Está en la página 1de 42

Prevencin y reaccin

ante incidentes de
seguridad. Protocolos de
actuacin

Prevencin y reaccin ante


incidentes de seguridad. Protocolos
de actuacin.
2013.

Autores:
Emilio Snchez Prez

Impresin.
Depsito Legal.
Diseo.

PRESENTACIN DEL MANUAL


EAP

Prevencin y reaccin ante


incidentes de seguridad.
Protocolos de actuacin

Prevencin y reaccin ante incidentes de seguridad. Protocolos de


actuacin.

Unidad1:Introduccin.
Contextoactualdelastecnologasdelainformacin
Unidad2:Concepto.IncidentedeSeguridad.
Conceptodeunincidentedeseguridad
Unidad3:Herramientadegestindeincidentesdeseguridad.
Metodologaparalagestindeincidentes.ITIL
Herramientasmspopulares.
HerramientadegestindeincidentesenlaCARM.
Unidad4:Formasdeponerunincidente.
Mediospararegistrarunincidentedeseguridad.
Unidad5:Tiposdeincidentes.
Incidentesrelacionadosconelcorreoelectrnico.
IncidentesrelacionadosconelaccesoaInternet.
Incidentesrelacionadosconreglasdecortafuegos.
Incidentesrelacionadosconelcortedeserviciodered.
Incidentesrelacionadosconelservicioantivirus.
4

Introduccin del Mdulo y Objetivos Expectativas de


aprendizaje.

En el mdulo de prevencin y reaccin ante incidentes de seguridad, se va a abordar cmo


podemosevitarqueseproduzcanincidentesdeseguridadysiemprequenoestennuestras
manos y se produzcan saber cmo identificarlos y conocer la manera de proceder para su
mitigacininmediataysuposteriorresolucin.
El cambio continuo en las aplicaciones y el uso de los sistemas de informacin con nuevas
incorporaciones como ltimamente han sido los dispositivos porttiles como las tablets y
Smartphones,propiciaquecadadasurjannuevasamenazasparaalainformacin.
Una vez que se haya finalizado el mdulo, el usuario debera tener una visin global de los
posibles incidentes de seguridad con los que se puede encontrar, as como conocer cmo
registrar en los sistemas de informacin de la CARM estos incidentes para que el personal
adecuadoseencarguedesuresolucin.

1. Contenido
IntroduccindelMduloyObjetivosExpectativasdeaprendizaje...........................................5
1.

Contenido..............................................................................................................................6

2.

Introduccin..........................................................................................................................8

3.

Conceptos.IncidentesdeSeguridad.....................................................................................9

4.

Herramientadegestindeincidentesdeseguridad..........................................................11

5.

Distintasformasdeponerunincidente..............................................................................12

6.

TiposdeIncidentes.............................................................................................................12
Incidentesrelacionadosconelserviciodelcorreoelectrnico..............................................12
CmodistinguirsiestamosanteunSPAM,Phishingy/oemailconunarchivomalware?
.............................................................................................................................................13
Cmoreportarelincidente?.............................................................................................17
Buenasprcticas..................................................................................................................23
IncidentesrelacionadosconelaccesoaURLs........................................................................26
Cmo identificar problemas relacionados con el gestor de contenidos del aplicativo de
seguridadperimetral?.........................................................................................................27
Cmoreportarelincidente?.............................................................................................28
Incidentesrelacionadosconreglasdecortafuegos................................................................30
Cmodistinguirestetipodeincidentes?..........................................................................30
Cmoreportarelincidente?.............................................................................................31
Incidentesrelacionadosconelcortedeserviciodered.........................................................33
Cmodistinguirestetipodeincidentes?..........................................................................33
Porquselehacortadoelserviciodered?.....................................................................33
Cmoreportarelincidente?.............................................................................................34
Incidentesrelacionadosconelservicioantivirus....................................................................36
Cmodistinguirestetipodeincidentes?..........................................................................37
6

Cmoreportarelincidente?.............................................................................................39
7.

ANEXOA:Glosariodetrminos..........................................................................................40

8.

ANEXOB:Bibliografa..........................................................................................................42

2. Introduccin.
Laseguridadnoesmsqueunaceptableniveldeinseguridad.
La revolucin de las tecnologas de la informacin, junto con el rpido desarrollo de las
infraestructuras de comunicaciones, est provocando que los incidentes de seguridad sean
cada vez ms difcil de detectar as como ms complicados de atenuar o resolver. Un factor
muy importante a la hora de tratar un incidente es su rpida su deteccin, es aqu donde
entrar la actuacin del usuario final, el cual, debe saber en todo momento a quin dirigirse
dependiendodelcasoydonderegistrarelincidente.
Elobjetodeestecursoesconseguirqueelusuariopuedaidentificarunincidentedeseguridad
delainformacinysabercmoregistrarlo.

