Prevención y reacción

ante incidentes de
seguridad. Protocolos de
actuación

1 

 
 

Prevención y reacción ante

incidentes de seguridad. Protocolos
de actuación.

2013.

Autores:
Emilio Sánchez Pérez

Impresión.

Depósito Legal.

Diseño.

2 

 
 

PRESENTACIÓN DEL MANUAL

EAP
 

3 

 
 

Prevención y reacción ante

incidentes de seguridad.
Protocolos de actuación
 

Prevención  y  reacción  ante  incidentes  de  seguridad.  Protocolos  de 

actuación. 
 

Unidad 1: Introducción. 

Contexto actual de las tecnologías de la información 

Unidad 2: Concepto. Incidente de Seguridad. 

Concepto de un incidente de seguridad 

Unidad 3: Herramienta de gestión de incidentes de seguridad. 

Metodología para la gestión de incidentes. ITIL 

Herramientas más populares. 

Herramienta de gestión de incidentes en la CARM. 

Unidad 4: Formas de poner un incidente. 

Medios para registrar un incidente de seguridad. 

Unidad 5: Tipos de incidentes. 

Incidentes relacionados con el correo electrónico. 

Incidentes relacionados con el acceso a Internet. 

Incidentes relacionados con reglas de cortafuegos. 

Incidentes relacionados con el corte de servicio de red. 

Incidentes relacionados con el servicio antivirus. 

4 

 
 

Introducción del Módulo y Objetivos ó Expectativas de

aprendizaje.
 

En  el  módulo  de  prevención  y  reacción  ante  incidentes  de  seguridad,  se  va  a  abordar  cómo 
podemos evitar que se produzcan incidentes de seguridad y siempre que no esté en nuestras 
manos  y  se  produzcan  saber  cómo  identificarlos  y  conocer  la  manera  de  proceder  para  su 
mitigación inmediata y su posterior resolución.  

El  cambio  continuo  en  las  aplicaciones  y  el  uso  de  los  sistemas  de  información  con  nuevas 
incorporaciones  como  últimamente  han  sido  los  dispositivos  portátiles  como  las  tablets  y 
Smartphones, propicia que cada día surjan nuevas amenazas para a la información. 

Una  vez  que  se  haya  finalizado  el  módulo,  el  usuario  debería  tener  una  visión  global  de  los 
posibles  incidentes  de  seguridad  con  los  que  se  puede  encontrar,  así  como  conocer  cómo 
registrar  en  los  sistemas  de  información  de  la  CARM  estos  incidentes  para  que  el  personal 
adecuado se encargue de su resolución. 

5 

 
 

1. Contenido
Introducción del Módulo y Objetivos ó Expectativas de aprendizaje. .......................................... 5 

1.  Contenido .............................................................................................................................. 6 

2.  Introducción. ......................................................................................................................... 8 

3.  Conceptos. Incidentes de Seguridad ..................................................................................... 9 

4.  Herramienta de gestión de incidentes de seguridad .......................................................... 11 

5.  Distintas formas de poner un incidente .............................................................................. 12 

6.  Tipos de Incidentes ............................................................................................................. 12 

Incidentes relacionados con el servicio del correo electrónico .............................................. 12 

¿Cómo distinguir si estamos ante un SPAM, Phishing y/o email con un archivo malware?
 ............................................................................................................................................. 13 

¿Cómo reportar el incidente? ............................................................................................. 17 

Buenas prácticas.................................................................................................................. 23 

Incidentes relacionados con el acceso a URLs ........................................................................ 26 

¿Cómo  identificar  problemas  relacionados  con  el  gestor  de  contenidos  del  aplicativo  de 
seguridad perimetral? ......................................................................................................... 27 

¿Cómo reportar el incidente? ............................................................................................. 28 

Incidentes relacionados con reglas de cortafuegos ................................................................ 30 

¿Cómo distinguir este tipo de incidentes? .......................................................................... 30 

¿Cómo reportar el incidente? ............................................................................................. 31 

Incidentes relacionados con el corte de servicio de red ......................................................... 33 

¿Cómo distinguir este tipo de incidentes? .......................................................................... 33 

¿Por qué se le ha cortado el servicio de red? ..................................................................... 33 

¿Cómo reportar el incidente? ............................................................................................. 34 

Incidentes relacionados con el servicio antivirus .................................................................... 36 

¿Cómo distinguir este tipo de incidentes? .......................................................................... 37 
6 

 
 ¿Cómo reportar el incidente? ............................................................................................. 39 

7.  ANEXO A: Glosario de términos. ......................................................................................... 40 

8.  ANEXO B: Bibliografía. ......................................................................................................... 42 

7 

 
 

2. Introducción.
“La seguridad no es más que un aceptable nivel de inseguridad.” 

La  revolución  de  las  tecnologías  de  la  información,  junto  con  el  rápido  desarrollo  de  las 
infraestructuras  de  comunicaciones,  está  provocando  que  los  incidentes  de  seguridad  sean 
cada  vez  más  difícil  de  detectar  así  como  más  complicados  de  atenuar  o  resolver.  Un  factor 
muy  importante  a  la  hora  de  tratar  un  incidente  es  su  rápida  su  detección,  es  aquí  donde 
entrar  la  actuación  del  usuario  final,  el  cual,  debe  saber  en  todo  momento  a  quién  dirigirse 
dependiendo del caso y donde registrar el incidente. 

