PLAYBOOK

RESPUESTA ANTE ATAQUES

DE DENEGACIÓN DE
SERVICIO
v 1.0
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

</ TABLA DE CONTENIDO

03 INTRODUCCIÓN

04 OBJETIVO Y ALCANCE

04 BASE LEGAL

05 TÉRMINOS Y DEFINICIONES

07 RESPUESTA ANTE ATAQUES DE

DENEGACIÓN DE SERVICIO

08 FASE 1
PLANIFICACIÓN

7
12 FASE 2
DETECCIÓN

14 FASE 3
RESPUESTA

2
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

</ INTRODUCCIÓN
La DINI en el marco de sus competencias asignadas mediante la Ley 30618 y D.S. N° 106-2017-
PCM, desarrolla esta guía de instrucciones o playbooks con el fin de contribuir a la resiliencia
de los Activos Críticos Nacionales frente a los diversos tipos de ciberataques que pudieran
generar incidentes no deseados.

La planificación en la respuesta de los incidentes es un factor determinante en el resultado

final de este proceso, por lo cual en la presente guía de instrucciones o playbook se detallan
las actividades que el operador de ACN puede seguir tanto en las fases de planificación,
detección y respuesta de los incidentes con el objetivo de minimizar el impacto y tener una
recuperación pronta frente a un tipo específico de ciberataque que puede afectar el normal
desarrollo de las capacidades nacionales. Aunque todos los ciberataques son diferentes en
su naturaleza y en las tecnologías utilizadas, es posible agrupar estos ciberataques por tipos y
metodologías comunes.

Estos Playbooks, deberán ser aplicados y adecuados por el operador en función al contexto
digital de su organización. Por su lado la DINI actualizará y buscará la mejora continua de
esta guía a fin que pueda cumplir su objetivo.

3
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

OBJETIVO Y ALCANCE

OBJETIVO ALCANCE

Contribuir en minimizar el Este documento tiene como

impacto y agilizar la alcance a los operadores
recuperación de los de públicos y privados de los
incidentes de ciberseguridad, Activos Críticos Nacionales.
mediante una línea de
acciones destinadas a
facilitar la gestión de los
incidentes.

BASE LEGAL

Decreto Legislativo N° 1141, Decreto Legislativo de Fortalecimiento y

modernización del Sistema de Inteligencia Nacional (SINA) y de la
Dirección Nacional de Inteligencia (DINI).

Decreto Supremo N° 016-2014-PCM, que aprueba el Reglamento del

Decreto Legislativo N° 1141.

Ley N° 30618, que modifica el Decreto Legislativo N°1141 Decreto

Legislativo de Fortalecimiento y modernización del Sistema de
Inteligencia Nacional (SINA) y de la Dirección Nacional de Inteligencia
(DINI), a fin de regular la Seguridad Digital.

Decreto Supremo N° 106-2017-PCM, que aprueba el Reglamento para

Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos
Nacionales.

Decreto de Urgencia N° 007-2020-PCM, que aprueba el Marco de

confianza digital y dispone medidas para su fortalecimiento.

ISO/IEC 27032, ISO/IEC 27035 y normas NIST relacionados a la gestión de

incidentes.

4
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

TERMINOS Y DEFINICIONES

≤ Activo Crítico Nacional

Son aquellos recursos, infraestructuras y sistemas que son esenciales e imprescindibles
para mantener y desarrollar las capacidades nacionales, o que están destinados a
cumplir dicho fin. La afectación, perturbación o destrucción de dichos activos no
permite soluciones alternativas inmediatas, generando grave perjuicio a la Nación.

≤ Ataque de denegación de servicio (DoS)

Es la paralización intencional de un sistema o servicio web al inundarla con datos para
hacer que los recursos de red o tecnológicos no estén disponibles para sus usuarios
interrumpiendo temporal o indefinidamente los servicios.

≤ Capacidad Nacional
Es la aptitud o suficiencia que tiene la Nación de utilizar los recursos tangibles e
intangibles, infraestructuras y sistemas para satisfacer sus necesidades vitales, como:
salud, integridad física, seguridad, bienestar social y económico de la población,
servicios públicos, así como el eficaz funcionamiento de las instituciones del Estado y
la administración pública, con el fin de alcanzar y mantener sus objetivos nacionales.

≤ Ciberataque

Intentos maliciosos de dañar, interrumpir u obtener acceso no autorizado a sistemas

informáticos, redes o dispositivos, a través de medios cibernéticos.