3. Conceptos. Incidentes de Seguridad


Entendemosporincidentedeseguridadaunnicoeventoounaseriedeeventosdeseguridad
de la informacin, inesperados o no deseados, que tienen una probabilidad significativa de
comprometerlasoperacionesempresarialesydeamenazarlaseguridaddelainformacin.Del
mismo modo entendemos eventos de seguridad como la ocurrencia detectada en un estado
deunsistema,serviciooredqueindicaunaposibleviolacindelapolticadeseguridaddela
informacin,unfallodelassalvaguardasounasituacindesconocidahastaelmomentoyque
puedeserrelevanteparalaseguridad.
ParaevitarincidentesdeseguridadlaCARMcuentaconmecanismospreventivos;
MEDIDAPREVENTIVA
FiltradoWeb

QUESEPRETENDEEVITAR?
9 Infeccionespormalware.
9 Fugasdeinformacin.
9 Accesosilegalesopedfilos.
9 AccesoaurlsdePhishing.
9

SoftwareAntivirus

9 Proteger la integridad del software y de la


informacin.

SolucinAntispam

9 SPAM.
9 AccesoaurlsdePhishing.
9 Infeccionespormalware.

PolticadeSeguridad

9 Proporcionar indicaciones para la gestin y soporte


delaseguridaddelainformacindeacuerdoconlas
directrices de la Comunidad Autnoma y con la
legislacinylasnormativasaplicables.

Normasdeuso

9 ProteccinderegistrosydocumentosdelaCARM
9 Malusodelpuestodetrabajoenelentornolaboral.
9 Mala implementacin en la poltica de uso de
contraseas.
9 Malusodelcorreoelectrnicocorporativo.
9 MalusodelaccesoaInternet.

Buenasprcticas(readeseguridad
enrica

9 Evitarincidentesdeseguridadengeneral

http://rica.carm.es/chacp/areaSegu
ridad/)

10

4. Herramienta de gestin de incidentes de seguridad


A la hora de registrar y resolver incidentes de seguridad es muy importante contar con una
base de datos de conocimiento, en la cual, consultar posibles casos relacionados con el
incidenteactualopatronesdecomportamientoparecidosalincidenteregistrado,demanera
queseconsigaunaprontaresolucinyconseguirlanormalidaddelossistemasvolviendoal
trabajodenuevoenelmenortiempoposible.
LametodologautilizadaenlaCARMsedenominaITIL,estassonlassiglasdeunametodologa
desarrollada a finales de los aos 80s por iniciativa del gobierno del Reino Unido cuyo
significado es el siguiente Information Technology Infrastructure Library o Librera de
InfraestructuradeTecnologasdeInformacin.
Estametodologaeslaaproximacinmsglobalmenteaceptadaparalagestindeserviciosde
Tecnologas de Informacin en todo el mundo, ya que es una recopilacin de las mejores
prcticastantodelsectorpblicocomodelsectorprivado.
ExistenmultituddeaplicacionesquesiguenlametodologaITIL;

Remedy:Unadelasmsextendidasentrelosgrandesclientes.

HP OV Service Desk:UnadelasmscmodasherramientasquehadesarrolladoHP,

peroqueahorahacadoendesgraciaporlaentradaenescenadeServiceCenter.

Service Center:Extremadamenteflexiblequetepermitirhacerprcticamenteloque

quieras.PropiedaddeHP.

Service Desk Plus: Simple,baratoypocoadaptable,cubrelasnecesidadesbsicasde

unServiceDesk.

System Center Service Desk: Herramienta de Microsoft que saldr en breve al

mercado.

En la CARM se ha cambiado de herramienta recientemente, de utilizar hasta hace poco la


llamada Service Manager de la compaa HP a la que actualmente se ha puesto en marcha,
GLPI.

Esta herramienta que viene de las siglas Gestin Libre del Parque Informtico favorece el
seguimientodelametodologaITILyeslautilizadaparagestionarlosincidentesdeseguridad
enlaCARM.
11

5. Distintas formas de poner un incidente


Unavezdetectadounincidentedeseguridadelusuariodebeprocederdelasiguientemanera;

EngeneralelusuarioavisarasuServiciodeGestinInformtica.