El objeto de este curso es conseguir que el usuario pueda identificar un incidente de seguridad 
de la información y saber cómo registrarlo. 

8 

 
 3. Conceptos. Incidentes de Seguridad
Entendemos por incidente de seguridad a un único evento o una serie de eventos de seguridad 
de  la  información,  inesperados  o  no  deseados,  que  tienen  una  probabilidad  significativa  de 
comprometer las operaciones empresariales y de amenazar la seguridad de la información. Del 
mismo  modo  entendemos  eventos  de  seguridad  como  la  ocurrencia  detectada  en  un  estado 
de un sistema, servicio o red que indica una posible violación de la política de seguridad de la 
información, un fallo de las salvaguardas o una situación desconocida hasta el momento y que 
puede ser relevante para la seguridad. 

Para evitar incidentes de seguridad la CARM cuenta con mecanismos preventivos; 

MEDIDA PREVENTIVA  ¿QUE SE PRETENDE EVITAR? 

Filtrado Web  9 Infecciones por malware.

9 Fugas de información. 

9 Accesos ilegales o pedófilos. 

9 Acceso a urls de Phishing. 

9 … 

Software Antivirus  9 Proteger  la  integridad  del  software  y  de  la 

información. 

Solución Antispam  9 SPAM.

9 Acceso a urls de Phishing. 

9 Infecciones por malware. 

Política de Seguridad  9 Proporcionar  indicaciones  para  la  gestión  y  soporte 

de la seguridad de la información de acuerdo con las 
directrices  de  la  Comunidad  Autónoma  y  con  la 
legislación y las normativas aplicables. 

Normas de uso  9 Protección de registros y documentos de la CARM 

9 Mal uso del puesto de trabajo en el entorno laboral. 

9 Mala  implementación  en  la  política  de  uso  de 

contraseñas. 

9 Mal uso del correo electrónico corporativo. 

9 Mal uso del acceso a Internet. 

Buenas prácticas (Área de seguridad  9 Evitar incidentes de seguridad en general 
en rica 
9 

 
http://rica.carm.es/chacp/areaSegu
ridad/) 

10 

 
 

4. Herramienta de gestión de incidentes de seguridad

A  la  hora  de  registrar  y  resolver  incidentes  de  seguridad  es  muy  importante  contar  con  una 
base  de  datos  de  conocimiento,  en  la  cual,  consultar  posibles  casos  relacionados  con  el 
incidente actual o patrones de comportamiento parecidos al incidente registrado, de manera 
que se consiga una pronta resolución y conseguir la “normalidad” de los sistemas volviendo al 
trabajo de nuevo en el menor tiempo posible. 

La metodología utilizada en la CARM se denomina ITIL, estas son las siglas de una metodología 
desarrollada  a  finales  de  los  años  80’s  por  iniciativa  del  gobierno  del  Reino  Unido  cuyo 
significado  es  el  siguiente  Information  Technology  Infrastructure  Library  o  Librería  de 
Infraestructura de Tecnologías de Información. 

Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de 
Tecnologías  de  Información  en  todo  el  mundo,  ya  que  es  una  recopilación  de  las  mejores 
prácticas tanto del sector público como del sector privado. 

Existen multitud de aplicaciones que siguen la metodología ITIL; 

• Remedy: Una de las más extendidas entre los grandes clientes. 

• HP OV Service Desk: Una de las más cómodas herramientas que ha desarrollado HP, 
pero que ahora ha caído en desgracia por la entrada en escena de Service Center. 

• Service Center: Extremadamente flexible que te permitirá hacer prácticamente lo que 
quieras. Propiedad de HP. 

• Service Desk Plus: Simple, barato y poco adaptable, cubre las necesidades básicas de 

un ServiceDesk. 

• System Center Service Desk: Herramienta de Microsoft  que  saldrá  en  breve  al 
mercado. 

En  la  CARM  se  ha  cambiado  de  herramienta  recientemente,  de  utilizar  hasta  hace  poco  la 
llamada  Service  Manager  de  la  compañía  HP  a  la  que  actualmente  se  ha  puesto  en  marcha, 
GLPI. 

Esta  herramienta  que  viene  de  las  siglas  Gestión  Libre  del  Parque  Informático  favorece  el 
seguimiento de la metodología ITIL y es la utilizada para gestionar los incidentes de seguridad 
en la CARM. 

11 

 
 

5. Distintas formas de poner un incidente

Una vez detectado un incidente de seguridad el usuario debe proceder de la siguiente manera; 

• En general el usuario avisará a su Servicio de Gestión Informática. 

Para usuarios de la DGI se reportan por una de las siguientes vías; 

9 Registrando un ticket en la herramienta GLPI. (https://glpi.carm.es) 

9 Vía telefónica en caso de no tener disponible el ordenador, llamando al 368900 

9 Otra  opción  es  mandar  un  correo  al  CAU  (Centro  de  atención  al  usuario) 
explicando el detalle en el cuerpo del correo. cau@carm.es  

6. Tipos de Incidentes

Incidentes relacionados con el servicio del correo electrónico

En relación con el correo electrónico vamos a distinguir tres casos, SPAM, Phishing y correos 
electrónicos con datos adjuntos o urls que contengan malware. 