≤ Ciberdefensa
Capacidad que permite actuar frente a amenazas o ataques realizados en y
mediante el ciberespacio cuando estos afecten la seguridad nacional.

≤ Incidente de Ciberseguridad

Evento o serie de eventos que pueden comprometer las capacidades nacionales, la

confianza, la prosperidad económica, la protección de las personas y sus datos
personales, la información, entre otros activos de la organización, a través de
tecnologías digitales.

≤ Operadores de los Activos Críticos Nacionales

Es toda aquella entidad pública o privada que tiene a su cargo la administración o la
operación de los Activos Críticos Nacionales - ACN; teniendo la obligación de adoptar
las medidas que resulten necesarias para garantizar su normal funcionamiento, de
acuerdo al marco jurídico vigente.

≤ Plan de continuidad del Negocio (BCP)

Plan para la práctica de cómo una organización debe recuperar y restaurar sus
funciones críticas parcial o totalmente interrumpidas dentro de un tiempo
predeterminado después de una interrupción no deseada o desastre.

5
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

≤ Playbook
Documento que incluye las actividades a seguir frente a un incidente ocasionado por
un ciberataque específico. Así mismo, proporciona a los operadores de ACN una
comprensión clara de sus funciones y responsabilidades antes, durante y después de
un incidente.

≤ Procedimiento de Recuperación ante Desastres (DRP)

Proceso de recuperación que cubre los datos, el hardware y el software crítico, para
que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre
natural o causado por humanos.

≤ Sector Responsable
Son los ministerios que tienen la responsabilidad de adoptar las medidas necesarias
para garantizar el normal funcionamiento de los Activos Críticos Nacionales - ACN.

≤ Stakeholder (interesados)
Personas u organizaciones que pueden afectar, ser afectados o percibir ser afectados
por una decisión o actividad.

6
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

RESPUESTA ANTE ATAQUES DE DENEGACIÓN DE SERVICIO

Este tipo de ataque tiene como objetivo hacer que un servicio sea inaccesible o se
encuentre no disponible, pueden afectar a sitios web, servicios transaccionales y sistemas
de control industrial, estos ataques pueden variar en duración y pueden ser originados
desde múltiples fuentes, a esta variante se le denomina ataque de denegación de servicio
distribuido (DDoS) y se presenta en mayor frecuencia en sitios web atacados por grupos
hacktivistas. Estos ataques se dan a nivel de capa de red o de aplicación.

Las actividades a realizar por el operador de ACN ante un ciberataque específico, pueden
ser agrupadas en tres (03) fases tales como las fases de planificación, detección y respuesta
de los incidentes, estas actividades se complementan al protocolo de Soporte de Respuesta
ante Incidentes (SRI) desarrollado por la DINI.

01 Elabore un plan Implemente

PLANIFICACIÓN

de respuesta medidas
preventivas

Defina parámetros
para la detección

02
DETECCIÓN

no ¿se detectó Detecte el

incidente? incidente

sí

03 Evalué el
RESPUESTA

incidente

Analice el
incidente

no ¿incidente sí Contenga el
conocido? incidente

Recolecte Comunique a los

evidencias interesados

Realice análisis Erradique el

forense incidente

Cierre caso y Recupere el

mejore el proceso servicio

7
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

Fase Nro.1

PLANIFICACIÓN

8
PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

1.1 Elaborar un plan de respuesta

≤ Elaborar y mantener un plan de respuesta ante incidentes

generados por los ciberataques considerando los recursos,
herramientas y procedimientos necesarios y disponibles para
poder minimizar el impacto y agilizar la recuperación del
incidente a lo más pronto posible. Este plan de respuesta debe
incluir la evaluación del riesgo, el establecimiento del equipo
de respuesta, la asignación de los roles y responsabilidades, las
estrategias y actividades para realizar la detección, análisis,
contención, erradicación y recuperación. Considere también,
en caso existan, los planes para la continuidad del negocio y
los procedimientos para la recuperación ante de desastres.

≤ Evaluar el escenario de riesgo que podría generarse ante el

ciberataque asociado al presente playbook considerando los
criterios definidos en la Guía de Gestión de Riesgos de
Seguridad Digital de la DINI.
Fase 1 PLANIFICACIÓN

≤ Conformar un equipo de respuesta identificando a las personas

y áreas involucradas en función al tamaño y servicio que brinda
la organización o entidad para el desarrollo de las
capacidades nacionales. Este equipo deberá cumplir una
variedad de tareas, por lo cual puede incluir representantes de
las áreas de ciberseguridad, seguridad de información,
Tecnologías de Información y comunicaciones, operaciones,
riesgos, legal, continuidad de negocio y relaciones públicas.