ParausuariosdelaDGIsereportanporunadelassiguientesvas;
9 RegistrandounticketenlaherramientaGLPI.(https://glpi.carm.es)
9 Vatelefnicaencasodenotenerdisponibleelordenador,llamandoal368900
9 Otra opcin es mandar un correo al CAU (Centro de atencin al usuario)
explicandoeldetalleenelcuerpodelcorreo.cau@carm.es

6. Tipos de Incidentes
Incidentes relacionados con el servicio del correo electrnico
Enrelacinconelcorreoelectrnicovamosadistinguirtrescasos,SPAM,Phishingycorreos
electrnicoscondatosadjuntosourlsquecontenganmalware.
Antesdeempezarvamos aintroducir unosconceptosbsicosalahorade comunicarnosva
email (correo electrnico). En el grfico siguiente se puede ver a grandes rasgos en que
consisteesteservicio;

Aunque existen multitud de componentes a la hora de enviar o recibir un correo, solo


detallamoslosmsusados;

Remitente(De:oFrom:):Eselusuariooentidadqueenvaelcorreoelectrnico
12

Destinatarios(oPara:oTo:):muestraaquinesseenvielmensaje.

Asunto:Enestecamposeveeltemaquetrataelmensaje,siquienenvaelmensajeha
dejadoestacasillaenblancoselee[ninguno]o[sinasunto].
9 Si el mensaje es una respuesta el asunto suele empezar por RE: o Re:
(abreviatura de responder o reply). Aunque segn de dnde proceda el
mensajepuedenaparecerAn:delalemn,Sv:delsueco
9 Cuando el mensaje procede de un reenvo el asunto suele comenzar por RV:
(abreviaturadereenviar)oFwd:(delinglsforward),aunqueavecesempieza
porRm:(abreviaturaderemitir).

Datosadjuntos:siapareceunamarca(habitualmenteunclip)significaqueelmensaje
vieneconunoovariosficherosanexos.

Ejemplo:

Cmo distinguir si estamos ante un SPAM, Phishing y/o email con un


archivo malware?
Paraellovamosadefinirlosconceptos.

SPAM: Se denomina spam a todo correo no deseado recibido por el destinatario,


procedente de un envo automatizado y masivo por parte del emisor. El spam
generalmente se asocia al correo electrnico personal, pero no slo afecta a los
correoselectrnicospersonales,sinotambinaforos,blogsygruposdenoticias
9 Ejemplo:

13

Phishing: Es la denominacin que recibe la estafa cometida a travs de medios


telemticos mediante la cual el estafador intenta conseguir, de usuarios legtimos,
informacinconfidencial(contraseas,datosbancarios,etc)deformafraudulenta.El
estafadorophishersuplantalapersonalidaddeunapersonaoempresadeconfianza
para que el receptor de una comunicacin electrnica aparentemente oficial (va e
mail, fax, sms o telefnicamente) crea en su veracidad y facilite, de este modo, los
datosprivadosqueresultandeintersparaelestafador.
9 Ejemplo,tipo1:Directamentetepidenlosdatosenelcorreoparaqueselos
enves.

14


9 Ejemplo,tipo2:enelcorreoelectrnicoseproporcionaunenlaceaunapgina
webdondetesolicitanlainformacinpersonal.

15

Correoelectrnicoconarchivoadjuntosospechoso.
9 Ejemplo1:Emailcondatosadjuntos.

9 Ejemplo2:EmailconmalwareadescargarenlaURL.

16

Unavezquetenemosclaroslosconceptos,cuandoserecibauncorreoelectrnicoelusuario
debeplantearselassiguientespreguntas;
1. Conozcoalremitente?
a. Sinoseconocealremitentedebedescartarelcorreoelectrnico
2. Esperabaelcorreo?
a. Si es de un remitente conocido pero no esperaba dicho correo, tenga
precaucindeloqueenelcorreosepidaymuchomenosdescarguecualquier
adjuntoquepudierairenelcorreo,puedenhabersuplantadolaidentidaddel
remitenteconocidoyestarrealizandounataqueensunombre.
3. Reconozcoelarchivoadjunto?
a. Enelcasodedescargarelarchivoadjuntodeuncorreoelectrnico,analiceel
archivoconelsoftwareantimalwarecorporativoantesdeabrirlo,encasode
dudaelimineelarchivo.

Cmo reportar el incidente?


Una vez que llega un correo de los anteriormente descritos debemos realizar los siguientes
pasos con el fin de facilitar al servicio de correo y al grupo de seguridad la resolucin del
incidente.

17

SPAM

Cuando nos llegue un correo no esperado, normalmente de alguna empresa, banco es


necesarioreportaralserviciodecorreoelremitenteparaqueprocedanacortarlo.Paraesto
esnecesariorealizarlossiguientespasoscuandoserecibeelcorreo;
EncasodetenerungestordecorreocomoMicrosoftOutlook2010sigaestospasossobreel
emailSPAMrecibido;
1. PulsarlapestaaArchivo

2. PulsarlaopcinGuardarcomoyguardeelmensajeensuescritorio.

3. Guardamoscomomsgelarchivo.

18


EncasodetenerungestordecorreocomoMicrosoftOutlook2007sigaestospasossobreel
emailSPAMrecibido;
1. PulsareliconodelmargensuperiorizquierdaypulsarlaopcinGuardarcomo