Antes de empezar vamos  a introducir  unos conceptos básicos a la hora de  comunicarnos vía 

email  (correo  electrónico).  En  el  gráfico  siguiente  se  puede  ver  a  grandes  rasgos  en  que 
consiste este servicio; 

Aunque  existen  multitud  de  componentes  a  la  hora  de  enviar  o  recibir  un  correo,  solo 
detallamos los más usados; 

• Remitente (De: o From:): Es el usuario o entidad que envía el correo electrónico 
12 

 
 • Destinatarios (o Para: o To:): muestra a quiénes se envió el mensaje. 

• Asunto: En este campo se ve el tema que trata el mensaje, si quien envía el mensaje ha 
dejado esta casilla en blanco se lee [ninguno] o [sin asunto]. 

9 Si  el  mensaje  es  una  respuesta  el  asunto  suele  empezar  por  RE:  o  Re: 
(abreviatura  de  responder  o  reply).  Aunque  según  de  dónde  proceda  el 
mensaje pueden aparecer An: del alemán, Sv: del sueco… 

9 Cuando  el  mensaje  procede  de  un  reenvío  el  asunto  suele  comenzar  por  RV: 
(abreviatura de reenviar) o Fwd: (del inglés forward), aunque a veces empieza 
por Rm: (abreviatura de remitir). 

• Datos adjuntos: si aparece una marca (habitualmente un clip) significa que el mensaje 
viene con uno o varios ficheros anexos. 

Ejemplo: 

¿Cómo distinguir si estamos ante un SPAM, Phishing y/o email con un

archivo malware?
Para ello vamos a definir los conceptos. 

• SPAM:  Se  denomina  spam  a  todo  correo  no  deseado  recibido  por  el  destinatario, 
procedente  de  un  envío  automatizado  y  masivo  por  parte  del  emisor.  El  spam 
generalmente  se  asocia  al  correo  electrónico  personal,  pero  no  sólo  afecta  a  los 
correos electrónicos personales, sino también a foros, blogs y grupos de noticias 

9 Ejemplo: 

13 

 
  

• Phishing:  Es  la  denominación  que  recibe  la  estafa  cometida  a  través  de  medios 
telemáticos  mediante  la  cual  el  estafador  intenta  conseguir,  de  usuarios  legítimos, 
información confidencial (contraseñas, datos bancarios, etc) de forma fraudulenta. El 
estafador o phisher suplanta la personalidad de una persona o empresa de confianza 
para  que  el  receptor  de  una  comunicación  electrónica  aparentemente  oficial  (vía  e‐
mail,  fax,  sms  o  telefónicamente)  crea  en  su  veracidad  y  facilite,  de  este  modo,  los 
datos privados que resultan de interés para el estafador. 

9 Ejemplo, tipo 1: Directamente te piden los datos en el correo para que se los 
envíes. 

14 

 
  

9 Ejemplo, tipo 2: en el correo electrónico se proporciona un enlace a una página 
web donde te solicitan la información personal. 

15 

 
  

• Correo electrónico con archivo adjunto sospechoso. 

9 Ejemplo 1: Email con datos adjuntos. 

9 Ejemplo 2: Email con malware a descargar en la URL. 

16 

 
  

Una vez que tenemos claros los conceptos, cuando se reciba un correo electrónico el usuario 
debe plantearse las siguientes preguntas; 

1. ¿Conozco al remitente? 

a. Si no se conoce al remitente debe descartar el correo electrónico 

2. ¿Esperaba el correo?  

a. Si  es  de  un  remitente  conocido  pero  no  esperaba  dicho  correo,  tenga 
precaución de lo que en el correo se pida y mucho menos descargue cualquier 
adjunto que pudiera ir en el correo, pueden haber suplantado la identidad del 
remitente conocido y estar realizando un ataque en su nombre. 

3. ¿Reconozco el archivo adjunto? 

a. En el caso de descargar el archivo adjunto de un correo electrónico, analice el 
archivo con el software anti‐malware corporativo antes de abrirlo, en caso de 
duda elimine el archivo. 

¿Cómo reportar el incidente?

Una  vez  que  llega  un  correo  de  los  anteriormente  descritos  debemos  realizar  los  siguientes 
pasos  con  el  fin  de  facilitar  al  servicio  de  correo  y  al  grupo  de  seguridad  la  resolución  del 
incidente. 

17 

 
SPAM
Cuando  nos  llegue  un  correo  no  esperado,  normalmente  de  alguna  empresa,  banco…  es 
necesario reportar al servicio de correo el remitente para que procedan a cortarlo. Para esto 
es necesario realizar los siguientes pasos cuando se recibe el correo; 

En caso de tener un gestor de correo como Microsoft Outlook 2010 siga estos pasos sobre el 
email SPAM recibido; 

1. Pulsar la pestaña “Archivo” 

2. Pulsar la opción “Guardar como” y guarde el mensaje en su escritorio. 

3. Guardamos como msg el archivo. 

18 

 
  

En caso de tener un gestor de correo como Microsoft Outlook 2007 siga estos pasos sobre el 
email SPAM recibido; 

1. Pulsar el icono del margen superior izquierda y pulsar la opción “Guardar como” 

19 

 
  

En versiones anteriores de Microsoft Office 2007 se encuentra en el menú Archivo > Guardar 
como. 

