calcula el radio de acción del ataque: ¿Cómo ha entrado el adversario en la red de la empresa? ¿Qué sistemas se han visto comprometidos? ¿Qué acciones maliciosas han realizado ya los atacantes?
Documentar cada paso y recopilar pruebas, tanto para evaluar el impacto del ataque, como para la etapa de investigación forense e, incluso para futuros procesos legales. Mantener la cadena de custodia garantiza la credibilidad en caso de que deban intervenir las fuerzas de seguridad o los tribunales.
2. Notificar a terceros: Una vez que se haya establecido qué sucedió, es necesario informar a las autoridades pertinentes.
• Reguladores: Si se ha robado información de identificación personal (PII), hay que ponerse en contacto con las autoridades que correspondan en virtud de las leyes de protección de datos o específicas del sector. En los Estados Unidos, por ejemplo, debe actuarse de acuerdo a las normas de divulgación de ciberseguridad de la SEC o las leyes de violación a nivel estatal.
• Aseguradoras: La mayoría de las pólizas de seguros estipularán que se informe a su proveedor de seguros tan pronto como se haya producido una violación.
• Clientes, socios y empleados: La transparencia genera confianza y ayuda a evitar la desinformación. Es mejor que se enteren antes de que la información se difunda por redes sociales o medios de comunicación.
• Fuerzas y cuerpos de seguridad: Informar de incidentes, especialmente de ransomware, puede ayudar a identificar campañas más grandes y, a veces, proporcionar herramientas de descifrado o apoyo de inteligencia.
• Expertos externos: También puede ser necesario ponerse en contacto con especialistas legales e informáticos externos.
3. Aislar y contener: Mientras se mantiene el contacto con los terceros pertinentes, se debe trabajar con rapidez para evitar la propagación del ataque. Se recomienda aislar de internet los sistemas afectados sin apagar los dispositivos, para limitar el alcance del atacante sin comprometer posibles pruebas valiosas.
Todas las copias de seguridad deben estar fuera de línea y desconectadas para evitar que sean secuestradas o el ransomware pueda corromperlas. Desactivar todos los accesos remotos, restablecer las credenciales VPN y utilizar herramientas de seguridad para bloquear cualquier tráfico malicioso entrante y las conexiones de comando y control.
4. Eliminar y recuperar: Se debe realizar el análisis forense para comprender las tácticas, técnicas y procedimientos (TTP) del atacante, desde la entrada inicial hasta el movimiento lateral y (si procede) el cifrado o la extracción de datos. Y eliminar cualquier malware persistente, backdoors, cuentas fraudulentas y otros signos de peligro. Para recuperar y restaurar es clave eliminar el malware y las cuentas no autorizadas, verificar la integridad de los sistemas y datos críticos, restaurar copias de seguridad limpias (tras confirmar que no están comprometidas) y vigilar de cerca la aparición de indicios de un nuevo compromiso o de mecanismos de persistencia.
En esta fase puede aprovecharse la reconstrucción de los sistemas para reforzar los controles de privilegios, implementar una autenticación más estricta y reforzar la segmentación de la red. Para acelerar proceso puede recurrirse a ayuda de socios que ofrezcan herramientas como Ransomware Remediation de ESET.
5. Revisar y mejorar: Una vez pasado el peligro inmediato, es momento de revisar las obligaciones con los organismos reguladores, los clientes y otras partes interesadas (por ejemplo, socios y proveedores). Es necesario actualizar las comunicaciones una vez que se comprenda el alcance de la infracción, lo que podría incluir una presentación ante los organismos reguladores. Esta iniciativa debería impulsarse desde los asesores jurídicos y de relaciones públicas.
La revisión posterior al incidente puede ser un catalizador para la resiliencia. Una vez que se ha calmado el ambiente, también es buena idea averiguar qué ocurrió y qué lecciones se pueden aprender para evitar que se produzca un incidente similar en el futuro. Un punto útil sería introducir ajustes en el plan de gestión de incidentes o recomendar nuevos controles de seguridad y consejos para la formación de los empleados.
Una cultura sólida tras un incidente trata cada brecha como un ejercicio de entrenamiento para la siguiente, mejorando las defensas y la toma de decisiones en situaciones de estrés.
“No siempre es posible evitar una brecha, pero sí minimizar los daños. Si su organización no dispone de recursos para vigilar las amenazas 24 horas al día, 7 días a la semana, considere la posibilidad de contratar un servicio de detección y respuesta gestionadas (MDR) de un tercero de confianza. Pase lo que pase, ponga a prueba su plan de IR, y luego vuelva a ponerlo a prueba. Porque el éxito de la respuesta a incidentes no es solo una cuestión de IT. Requiere que una serie de partes interesadas de toda la organización y externas trabajen juntas en armonía. El tipo de memoria muscular que todos necesitan suele requerir mucha práctica para desarrollarse”, concluye Gutiérrez Amaya de ESET Latinoamérica.