19


EnversionesanterioresdeMicrosoftOffice2007seencuentraenelmenArchivo>Guardar
como.
Siestamostrabajandoconelclientewebdecorreosedebenseguirlospasossiguientes:
1 Sobreelemailsospechosopulsarbotnderecho,opcinVercabeceras;

2 Copiarelcontenidoquesaleenlasiguientepantalla;

3 Parafinalizar,guardaremoselcontenidoenundocumentoennuestroequipo.
20


Deunaformauotrayatenemosguardadoelcontenidodelcorreoennuestroequipo,ahora
tocacomprimirlo.Botnderechosobreelfichero>Enviara>CarpetaComprimida(enZip);

Unavezguardadoensuordenador,yapuedesuministrarloalserviciodelCAUporunadelas
vasdecomunicacinexplicadasanteriormente.(Exceptuandolavatelefnica)
a. VaGLPI.http://glpi.carm.es
Abrimosunticketdesdelaopcinqueserecalcaenlacaptura;

21


Seleccionamoslassiguientesopciones;

Comocategora:>AplicacionesCorporativas>CorreoElectrnico

ComoTtulo:SPAM+asuntodelcorreo

Adjuntamoselficheroquepreviamentecomprimimos.

Conestospasosyaseestaragestionandoelproblemayplanteandounasolucin.
b. Vacorreoelectrnico.(Cau@carm.es)
Creamosuncorreoelectrniconuevoconlasiguienteconfiguracin:

Comodestinatario:cau@carm.es

Comoasunto:SPAMasuntodelmensajesospechoso.

Adjuntamoselficherocomprimidoalcorreoelectrnico.
22


NOTA: Para tratar correctamente estos incidentes de seguridad es necesario que se enve
adjuntoelSPAM

PHISHING

La manera de proceder con el Phishing es similar a la manera de actuar con el SPAM, el


tratamientoporpartedelusuarioesidntico.

Correo electrnico con malware adjunto

En el caso de recibir un correo con un archivo adjunto sospechoso, habra que actuar de
manerasimilaracomoseactaconelSPAMyelPHISHINGconelobjetivodeproporcionarle
alserviciodecorreoelectrnicoelremitentedelcorreoyaspodercortarsuenvodecorreos
aotrasposiblesvctimas.

Buenas prcticas
Es importante seguir los siguientes Consejos y Buenas Prcticas en el uso del Correo
Electrnico

Noresponderacorreosenlosquesepidasucontrasea.NilaCARM,nibancosocajas
deahorroslepedirnsucontrasea.

Noenviarinformacinsensibleoconfidencialatravsdelcorreoelectrnico,sinoes
estrictamentenecesario.

Noutilizarelcorreoelectrnicoparaelenvoorecepcindedatospersonales.

Noutilizarladireccinelectrnicadelacomunidadparadarsedealtaensitioswebo
serviciosquenoestnrelacionadosconlaactividadlaboral.

Noconfiarencorreoselectrnicosdedudosaprocedencia.
23

No abrir documentos adjuntos ni enlaces sin comprobar el remitente y el contenido


delcorreoelectrnico.

Usar contraseas robustas y cambiarlas de forma regular (al menos una vez al ao).
PodrscambiaryencontrarenRicaunaGuadeseleccindeunabuenacontrasea.(
(http://rica.carm.es/chacp/idecor/cambiarclave.htm)

No instalar programas o aplicaciones que no estn relacionados con la actividad


laboral.

ltimostiposdetectadosporlaempresaantivirusKaspersky2013;

Alerta: cambio de contrasea. Suele ser la estafa ms habitual utilizada por los
ciberdelincuentes, el ataque intenta conseguir los accesos a plataformas online de
comercioelectrnico,banca,redessociales,.
El correo se hace pasar por una empresa, incluso simula su pgina web y solicita al
usuarioquehagauncambiodesuscontraseas,poralgnmotivo.

Reservas falsas. Uno de los ltimos engaos son emails falsos que, aparentemente,
proceden de compaas areas o cadenas hoteleras confirmando una reserva
inexistente. El correo pide al usuario que pinche en un enlace malicioso; una vez la
vctima cae en la trampa, se le redirige a un pgina maliciosa donde se oculta un
cdigoquepuedeatacaralequipoinformtico.

Vacaciones/Tragedias: las vacaciones o las tragedias son una gran oportunidad para
los delincuentes. Todo el mundo recibe emails de personas desconocidas:
organizaciones que piden donaciones para las vctimas del huracn Sandy; o
compaasqueofrecenserviciosespecialesparaNavidad.Seaconsejaquenoseabran
dichosarchivosporquepuedenoperardelamismaformaqueeltimodelasreservas
falsas.