Si estamos trabajando con el cliente web de correo se deben seguir los pasos siguientes: 

1‐ Sobre el email sospechoso pulsar botón derecho, opción “Ver cabeceras”; 

2‐ Copiar el contenido que sale en la siguiente pantalla; 

3‐ Para finalizar, guardaremos el contenido en un documento en nuestro equipo. 
20 

 
 

De una forma u otra ya tenemos guardado el contenido del correo en nuestro equipo, ahora 
toca comprimirlo. Botón derecho sobre el fichero > Enviar a > Carpeta Comprimida (en Zip); 

Una vez guardado en su ordenador, ya puede suministrarlo al servicio del CAU por una de las 
vías de comunicación explicadas anteriormente. (Exceptuando la vía telefónica) 

a. Vía GLPI. http://glpi.carm.es  

Abrimos un ticket desde la opción que se recalca en la captura; 

21 

 
  

Seleccionamos las siguientes opciones; 

• Como categoría: …> Aplicaciones Corporativas > Correo Electrónico 

• Como Título: SPAM + “asunto del correo” 

• Adjuntamos el fichero que previamente comprimimos. 

Con estos pasos ya se estaría gestionando el problema y planteando una solución. 

b. Vía correo electrónico. ( Cau@carm.es ) 

Creamos un correo electrónico nuevo con la siguiente configuración: 

• Como destinatario: cau@carm.es 

• Como asunto: SPAM “asunto del mensaje sospechoso”. 

• Adjuntamos el fichero comprimido al correo electrónico. 

22 

 
  

NOTA:  Para  tratar  correctamente  estos  incidentes  de  seguridad  es  necesario  que  se  envíe 
adjunto el SPAM 

PHISHING
La  manera  de  proceder  con  el  Phishing  es  similar  a  la  manera  de  actuar  con  el  SPAM,  el 
tratamiento por parte del usuario es idéntico. 

Correo electrónico con malware adjunto

En  el  caso  de  recibir  un  correo  con  un  archivo  adjunto  sospechoso,  habría  que  actuar  de 
manera similar a como se actúa con el SPAM y el PHISHING con el objetivo de proporcionarle 
al servicio de correo electrónico el remitente del correo y así poder cortar su envío de correos 
a otras posibles víctimas. 

Buenas prácticas
Es  importante  seguir  los  siguientes  Consejos  y  Buenas  Prácticas  en  el  uso  del  Correo 
Electrónico 

• No responder a correos en los que se pida su contraseña. Ni la CARM, ni bancos o cajas 
de ahorros le pedirán su contraseña. 

• No enviar información sensible o confidencial a través del correo electrónico, sino es 
estrictamente necesario. 

• No utilizar el correo electrónico para el envío o recepción de datos personales. 

• No utilizar la dirección electrónica de la comunidad para darse de alta en sitios web o 
servicios que no estén relacionados con la actividad laboral. 

• No confiar en correos electrónicos de dudosa procedencia. 
23 

 
 • No  abrir  documentos  adjuntos  ni  enlaces  sin  comprobar  el  remitente  y  el  contenido 
del correo electrónico. 

• Usar  contraseñas  robustas  y  cambiarlas  de  forma  regular  (al  menos  una  vez  al  año). 
Podrás cambiar y encontrar en Rica una Guía de selección de una buena contraseña. ( 
(http://rica.carm.es/chacp/idecor/cambiarclave.htm) 

• No  instalar  programas  o  aplicaciones  que  no  estén  relacionados  con  la  actividad 
laboral. 

Últimos tipos detectados por la empresa antivirus Kaspersky 2013; 

• Alerta:  cambio  de  contraseña.  Suele  ser  la  estafa  más  habitual  utilizada  por  los 
ciberdelincuentes,  el  ataque  intenta  conseguir  los  accesos  a  plataformas  online  de 
comercio electrónico, banca, redes sociales,…. 

El  correo  se  hace  pasar  por  una  empresa,  incluso  simula  su  página  web  y  solicita  al 
usuario que haga un cambio de sus contraseñas, por algún motivo. 

• Reservas  falsas.  Uno  de  los  últimos  engaños  son  emails  falsos  que,  aparentemente, 
proceden  de  compañías  aéreas  o  cadenas  hoteleras  confirmando  una  reserva 
inexistente.  El  correo  pide  al  usuario  que  pinche  en  un  enlace  malicioso;  una  vez  la 
víctima  cae  en  la  trampa,  se  le  redirige  a  un  página  maliciosa  donde  se  oculta  un 
código que puede atacar al equipo informático. 

• Vacaciones/Tragedias:  las  vacaciones  o  las  tragedias  son  una  gran  oportunidad  para 
los  delincuentes.  Todo  el  mundo  recibe  emails  de  personas  desconocidas: 
organizaciones  que  piden  donaciones  para  las  víctimas  del  huracán  Sandy;  o 
compañías que ofrecen servicios especiales para Navidad. Se aconseja que no se abran 
dichos archivos porque pueden operar de la misma forma que el timo de las reservas 
falsas. 

• ¡Sales en un video divertido en Facebook! ¡Eso no es cierto!: Cuando se hackea una 
cuenta  de  Twitter  o  Facebook,  se  suelen  enviar  mensajes  a  otros  usuarios  como 
“Alguien  está  hablando  de  ti  en  Internet”,  consiguiendo  que  la  víctima  pinche  en  un 
enlace adjunto para ver el vídeo donde sale. Como respuesta, el usuario encuentra una 
advertencia  falsa  pidiendo  que  se  actualice  la  versión  del  reproductor.  Cuando  éste 
pincha  en  el  enlace  de  descarga,  en  lugar  de  descargarse  una  actualización  del 
software, el malware roba la información personal almacenada en el dispositivo. 

