Procedimiento de actuación e investigación forense en caso de sufrir un incidente informático

Antes de un incidente informático, las organizaciones necesitan contar con un procedimiento de actuación enmarcado dentro de su política de seguridad según el tipo de incidente –siniestros, intrusiones o sabotajes–. Procedimientos que no deben depender únicamente del CISO y que han de estar acompañados de simulacros que les permitan ejecutar la cadena de mando y las labores necesarias.

Los simulacros deberán realizarse durante turnos laborales previamente establecidos y estarán acompañados de un ROF (rol operativo de funciones) que indique bajo qué responsabilidades queda el desempeño de las contingencias creadas para evitar una actividad maliciosa; esta es la piedra angular de la ciberestructura de una entidad. Muchos incidentes son conocidos meses después de efectuarse, algo que ocurre incluso en entidades que cuentan con certificaciones ISO en seguridad.

Por otro lado, las organizaciones deben contar con profesionales cualificados, así como con certificaciones vigentes (cada certificación internacional cuenta con un periodo de vigencia entre dos y tres años). Al caducar las mismas, el personal deberá desarrollar un proceso de revalidación.

El hecho de que una entidad no cuente con unas políticas claras de ciberseguridad le traerá graves consecuencias

Asimismo, en materia de ciberseguridad es necesaria una actualización. Mucho del hardware que se emplea en las entidades cuenta con sus propias certificaciones, las cuales se ofrecen al personal cuando se instalan. El personal que se certifique deber contar con un contrato renovado, lo que contribuye a que se establezcan procesos que perduren en el tiempo.

El hecho de que la entidad no cuente con unas políticas claras de ciberseguridad le traerá graves consecuencias. No se puede establecer un proceso post mortem que subsane el desconocimiento de actuación en incidentes. Es de carácter obligatorio que el personal de la entidad se actualice y capacite de forma rotativa sobre las amenazas informáticas vigentes.

Las organizaciones tampoco pueden permitirse un desfase de conocimiento tecnológico. Todo el personal debe asistir a charlas técnicas y tecnológicas desarrolladas por entidades que oferten soluciones en el mercado local e internacional. La asistencia a estos encuentros deberá estar monitorizada por el área de Recursos Humanos con el fin de evitar la rotación de asistencia de capacitaciones de dicha índole en caso de que el personal migre hacia otras entidades o la propia organización decida no renovar su contrato.

Durante del incidente

Las entidades deberán seguir unos protocolos establecidos ante un incidente informático. Si el servidor ha sido comprometido, se pasa al backup; el servidor secundario ayudará en este caso a que los usuarios puedan seguir operando, minimizando la pérdida de reputación al dejar inactivo el servidor comprometido. Se requiere efectuar un análisis forense que determine el daño causado en el servidor primario, cerrando conexiones indebidas. Se crean nuevas shells de acceso para evitar posteriores ingresos, se analizan movimientos de logs y los últimos archivos cargados en el servidor, se crea un registro de los IPS que tuvieron acceso al servidor y se examinan los archivos cifrados.

La diferencia entre incidentes sufridos y denunciados es alta, lo cual propicia que los cibercriminales salgan impunes y continúen actuando

En esta fase deberá informarse a los superiores para que decidan si reportan el incidente informático a las autoridades competentes en materia de cibercrimen. Por ello es primordial conocer de antemano el protocolo de comunicación establecido por las autoridades. Merece la pena indicar que la cifra negra entre los incidentes sufridos y los denunciados es alta. Lamentablemente, muchos de los cibercriminales quedarán guarecidos por esta cuestión, cometiendo delitos de manera reincidente y saliendo impunes de los mismos.

Pocas entidades cuentan con un especialista en análisis forense. La presencia de profesionales de este perfil optimizará y posibilitará establecer procedimientos de recopilación de información que sirvan para proteger a la entidad, desarrollando procesos óptimos que faciliten judicializar una investigación. Para ello, existen procedimientos confidenciales creados por cada entidad con el objetivo de evitar filtraciones públicas del incidente.