SalesenunvideodivertidoenFacebook!Esonoescierto!:Cuandosehackeauna
cuenta de Twitter o Facebook, se suelen enviar mensajes a otros usuarios como
Alguien est hablando de ti en Internet, consiguiendo que la vctima pinche en un
enlaceadjuntoparaverelvdeodondesale.Comorespuesta,elusuarioencuentrauna
advertencia falsa pidiendo que se actualice la versin del reproductor. Cuando ste
pincha en el enlace de descarga, en lugar de descargarse una actualizacin del
software,elmalwarerobalainformacinpersonalalmacenadaeneldispositivo.

GoodSite,BadLink:LosexpertosdeKasperskyLabhanencontradoenlacesmaliciosos
en pginas legtimas como Wikipedia o Amazon, que permiten a los usuarios crear
pginas dentro de dichas websites. Los enlaces dirigen a las vctimas hacia otras
pginasdondeseescondeuncdigodaino.Afortunadamente,laspginaslegtimas

24

eliminan dichos sites falsos; disminuyendo el nmero de amenazas de este tipo. No


obstante,debemosestaratentos.

25

Incidentes relacionados con el acceso a URLs


LaCARMgestionalosaccesosaURLsexternasdesdelosequiposdelaCARM,estagestinse
haceatravsdeunaaplicacindeseguridadperimetral,llamadaPaloAlto.
Esta aplicacin es la encargada de analizar las URLs a las que quiere acceder el usuario y
permitirleonoelaccesodependiendodelacategorizacinylareputacinquetengaestaURL.
LabasededatosdelaaplicacinvienepordefectoconunasURLsclasificadasporcategoras,
eselpapeldelaCARMestablecerculesdeestascategorassonpermitidasoprohibidasde
acuerdo con la poltica de seguridad de la CARM. Del mismo modo las URLs tambin tienen
asociadas una reputacin (0100) que funciona de la misma manera y que la CARM ha
establecidoenunlmite,porejemplosolosepermitenURLsconreputacinmayora40.
ComodecamosanteriormentelarelacinURLCategoraestalmacenadaenlabasededatos
la aplicacin al igual que la relacin URLReputacin IP. A veces ocurre que una URL puede
estar mal categorizada o puede ser que se infectase por malware y aunque posteriormente
fuese desinfectada Palo Alto siga considerndola como malware sites, es en estos casos
dondedebemospedirlarecatalogacin.Elfuncionamientoagrandesrasgosdeesteaplicativo
enlaCARMeselsiguiente;

26

LabasededatosdecategorasasignadasalasURLssonlassiguientes;

MsinformacinsobrelascategorasenelANEXOC
Laclasificacinrespectoareputacinseralasiguiente

NOTA: Algunas aplicaciones puede que no tenga su funcionalidad completa debido a que
internamenteaccedenaservicioswebscortados.

Cmo identificar problemas relacionados con el gestor de contenidos del


aplicativo de seguridad perimetral?
LaaplicacincuandochequealasURLssolicitadasporlosusuariosdelaCARMyverificaensu
base de datos que esas URLs pertenecen a una categora prohibida, el usuario obtiene por
pantallaunaimagensimilaralasiguiente;

27


EnlacapturasepuedeverlaIPconlaqueelusuarioestintentandoacceder,laURLdonde
quiereaccederylacategoraasociadaaesaURL.
Si el usuario considera que la pgina est mal catalogada, es decir, se trata de un error del
sistema, puede poner una incidencia al CAU de la DGPIT. Si hay indicios de que est mal
catalogadaseescalaalfabricante,quelarevisaenmenosde24horas,corrigiendolacategora
siestabaequivocada.

Cmo reportar el incidente?

ParapedirlarecatalogacinorevisindeunaURLesnecesarioagregarlaURLalaque
se intent acceder en un correo electrnico dirigido a cau@carm.es y agregar la
categoraqueobtuvoelusuarioenelmomentodelintentodeacceso.
Estosdatospuedenobtenersedelapginawebqueseobtienealintentaracceder;

28

Porotrolado,elusuariopuedeidentificarotrotipodefalloenlacategorizacindela
aplicacin, es el caso contrario, que el usuario pueda acceder a URLs que pudieran
perteneceraunacategoraprohibida.Enestecasodeberaprocedernotificndolova
correoelectrnicoacau@carm.es,especificandolaURLquesequierecortarelacceso
desdelaredinternadelaCARM.DesdeelgrupodeseguridadseevaluarlaURLyse
procederacortarelaccesoasignndolaasucorrectacategora.

29

Incidentes relacionados con reglas de cortafuegos


Este tipo de incidentes se darn cuando el usuario no pueda acceder a una URL o a un
determinado servicio desde su red. Aqu entran en juego otros aplicativos como son los
cortafuegos corporativos. En la imagen se puede observar un dibujo ilustrativo del
funcionamientodeesteaparato.