• Good Site, Bad Link: Los expertos de Kaspersky Lab han encontrado enlaces maliciosos 
en  páginas  legítimas  como  Wikipedia  o  Amazon,  que  permiten  a  los  usuarios  crear 
páginas  dentro  de  dichas  websites.  Los  enlaces  dirigen  a  las  víctimas  hacia  otras 
páginas donde se esconde un código dañino. Afortunadamente, las páginas legítimas 

24 

 
 eliminan  dichos  sites  falsos;  disminuyendo  el  número  de  amenazas  de  este  tipo.  No 
obstante, debemos estar atentos. 

25 

 
 

Incidentes relacionados con el acceso a URLs

La CARM gestiona los accesos a URLs externas desde los equipos de la CARM, esta gestión se 
hace a través de una aplicación de seguridad perimetral, llamada Palo Alto.  

Esta  aplicación  es  la  encargada  de  analizar  las  URLs  a  las  que  quiere  acceder  el  usuario  y 
permitirle o no el acceso dependiendo de la categorización y la reputación que tenga esta URL. 
La base de datos de la aplicación viene por defecto con unas URLs clasificadas por categorías, 
es el papel de la CARM establecer cuáles de estas categorías son permitidas o prohibidas de 
acuerdo  con  la  política  de  seguridad  de  la  CARM.  Del  mismo  modo  las  URLs  también  tienen 
asociadas  una  reputación  (0‐100)  que  funciona  de  la  misma  manera  y  que  la  CARM  ha 
establecido en un límite, por ejemplo solo se permiten URLs con reputación mayor a 40. 

Como decíamos anteriormente la relación URL‐Categoría está almacenada en la base de datos 
la  aplicación  al  igual  que  la  relación  URL‐Reputación  IP.  A  veces  ocurre  que  una  URL  puede 
estar  mal  categorizada  o  puede  ser  que  se  infectase  por  malware  y  aunque  posteriormente 
fuese  desinfectada  Palo  Alto  siga  considerándola  como  “malware  sites”,  es  en  estos  casos 
donde debemos pedir la re catalogación. El funcionamiento a grandes rasgos de este aplicativo 
en la CARM es el siguiente; 

 
26 

 
La base de datos de categorías asignadas a las URLs son las siguientes; 

Más información sobre las categorías en el ANEXO C 

La clasificación respecto a reputación sería la siguiente 

NOTA:  Algunas  aplicaciones  puede  que  no  tenga  su  funcionalidad  completa  debido  a  que 
internamente acceden a servicios webs cortados. 

¿Cómo identificar problemas relacionados con el gestor de contenidos del

aplicativo de seguridad perimetral?
La aplicación cuando chequea las URLs solicitadas por los usuarios de la CARM y verifica en su 
base  de  datos  que  esas  URLs  pertenecen  a  una  categoría  prohibida,  el  usuario  obtiene  por 
pantalla una imagen similar a la siguiente; 

27 

 
  

En la captura se puede ver la IP con la que el usuario está intentando acceder, la URL donde 
quiere acceder y la categoría asociada a esa URL. 

Si  el  usuario  considera  que  la  página  está  mal  catalogada,  es  decir,  se  trata  de  un  error  del 
sistema,  puede  poner  una  incidencia  al  CAU  de  la  DGPIT.  Si  hay  indicios  de  que  está  mal 
catalogada se escala al fabricante, que la revisa en menos de 24 horas, corrigiendo la categoría 
si estaba equivocada. 

¿Cómo reportar el incidente?

• Para pedir la re catalogación o revisión de una URL es necesario agregar la URL a la que 
se  intentó  acceder  en  un  correo  electrónico  dirigido  a  cau@carm.es  y  agregar  la 
categoría que obtuvo el usuario en el momento del intento de acceso. 

Estos datos pueden obtenerse de la página web que se obtiene al intentar acceder; 

28 

 
 • Por otro lado, el usuario puede identificar otro tipo de fallo en la categorización de la 
aplicación,  es  el  caso  contrario,  que  el  usuario  pueda  acceder  a  URLs  que  pudieran 
pertenecer a una categoría prohibida. En este caso debería proceder notificándolo vía 
correo electrónico a cau@carm.es , especificando la URL que se quiere cortar el acceso 
desde la red interna de la CARM. Desde el grupo de seguridad se evaluará la URL y se 
procederá a cortar el acceso asignándola a su correcta categoría. 

29 

 
 

Incidentes relacionados con reglas de cortafuegos

Este  tipo  de  incidentes  se  darán  cuando  el  usuario  no  pueda  acceder  a  una  URL  o  a  un 
determinado  servicio  desde  su  red.  Aquí  entran  en  juego  otros  aplicativos  como  son  los 
cortafuegos  corporativos.  En  la  imagen  se  puede  observar  un  dibujo  ilustrativo  del 
funcionamiento de este aparato. 

¿Cómo distinguir este tipo de incidentes?

