Está en la página 1de 2

Preparación 1 Identificación 2 Contención 3

Objetivo: Establecer contactos, definir Objetivo: Detectar el incidente, determinar su Objetivo: Mitigar los efectos del ataque sobre el
procedimientos y recopilar información para alcance, e involucrar a las partes apropiadas. medio ambiente apuntado.
ahorrar tiempo durante un ataque .
Principales puntos de notificación para smartphone • Asegúrese de usuario tiene un dispositivo provisional
• El escritorio de ayuda de móviles debe tener un sospechosas: o permanente nuevo para evitar cualquier restricción
proceso definido en caso de una infección de de tiempo en la investigación.
malware: sustituir el teléfono inteligente del usuario • El antivirus presenta alertas; • Realice una copia de seguridad de los datos del
con uno nuevo y aislar el dispositivo sospechoso para • Actividad inusual del sistema, sistema inusualmente smartphone.
su análisis por el investigador forense. lento; • Retire la batería para bloquear toda la actividad (wifi,
• Se apreciará contar con un buen conocimiento de la • Actividad inusual de red, conexión a Internet muy Bluetooth, etc).
actividad habitual de los teléfonos inteligentes lenta; • Inicie una comprobación antivirus en los equipos que
(herramientas por defecto y adicionales que se • El sistema se reinicia o apaga sin motivo; estén o hayan sincronizado con el smartphone
ejecuten en él). Puede ser útil contar con un experto • Algunas aplicaciones se bloquean inesperadamente; comprometido.
de apoyo smartphone para ayudar al investigador • El usuario recibe uno o múltiples mensajes, algunos • Envíe el smartphone sospechoso y componentes
forense. de ellos podrían tener caracteres especiales (SMS, adecuados (SIM, batería, cable de alimentación,
• Debe hacerse un seguimiento para comprobar el MMS, Bluetooth, etc); tarjetas de memoria) a su equipo de seguridad de
consumo del usuario o actividad inusual de la red. • Gran incremento en la facturación de teléfono o de la respuesta a incidentes. Este equipo le ayudará a
actividad web. aislar el contenido malicioso y enviarlo a las
• Llamadas a los números telefónicos inusuales o poco compañías antivirus.
comunes en horas/días inusuales .

Se necesita recoger las evidencias tales como


direcciones de Internet.
Pregunte al usuario sobre su actividad habitual en el
smartphone: los sitios web que navega, qué
aplicaciones externas ha instalado. Esta información
puede ser opcionalmente cotejada con la política de la
empresa.
Remedio 4 Recuperación 5
Objetivo: Emprender acciones para eliminar la Objetivo: Restaurar el sistema a las operación
amenaza y evitar futuros incidentes. normal.

Si está establecido algún acceso encriptado con Si el usuario necesita recuperar del medio infectado,
contraseña, encuentre una manera de tener acceso a defina un período de cuarentena y haga la verificación
los datos almacenados. Si esto no es posible, la correspondiente con un anti-virus, si es posible, para IRM #9
investigación se verá altamente limitada. asegurar que nada podría hacerle daño al usuario o a Malware en Smartphones
los sistemas de la organización. Cómo manejar un smartphone sospechoso
Su equipo de respuesta a incidentes deberá de utilizar
Autor IRM: CERT SG / Julien Touche
herramientas específicas para realizar la investigación Restaure al dispositivo de destino los datos respaldados
Versión IRM: 1.1
forense en el smartphone. previamente desde una fuente confiable.
email: cert.sg@socgen.com
web: http://cert.societegenerale.com
Sólo para su información, aquí hay una breve lista de las Una vez que las investigaciones hayan terminado, limpie
Traducción: Francisco Neira
herramientas que pueden ser útiles: el smartphone infectado (si es posible) y la restablezca
email: neira.francisco@gmail.com
la configuración de fábrica con el firmware original y el
Twitter: @neirafrancisco
Herramientas gratuitas: Utilidades de XDA (Windows sistema de archivos, con el fin de ser utilizado de nuevo.
Mobile), MIAT (herramienta de Adquisición Mobile
Interna - Symbian, Windows Mobile), TULP2G,
Blackberry Desktop Manager
Repercusiones 6 Extracto
Herramientas comerciales: XRY, Cellebrite, Paraben ... Esta “Metodología de Respuesta a Incidentes” (IRM, por sus siglas
en inglés) es una hoja resumen dedicada a los manejadores de
incidentes que investigan un asunto de seguridad específico. Quién
Acciones: Informe debe de usar estas hojas IRM?
• Retire SIM del teléfono inteligente si no lo ha hecho; Deberá de escribirse un informe de incidente y ponerlo a • Administradores
• Recupere la historia de teléfono, historial web y todos disposición de todos los interesados. Deberán de • Centro de Operaciones de Seguridad (SOC)
describirse los siguientes temas: • CISOs y sus delegados
los “logs” disponibles; • CSIRT (equipos de respuesta a incidentes informáticos)
• Recupere el “log” de conexiones a servidor si está Recuerde: Si usted afronta un incidente, siga el IRM, tome
disponible; • La detección inicial. notas y no pierda el control. Contacte su CSIRT
• Identifique y elimine la amenaza en el smartphone. • Las acciones y línea de tiempo. inmediamente si es necesario.

• Si la amenaza se relaciona con una aplicación • Lo que sí funcionó.


instalada, identifique su ubicación en Internet y • ¿Qué salió mal?
• Costo del incidente
Pasos del manejo de incidentes
retírela.
Se definen 6 pasos para manejar los incidentes de seguridad:
Capitalice • Preparación: Alistarse para manejar el incidente
• Identificación: Detectar el incidente
Deberán de definirse acciones para mejorar los
• Contención: Limitar el impacto del incidente
procesos de detección de malware de Windows para • Remedio: Remover la amenaza
sacar provecho de esta experiencia. • Recuperación: Recobrar a una etapa normal
• Repercusiones: Delinear y mejorar el proceso