Cmo distinguir este tipo de incidentes?


Este tipo de incidentes es fcil que se confundan con el anterior tipo de incidentes, sin
embargoesmuyfcildistinguirlos.Comosepuedeobservarenlaanteriorimagen,elmensaje
obtenido por pantalla por el usuario cuando no tiene acceso a la URL solicitada es distinto.
Dependiendodelnavegadorutilizadopuedevariarestaimagen,loquehayquetenerclaroes
quenoesdeltipocorporativo;

30

Problemaconelcortafuegos

Problemaconelgestordecontenidos

Cmo reportar el incidente?


La forma correcta de reportar el incidente es enviar un correo electrnico a cau@carm.es
especificando la direccin a la cual no se ha podido acceder y la IP del equipo donde se ha
experimentadoelproblema.
Cmo obtener la IP?

Sobre el icono de los monitores de la barra de inicio de Windows, pulsamos con el botn
derechosobrelaopcinestado/status

EnlasiguientecapturasevisualizalaIPdelequipo;

31

Conestainformacin(URLdedestinoylaIPdeorigen)yapodemosenviarelemailalCAU.

32

Incidentes relacionados con el corte de servicio de red


Estetipodeincidentessonfcilmenteidentificables,seproducencuandoelusuarionotiene
accesoaningnserviciodeinternet.
Cmo distinguir este tipo de incidentes?
Unadelascomprobacionesmssencillasparaverificarsinosencontramosenestasituacin
sera intentar acceder a una URL de internet como puede ser www.google.es y verificar la
respuesta que obtenemos. En la siguiente captura se puede ver la pantalla que obtiene un
usuarioquehasufridouncortedeserviciodered.

Enlapantallaqueobtieneelusuarioseleproporcionaunadescripcindelosucedidoycomo
proceder.ElprimerpuntoesContacteconsuServiciodeInformtica,enelapartadoCmo
reportarunincidente?seexplicacmohacerlo.
Por qu se le ha cortado el servicio de red?
Esteproblemavienemotivadoporquealusuarioselehandetectadoconexionessospechosas
yaseandeentradahaciaelequipoodesalida,estoseproducecuandoelequipotienealgn
tipodeinfeccinmalwareycomomedidapreventivaselehacortadoelservicioderedpara
que no se produzca fuga de informacin involuntaria y/o infeccin de otros equipos, en
resumenseponeelequipoencuarentena.
Cuando un equipo se infecta por un troyano generalmente el usuario no observa ningn
comportamiento anmalo. El malware, una vez dentro del equipo establece conexiones con
servidoresexternosypuedeestarenviandoinformacinquetengamosennuestroequiposin
conocimientodelusuarioy/orecibiendordenesdesdefuerapararealizaraccionesmaliciosas
dentrodelareddelaCARMsiendotodotransparentealusuario.

33


Cmo reportar el incidente?
EnviaruncorreoalCAU(cau@carm.es)especificando;

IPdenuestroequipo

URLalaqueseintentabaacceder

Adjuntarcapturadelapantallaobtenidaporelusuario,siemprequeseaposible,esto
ayudararesolverelincidente.

Cmo capturar la pantalla del equipo?

Una vez tengamos la imagen que se obtiene al intentar acceder a la URL de internet,
presionamoslateclaImprPantdelteclado.

34


La tecla de imprimir pantalla es la sealada en la siguiente captura. Esta tecla copia una
imagendeloqueactualmenteseestviendoenlapantallaylacopiaenelportapapeles,lo
nicoquehabraquehaceracontinuacinescopiarlaenelcorreoqueleenviemosalCAU.

35

Incidentes relacionados con el servicio antivirus


Este tipo de incidentes estn relacionados con el servicio antivirus. El funcionamiento de un
aplicativoantiviruseselmismosindependerdelaempresaquehayacontratada(Kaspersky,
Panda,TrendMicro).
El antivirus tiene la funcionalidad de chequear todos los archivos que el usuario tiene en su
equipo y clasificarlos como maliciosos o no. Este criterio de asignacin de un proceso como
maliciosoonolopuederealizardedosmanerasposibles;