Este  tipo  de  incidentes  es  fácil  que  se  confundan  con  el  anterior  tipo  de  incidentes,  sin 
embargo es muy fácil distinguirlos. Como se puede observar en la anterior imagen, el mensaje 
obtenido  por  pantalla  por  el  usuario  cuando  no  tiene  acceso  a  la  URL  solicitada  es  distinto. 
Dependiendo del navegador utilizado puede variar esta imagen, lo que hay que tener claro es 
que no es del tipo corporativo; 

30 

 
    Problema con el cortafuegos      Problema con el gestor de contenidos 

¿Cómo reportar el incidente?

La  forma  correcta  de  reportar  el  incidente  es  enviar  un  correo  electrónico  a  cau@carm.es 
especificando  la  dirección  a  la  cual  no  se  ha  podido  acceder  y  la  IP  del  equipo  donde  se  ha 
experimentado el problema. 

¿Cómo obtener la IP?

Sobre  el  icono  de  los  monitores  de  la  barra  de  inicio  de  Windows,  pulsamos  con  el  botón 
derecho sobre la opción estado/status 

En la siguiente captura se visualiza la IP del equipo; 

31 

 
  

Con esta información (URL de destino y la IP de origen) ya podemos enviar el email al CAU. 

32 

 
 

Incidentes relacionados con el corte de servicio de red

Este tipo de incidentes son fácilmente identificables, se producen cuando el usuario no tiene 
acceso a ningún servicio de internet. 

¿Cómo distinguir este tipo de incidentes?

Una de las comprobaciones más sencillas para verificar si nos encontramos en esta situación 
sería  intentar  acceder  a  una  URL  de  internet  como  puede  ser  www.google.es  y  verificar  la 
respuesta  que  obtenemos.  En  la  siguiente  captura  se  puede  ver  la  pantalla  que  obtiene  un 
usuario que ha sufrido un corte de servicio de red. 

En la pantalla que obtiene el usuario se le proporciona una descripción de lo sucedido y como 
proceder. El primer punto es “Contacte con su Servicio de Informática”, en el apartado ¿Cómo 
reportar un incidente? se explica cómo hacerlo. 

¿Por qué se le ha cortado el servicio de red?

Este problema viene motivado porque al usuario se le han detectado conexiones sospechosas 
ya sean de entrada hacia el equipo o de salida, esto se produce cuando el equipo tiene algún 
tipo de infección malware y como medida preventiva se le ha cortado el servicio de red para 
que  no  se  produzca  fuga  de  información  involuntaria  y/o  infección  de  otros  equipos,  en 
resumen se pone el equipo en “cuarentena”. 

Cuando  un  equipo  se  infecta  por  un  troyano  generalmente  el  usuario  no  observa  ningún 
comportamiento  anómalo.  El  malware,  una  vez  dentro  del  equipo  establece  conexiones  con 
servidores externos y puede estar enviando información que tengamos en nuestro equipo sin 
conocimiento del usuario y/o recibiendo órdenes desde fuera para realizar acciones maliciosas 
dentro de la red de la CARM siendo todo transparente al usuario. 

33 

 
  

¿Cómo reportar el incidente?

Enviar un correo al CAU (cau@carm.es) especificando; 

• IP de nuestro equipo 

• URL a la que se intentaba acceder 

• Adjuntar captura de la pantalla obtenida por el usuario, siempre que sea posible, esto 
ayudará a resolver el incidente. 

¿Cómo capturar la pantalla del equipo?

Una  vez  tengamos  la  imagen  que  se  obtiene  al  intentar  acceder  a  la  URL  de  internet, 
presionamos la tecla “Impr Pant” del teclado. 

34 

 
  

La  tecla  de  imprimir  pantalla  es  la  señalada  en  la  siguiente  captura.  Esta  tecla  copia  una 
imagen de lo que actualmente se está viendo en la pantalla y la copia en el portapapeles, lo 
único que habría que hacer a continuación es copiarla en el correo que le enviemos al CAU. 

35 

 
 

Incidentes relacionados con el servicio antivirus

Este  tipo  de  incidentes  están  relacionados  con  el  servicio  antivirus.  El  funcionamiento  de  un 
aplicativo antivirus es el mismo sin depender de la empresa que haya contratada (Kaspersky, 
Panda, Trend Micro…). 

El  antivirus  tiene  la  funcionalidad  de  chequear  todos  los  archivos  que  el  usuario  tiene  en  su 
equipo  y  clasificarlos  como  maliciosos  o  no.  Este  criterio  de  asignación  de  un  proceso  como 
malicioso o no lo puede realizar de dos maneras posibles; 

• Basado en Firmas (reactivo): Todos los antivirus necesitan descargar “firmas” (también 
llamados  vacunas)  para  que  su  funcionamiento  sea  correcto.  Las  empresas  antivirus 
recopilan en bases de datos corporativas información sobre el malware que se conoce, 
esta  información  recopilada  se  va  actualizando  conforme  se  descubren  nuevo 
malware,  esta  información  recopilada  es  lo  que  se  conoce  como  las  “firmas”  del 
antivirus.  Como  hemos  mencionado  antes,  para  que  el  funcionamiento  del  antivirus 
sea efectivo, es necesario que periódicamente el producto antivirus esté consultando 
esta base de datos con las firmas y las descargue para tenerlas en el equipo en local. El 
equipo cuando esté analizando los procesos del sistema, va cotejando con estas firmas 
y  si  verifica  que  el  código  malicioso  se  equipara  a  alguno  de  los  aportados  por  las 
firmas, es cuando el antivirus notifica una infección. 

