Incidentes de Ciberseguridad

La gestión de incidentes busca detectar, contener y recuperarse de eventos que comprometen la confidencialidad, integridad o disponibilidad de los sistemas, reduciendo el impacto y aprendiendo de cada caso para evitar su repetición.

Ciclo de vida de la respuesta

Basado en la guía NIST SP 800-61 y la norma ISO/IEC 27035:

  1. Preparación. Políticas, equipo (CSIRT), playbooks, formación y herramientas listas antes del incidente.
  2. Detección y análisis. Identificar indicadores (IoC), correlacionar eventos y determinar alcance y severidad.
  3. Contención. Aislar sistemas afectados para frenar la propagación (contención a corto y largo plazo).
  4. Erradicación. Eliminar la causa raíz: malware, cuentas comprometidas o vulnerabilidades explotadas.
  5. Recuperación. Restaurar servicios desde copias limpias y verificar que el entorno vuelve a ser seguro.
  6. Lecciones aprendidas. Informe post-incidente, métricas y mejora de controles y procedimientos.

Tipos de incidente habituales

Malware y ransomware

Infecciones que cifran o destruyen datos y exigen rescate.

CifradoBackupsEDR

Phishing e ingeniería social

Engaño para robar credenciales o introducir malware.

CorreoConcienciación

Acceso no autorizado

Intrusiones, abuso de privilegios o credenciales filtradas.

IAMMFA

Fuga de datos

Exfiltración de información sensible o personal.

DLPRGPD

Denegación de servicio (DoS/DDoS)

Saturación de recursos que tumba un servicio.

DisponibilidadWAF

Marcos y herramientas (DFIR)

Detección y SIEM

Centralización y correlación de logs para detectar amenazas.

WazuhSplunkElastic

Análisis forense

Adquisición y análisis de evidencias de memoria, disco y red.

VolatilityAutopsyWireshark

Gestión y threat intel

Coordinación del caso y enriquecimiento con inteligencia.

TheHiveMISPMITRE ATT&CK

← Volver al inicio