BasadoenFirmas(reactivo):Todoslosantivirusnecesitandescargarfirmas(tambin
llamados vacunas) para que su funcionamiento sea correcto. Las empresas antivirus
recopilanenbasesdedatoscorporativasinformacinsobreelmalwarequeseconoce,
esta informacin recopilada se va actualizando conforme se descubren nuevo
malware, esta informacin recopilada es lo que se conoce como las firmas del
antivirus. Como hemos mencionado antes, para que el funcionamiento del antivirus
seaefectivo,esnecesarioqueperidicamenteelproductoantivirusestconsultando
estabasededatosconlasfirmasylasdescargueparatenerlasenelequipoenlocal.El
equipocuandoestanalizandolosprocesosdelsistema,vacotejandoconestasfirmas
y si verifica que el cdigo malicioso se equipara a alguno de los aportados por las
firmas,escuandoelantivirusnotificaunainfeccin.
Paragenerarfirmasnuevaselprocesoquesiguelaempresaantiviruseselsiguiente;
9 Apareceunnuevocdigomalicioso.
9 Ellaboratoriodelaempresaantivirusrecibeunamuestradeesecdigo.
9 Secrealafirmaparaelnuevocdigomalicioso
9 Seactualizaelproductoconlanuevabasedefirmasycomienzaadetectarel
malware.
Aquradicalaimportanciadetenerelantivirusactualizado.

Basado en Heurstica (proactivo): Este tipo de identificacin basada en la heurstica


realiza la clasificacin de un proceso como malicioso o no segn un patrn de
comportamiento,esdecir,siunprocesoXseejecuta,accedeaunacarpetadesistema
a la cual no debiera acceder, copia elementos en una carpeta temporal, abre una
conexin hacia el exterior y enva ficheros el antivirus considera que es un
comportamiento sospechoso pudiendo ser malicioso o no. Este tipo de deteccin da
como resultado un mayor nmero de falsos positivos1. En resumen la heurstica en
antiviruspermitedetectarmalwarenuevoodesconocido.

Un falso positivo es un error por el cual un software antivirus informa que un archivo o rea del
sistemaestinfectada,cuandoenrealidadnoesas.

36

Cmo distinguir este tipo de incidentes?


La casustica que puede darse con el antivirus es muy variada, podemos identificar posibles
incidentes de seguridad ya sea por el mal funcionamiento del producto antivirus o por la
sospechadeestarinfectadopormalware,noobstantelamaneradereportarelincidentees
muyparecida;
Mal funcionamiento del antivirus

Elsoftwareantiviruspuedeenviarnosunagrancantidaddeinformacinaunquenosvamosa
centrarenerrorescrticos.VamosaponeralgunosejemplosdelantivirusKasperskyqueesel
quelamayoradeorganismostieneninstalado.

Loprimeroquetienequeobservarelusuarioesquelabasededatosdefirmasdesu
equipoestactualizada,comosepuedeobservarenlaimagen,pasandoelpunterodel
ratnsobreeliconodelantivirussepuedeobtenerinformacindelproducto.Eneste
casopodemosobservarsilabasededatosdefirmasdelantivirusestactualizado.

Por defecto cuando el antivirus no est funcionando correctamente pasa a tener uno de los
siguientes aspectos detallados ms abajo, y dejando el puntero sobre la K se obtiene
informacin del evento. Es esta informacin la que debemos aportar al CAU a la hora de
reportarelincidentedeseguridadparaquepuedansolucionarnoselproblema.
Eliconodelaaplicacinactacomoindicadordelaactividaddelaaplicacin.Reflejaelestado
delaproteccindelequipoymuestralasoperacionesquelaaplicacinestrealizandoenese
momento:

Elicono
significaquetodosloscomponentesdeproteccindelaaplicacinestn
activados.

Elicono

significaqueseestanalizandounmensajedecorreoelectrnico.

Elicono

significaqueseestanalizandoeltrficoderedentranteysaliente.

37

El icono
aplicacin.

significaqueduranteelfuncionamientodelantivirussehanproducido
Elicono
eventosimportantesquerequierensuatencin.Porejemplo,esnecesarioreiniciarel
equipodebidoaunaactualizacininternadelproductoantivirus.

significa que se han producido eventos crticos durante el


El icono
funcionamiento del antivirus. Por ejemplo, un error en el funcionamiento de uno o
varioscomponentesodaosenlasbasesdedatosdelaaplicacin.

significa que est actualizando las bases de datos y los mdulos de la

Sospecha de estar infectado

Si observa un comportamiento extrao de su equipo, es decir, se produce uno de los


siguientescasos,puedesermotivadoporqueestinfectadopormalware;

SobrecargadeCPU,ralentizandoelequipo.

FuncionesdeWindowsdejandefuncionarosehaceninaccesibles.

Denegacindeservicios

Imposibilidaddeejecutarelprogramaantivirus

Prdidadepropiedadesdeimagenysonido

Prdidadeunidadesdealmacenamiento

Prdidadearchivosdelsistema

TrficoenInternetnojustificado

Aparicindepginaswebnosolicitadas

Programas que utilizan Internet dejan de funcionar o empiezan a funcionar mal sin
ningnmotivoaparente

Reiniciosinesperados.

Nospideunacontraseadeusuariosinningunajustificacin.