Para generar firmas nuevas el proceso que sigue la empresa antivirus es el siguiente; 

9 Aparece un nuevo código malicioso. 

9 El laboratorio de la empresa antivirus recibe una muestra de ese código. 

9 Se crea la firma para el nuevo código malicioso 

9 Se actualiza el producto con la nueva base de firmas y comienza a detectar el 
malware. 

Aquí radica la importancia de tener el antivirus actualizado. 

• Basado  en  Heurística  (proactivo):  Este  tipo  de  identificación  basada  en  la  heurística 
realiza  la  clasificación  de  un  proceso  como  malicioso  o  no  según  un  patrón  de 
comportamiento, es decir, si un proceso X se ejecuta, accede a una carpeta de sistema 
a  la  cual  no  debiera  acceder,  copia  elementos  en  una  carpeta  temporal,  abre  una 
conexión  hacia  el  exterior  y  envía  ficheros…  el  antivirus  considera  que  es  un 
comportamiento  sospechoso  pudiendo  ser  malicioso  o  no.  Este  tipo  de  detección  da 
como  resultado  un  mayor  número  de  falsos  positivos1.  En  resumen  la  heurística  en 
antivirus permite detectar malware nuevo o desconocido. 

                                                            
1
  Un  falso  positivo  es  un  error  por  el  cual  un  software  antivirus  informa  que  un  archivo  o  área  del 
sistema está infectada, cuando en realidad no es así. 
36 

 
¿Cómo distinguir este tipo de incidentes?
La  casuística  que  puede  darse  con  el  antivirus  es  muy  variada,  podemos  identificar  posibles 
incidentes  de  seguridad  ya  sea  por  el  mal  funcionamiento  del  producto  antivirus  o  por  la 
sospecha de estar infectado por malware, no obstante la manera de reportar el incidente es 
muy parecida; 

Mal funcionamiento del antivirus

El software antivirus puede enviarnos una gran cantidad de información aunque nos vamos a 
centrar en errores críticos. Vamos a poner algunos ejemplos del antivirus Kaspersky que es el 
que la mayoría de organismos tienen instalado.  

• Lo primero que tiene que observar el usuario es que la base de datos de firmas de su 
equipo esté actualizada, como se puede observar en la imagen, pasando el puntero del 
ratón sobre el icono del antivirus se puede obtener información del producto. En este 
caso podemos observar si la base de datos de firmas del antivirus está actualizado. 

Por  defecto  cuando  el  antivirus  no  está  funcionando  correctamente  pasa  a  tener  uno  de  los 
siguientes  aspectos  detallados  más  abajo,  y  dejando  el  puntero  sobre  la  “K”  se  obtiene 
información  del  evento.  Es  esta  información  la  que  debemos  aportar  al  CAU  a  la  hora  de 
reportar el incidente de seguridad para que puedan solucionarnos el problema. 

El icono de la aplicación actúa como indicador d ela actividad de la aplicación. Refleja el estado 
de la protección del equipo y muestra las operaciones que la aplicación está realizando en ese 
momento: 

• El icono   significa que todos los componentes de protección de la aplicación están 
activados. 

• El icono   significa que se está analizando un mensaje de correo electrónico. 

• El icono   significa que se está analizando el tráfico de red entrante y saliente. 

37 

 
 • El  icono    significa  que  está  actualizando  las  bases  de  datos  y  los  módulos  de  la 
aplicación. 

• El icono   significa que durante el funcionamiento del antivirus se han producido 
eventos importantes que requieren su atención. Por ejemplo, es necesario reiniciar el 
equipo debido a una actualización interna del producto antivirus. 

• El  icono    significa  que  se  han  producido  eventos  críticos  durante  el 
funcionamiento  del  antivirus.  Por  ejemplo,  un  error  en  el  funcionamiento  de  uno  o 
varios componentes o daños en las bases de datos de la aplicación. 

Sospecha de estar infectado

Si  observa  un  comportamiento  extraño  de  su  equipo,  es  decir,  se  produce  uno  de  los 
siguientes casos, puede ser motivado porque está infectado por malware; 

• Sobrecarga de CPU, ralentizando el equipo. 

• Funciones de Windows dejan de funcionar o se hacen inaccesibles. 

• Denegación de servicios 

• Imposibilidad de ejecutar el programa antivirus 

• Pérdida de propiedades de imagen y sonido 

• Pérdida de unidades de almacenamiento 

• Pérdida de archivos del sistema 

• Tráfico en Internet no justificado 

• Aparición de páginas web no solicitadas 

• Programas  que  utilizan  Internet  dejan  de  funcionar  o  empiezan  a  funcionar  mal  sin 
ningún motivo aparente 

• Reinicios inesperados. 

• Nos pide una contraseña de usuario sin ninguna justificación. 

• El sistema no nos permite ejecutar determinados programas 

• Mensajes de alerta de virus que no provienen del software antivirus instalado. Síntoma 
de FAKEav 

38 

 
 

¿Cómo reportar el incidente?

A la hora de reportar el incidente es muy importante recopilar la siguiente información para 
facilitar el procedimiento de resolución del incidente; 

• Dirección IP del equipo afectado. 