Actuación en incidentes

Es innegable que los incidentes informáticos podrían producir un ciberapocalipsis en entidades que cuentan con interconectividad a otros servicios alojados en la Red, sobre todo si hablamos del sistema financiero. Como medida preventiva, los CISO deben tener en cuenta lo siguiente:

1. Contar con monitores en tiempo real que permitan verificar ataques efectuados desde servidores externos.
2. Disponer de un equipo para monitoreo de flujo de tráfico para conocer cualquier trafico anómalo dentro de un servidor.
3. Desconectar las direcciones MAC que están desarrollando ataques internos o externos. Por política de seguridad, el analista de sistemas debe tener un mapa de los equipos conectados a la Red, habiendo establecido direcciones IP fijas y MAC a las máquinas que tiene activas e inactivas, lo que ayuda a establecer medidas correctivas y de cierre de forma rápida y efectiva.
4. Comunicar el incidente informático a las entidades que cuentan con servicios compartidos en la Red con el fin de que establezcan las medidas correctivas oportunas.
5. Determinar la gravedad del ataque con el objetivo de activar el servidor de respaldo.
6. Desconectar accesos a la Red en caso de no contar con un servidor de respaldo.
7. Comunicar el incidente al departamento de Seguridad con el fin de impedir la salida de personal o visitantes de la entidad.
8. Comunicar al área de Recursos Humanos lo acontecido.
9. Enviar comunicación del incidente a la cadena de mando.
10. Proceder con las medidas correctivas relacionadas con la investigación.

Después del incidente

Y una vez que se ha registrado el incidente informático, habrá que tener en cuenta una serie de cuestiones en función de si el mismo ha sido interno o externo.

En caso de incidente interno:

1. Determinar los registros de acceso de la máquina comprometida, verificando los horarios de apertura de los usuarios.
2. Comprobar si el incidente comenzó por contaminación mediante unidades removibles de propiedad del usuario que las ejecutó.
3. Aclarar si el incidente fue causado por un externo de la entidad. Para ello deberán verificarse las cámaras de seguridad correspondientes.
4. Evaluar los daños causados dentro de la red interna y si el ataque informático fue causado como medio destructivo para causar un daño más grande.
5. En caso de contar con accesos remotos compartidos, o usuarios que no deberían tener permisos administrativos, debe determinarse la fecha en la que se elevaron privilegios y si existe complicidad con personal de otras áreas.
6. Verificar las comunicaciones de los usuarios y el movimiento de documentación importante a la que tuvieran acceso durante el periodo de vulnerabilidad del sistema.
7. Comprobar los sistemas informáticos comprometidos, analizando el registro de ejecución y las aplicaciones instaladas en los equipos con el fin de establecer una cronología de las infecciones.
8. Aplicar las sanciones correspondientes al personal que violó las políticas de seguridad de la empresa.
9. Adoptar las medidas correctivas y establecer el incidente en una bitácora interna de la empresa.

En caso de incidente externo:

1. Determinar la presunta geolocalización del atacante.
2. Observar el periodo de incubación y proliferación de las vulnerabilidades afectadas en el servidor.
3. Determinar la cantidad mínima de máquinas afectadas en el incidente.
4. Revisar los reportes de errores o fallos previos al ataque.
5. Determinar los falsos positivos generados en el tiempo en que los equipos fueron comprometidos.
6. Verificar los intentos de acceso efectuados desde configuraciones externas a la entidad. Para ello deberán analizarse los logs del servidor.
7. Comprobar si existen carpetas o unidades ocultas en el servidor y equipos comprometidos.
8. Analizar el tráfico de salida hacia aplicaciones no permitidas.
9. Supervisar los procesos activos y el comportamiento de las aplicaciones operativas en el sistema.
10. Determinar mediante ingeniería inversa el procedimiento que efectuó el atacante informático, verificando si tuvo colaboración con personal interno o que ya no tiene vínculo laboral con la empresa.