Elsistemanonospermiteejecutardeterminadosprogramas

Mensajesdealertadevirusquenoprovienendelsoftwareantivirusinstalado.Sntoma
deFAKEav
38


Cmo reportar el incidente?
Alahoradereportarelincidenteesmuyimportanterecopilarlasiguienteinformacinpara
facilitarelprocedimientoderesolucindelincidente;

DireccinIPdelequipoafectado.

Identificador del equipo. El identificador del equipo es un cdigo que puede


encontrarsepegadoenlatorredelordenador.

Explicacin de lo sucedido y/o observado. Es muy importante ser detallista con lo


sucedidoyaquepuedeayudarmuchoenlarapidezdelaresolucindelproblema.

39

7. ANEXO A: Glosario de trminos.

CAU: Viene de las siglas Centro de Atencin al Usuario y es el grupo encargado de


gestionarlosincidentesdeseguridaddelaCARM.

Email:Delinglselectronicmail,correoelectrnico.

SPAM: Se denomina spam a todo correo no deseado recibido por el destinatario,


procedente de un envo automatizado y masivo por parte del emisor. El spam
generalmente se asocia al correo electrnico personal, pero no slo afecta a los
correoselectrnicospersonales,sinotambinaforos,blogsygruposdenoticias

Phishing: Es la denominacin que recibe la estafa cometida a travs de medios


telemticos mediante la cual el estafador intenta conseguir, de usuarios legtimos,
informacinconfidencial(contraseas,datosbancarios,etc)deformafraudulenta.
El estafador o phisher suplanta la personalidad de una persona o empresa de
confianzaparaqueelreceptordeunacomunicacinelectrnicaaparentementeoficial
(vaemail,fax,smsotelefnicamente)creaensuveracidadyfacilite,deestemodo,
losdatosprivadosqueresultandeintersparaelestafador.

Malware: Palabra que nace de la unin de los trminos software malintencionado


malicious software. Dentro de esta definicin tiene cabida un amplio elenco de
programasmaliciosos:virus,gusanos,troyanos,backdoors,spyware,etc.
Lanotacomnatodosestosprogramasessucarcterdainoolesivo.
9 Virus;Programadiseadoparacopiarseypropagarseasmismo,normalmente
adjuntndose en aplicaciones. Cuando se ejecuta una aplicacin infectada,
puedeinfectarotrosarchivos.Senecesitaaccinhumanaparaqueunvirusse
propague entre mquinas y sistemas. Esto puede hacerse descargando
archivos,intercambiandodisquetesydiscosUSB,copiandoarchivosaydesde
servidores de archivos o enviando adjuntos de email infectados. Los efectos
que pueden provocar varan dependiendo de cada tipo de virus: mostrar un
mensaje, sobrescribir archivos, borrar archivos, enviar informacin
confidencial mediante correos electrnicos a terceros, etc. Los ms comunes
sonlosqueinfectanaficherosejecutables.
9 Gusanos;EninglsWorm.Esunprogramasimilaraunvirusquesediferencia
desteensuformaderealizarlasinfecciones.Mientrasquelosvirusintentan
infectar a otros programas copindose dentro de ellos, los gusanos realizan
copias de ellos mismos, infectan a otros ordenadores y se propagan
automticamente en una red independientemente de la accin humana. De
Internet: Tipo especfico de gusano que aprovecha los medios que provee la
redderedesparareproducirseatravsdeella.Comocualquiergusano,sufin
40

esreplicarseanuevossistemasparainfectarlosyseguirreplicndoseaotros
equipos informticos, pero lo que lo califica como un gusano de Internet es
queaprovechamedioscomoelcorreoelectrnico,IRC,FTP,yotrosprotocolos
especficosoampliamenteutilizadosenInternet
9 Troyanos; Este tipo de 'malware' carente de la capacidad de autoduplicacin
requiere del uso de la ingeniera social para obtener un correcto
funcionamiento. Ya sea por la confianza en quien entrega el programa a la
vctima o por su falta de cautela, la vctima instala un 'software'
aparentemente inocuo en su ordenador. Al ejecutarse el software no se
evidencian seales de un mal funcionamiento; sin embargo, mientras el
usuario realiza tareas habituales en su ordenador, el programa abre diversos
puertos de comunicaciones del equipo de la vctima que permiten el control
absolutodeformaremota.

Direccin IP: En ingls, IP Address. Nmero que identifica una interfaz de un


dispositivoconectadoaunaredqueutiliceprotocoloIP.

41

8. ANEXO B: Bibliografa.

http://rica.carm.es/InfoCAU.htm

http://rica.carm.es/chacp/areaSeguridad/doc/SDGCATprot20090216
PAT_ProtocoloAlertaTemprana(3.2).pdf

http://rica.carm.es/glpi/ayudausuglpi.html

http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/

http://www.viruslist.com/sp/viruses/glossary

https://www.ccncert.cni.es/

42