• Identificador  del  equipo.  El  identificador  del  equipo  es  un  código  que  puede 
encontrarse pegado en la torre del ordenador. 

• Explicación  de  lo  sucedido  y/o  observado.  Es  muy  importante  ser  detallista  con  lo 
sucedido ya que puede ayudar mucho en la rapidez de la resolución del problema. 

39 

 
 

7. ANEXO A: Glosario de términos.

• CAU:  Viene  de  las  siglas  Centro  de  Atención  al  Usuario  y  es  el  grupo  encargado  de 
gestionar los incidentes de seguridad de la CARM. 

• Email: Del inglés electronic mail, correo electrónico. 

• SPAM:  Se  denomina  ’spam’  a  todo  correo  no  deseado  recibido  por  el  destinatario, 
procedente  de  un  envío  automatizado  y  masivo  por  parte  del  emisor.  El  ’spam’ 
generalmente  se  asocia  al  correo  electrónico  personal,  pero  no  sólo  afecta  a  los 
correos electrónicos personales, sino también a foros, blogs y grupos de noticias 

• Phishing:  Es  la  denominación  que  recibe  la  estafa  cometida  a  través  de  medios 
telemáticos  mediante  la  cual  el  estafador  intenta  conseguir,  de  usuarios  legítimos, 
información confidencial (contraseñas, datos bancarios, etc) de forma fraudulenta. 

El  estafador  o  phisher  suplanta  la  personalidad  de  una  persona  o  empresa  de 
confianza para que el receptor de una comunicación electrónica aparentemente oficial 
(vía e‐mail, fax, sms o telefónicamente) crea en su veracidad y facilite, de este modo, 
los datos privados que resultan de interés para el estafador. 

• Malware:  Palabra  que  nace  de  la  unión  de  los  términos  software  malintencionado 
“malicious  software”.  Dentro  de  esta  definición  tiene  cabida  un  amplio  elenco  de 
programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc. 

La nota común a todos estos programas es su carácter dañino o lesivo. 

9 Virus; Programa diseñado para copiarse y propagarse a sí mismo, normalmente 
adjuntándose  en  aplicaciones.  Cuando  se  ejecuta  una  aplicación  infectada, 
puede infectar otros archivos. Se necesita acción humana para que un virus se 
propague  entre  máquinas  y  sistemas.  Esto  puede  hacerse  descargando 
archivos, intercambiando disquetes y discos USB, copiando archivos a y desde 
servidores  de  archivos  o  enviando  adjuntos  de  e‐mail  infectados.  Los  efectos 
que  pueden  provocar  varían  dependiendo  de  cada  tipo  de  virus:  mostrar  un 
mensaje,  sobrescribir  archivos,  borrar  archivos,  enviar  información 
confidencial  mediante  correos  electrónicos  a  terceros,  etc.  Los  más  comunes 
son los que infectan a ficheros ejecutables. 

9 Gusanos; En inglés Worm. Es un programa similar a un virus que se diferencia 
de éste en su forma de realizar las infecciones. Mientras que los virus intentan 
infectar  a  otros  programas  copiándose  dentro  de  ellos,  los  gusanos  realizan 
copias  de  ellos  mismos,  infectan  a  otros  ordenadores  y  se  propagan 
automáticamente  en  una  red  independientemente  de  la  acción  humana.  De 
Internet:  Tipo  específico  de  gusano  que  aprovecha  los  medios  que  provee  la 
red de redes para reproducirse a través de ella. Como cualquier gusano, su fin 

40 

 
 es replicarse a nuevos sistemas para infectarlos y seguir replicándose a otros 
equipos  informáticos,  pero  lo  que  lo  califica  como  un  gusano  de  Internet  es 
que aprovecha medios como el correo electrónico, IRC, FTP, y otros protocolos 
específicos o ampliamente utilizados en Internet 

9 Troyanos;  Este  tipo  de  'malware'  carente  de  la  capacidad  de  autoduplicación 
requiere  del  uso  de  la  ingeniería  social  para  obtener  un  correcto 
funcionamiento.  Ya  sea  por  la  confianza  en  quien  entrega  el  programa  a  la 
víctima  o  por  su  falta  de  cautela,  la  víctima  instala  un  'software' 
aparentemente  inocuo  en  su  ordenador.  Al  ejecutarse  el  software  no  se 
evidencian  señales  de  un  mal  funcionamiento;  sin  embargo,  mientras  el 
usuario  realiza  tareas  habituales  en  su  ordenador,  el  programa  abre  diversos 
puertos  de  comunicaciones  del  equipo  de  la  víctima  que  permiten  el  control 
absoluto de forma remota. 

• Dirección  IP:  En  inglés,  IP  Address.  Número  que  identifica  una  interfaz  de  un 
dispositivo conectado a una red que utilice protocolo IP. 

41 

 
 

8. ANEXO B: Bibliografía.
 

• http://rica.carm.es/InfoCAU.htm 

• http://rica.carm.es/chacp/areaSeguridad/doc/SDG‐CAT‐prot‐20090216‐
PAT_ProtocoloAlertaTemprana(3.2).pdf 

• http://rica.carm.es/glpi/ayudausuglpi.html 

• http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/ 

• http://www.viruslist.com/sp/viruses/glossary 

• https://www.ccn‐cert.cni.es/ 

42