≤ Revisar y probar el plan de respuesta, incluya la verificación del

cumplimiento y efectividad de las actividades, las
responsabilidades y el flujo de escalamiento.

≤ Elaborar un programa de comunicación, que incluya la

concientización periódica a los empleados a fin de informar los
riesgos de ciberseguridad; como también el protocolo para la
comunicación a los distintos stakeholders durante la respuesta
a los incidentes.

≤ Identifique y tenga disponible los contactos para las

comunicaciones, incluyendo al equipo de respuesta, los
proveedores de internet, responsables del Centro de
Ciberseguridad para Activos Críticos Nacionales, responsables
de las fuerzas armadas, responsables del sector, servicios
externos de forense digital, entre otros.

Responsable
Alta Dirección

9
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

1.2 Implementar medidas preventivas

≤ Proteger los servicios publicados o expuestos en redes

públicas, como el correo electrónico, el portal Web, servicios
DNS entre otros, a través del uso de componentes de
protección perimetral y de aplicaciones, tales como Firewall
de red y aplicaciones, Sistemas de prevención de intrusos
(IPS), Sistemas anti denegación de servicios, entre otros.

≤ Documentar y garantizar el acceso adecuado a toda la

información necesaria para el análisis y entendimiento del
incidente y su respectivo impacto, tales como las
asignaciones de las direcciones IP, los diagramas de
arquitectura de red, los diagramas de flujos de datos, las
configuraciones de enrutamiento, las configuraciones de

Fase 1 PLANIFICACIÓN
dispositivos de red y seguridad, los detalles de hardware y
software, la lista blanca de dirección IP (internas y externas)
incluyendo los protocolos que se deben permitir.

≤ Incluir en la etapa de diseño de proyectos de cambios o

nuevos servicios, las técnicas de mitigación de ataques de
denegación de servicio (DoS), como la “depuración” en el
diseño de las redes, y el uso de diferentes rangos de IP para
los diferentes servicios basándose en su criticidad.

≤ Fortalecer las configuraciones de los componentes de su

infraestructura (red, servidores, aplicaciones y sistemas
operativos) que podrían verse afectadas por un ataque de
denegación de servicio (DoS), por ejemplo:

• Utilice desafíos HTTP / HTTPS JavaScript para reconocer a

los clientes legítimos basados en el navegador;

• Emplee las mejores prácticas al configurar el tiempo de

vida de DNS (TTL);

• Emplee límites para administrar el ancho de banda

disponible por servicio;

• Deshabilite las consultas de DNS recursivas,

principalmente utilizados por los atacantes para lanzar
ataques de envenenamiento DoS y caché.

Responsable
Gestor de Ciberseguridad

10
PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

1.3 Definir parámetros para la detección

≤ Definir indicadores para la detección de eventos anómalos

relacionados al ataque de denegación de servicio (DoS),
basándose en el tráfico promedio y el límite máximo tolerable,
por ejemplo:

Parámetro Promedio Límite máximo

Ancho de banda - Internet 1 50 % 80 %

Ancho de banda - Internet 2 25 % 50%

Ancho de banda - WAN 65 % 85 %

1200 MB 2800 MB /
Tráfico Web
/ hora hora
5 MB /
Tráfico DNS 8 MB / hora
hora
Fase 1 PLANIFICACIÓN

500 MB /
Tráfico E-mail 700 MB / hora
hora

≤ Definir la estructura de los registros o log’s que son necesarios

habilitar en los componentes de infraestructura (servidores,
routers, entre otros), protección perimetral (firewall, IPS, entre
otros) y sondas de detección que permitan obtener visibilidad
de las conexiones (IP origen,IP destino, protocolo), volumen de
tráfico, entre otros.

≤ Configurar y analizar los eventos anómalos que pasan a través

del tráfico saliente, principalmente en los protocolos IRC, P2P y
HTTPS, y en la medida de lo posible mantener bloqueado los
protocolos IRC y P2P.

Responsable
Gestor de Ciberseguridad

11
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

Fase Nro.2

DETECCIÓN

12
PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

2.1 Detectar el incidente

≤ Monitorear y detectar oportunamente todos los eventos

anómalos dentro del tráfico entrante de red, considerando, por
ejemplo:

• Paquetes desconocidos o no identificados que vengan

desde orígenes desconocidos;

• Incremento en el volumen de los datos encriptado;

• Incremento anómalo en el uso del ancho de banda;

• Tráfico desconocido o no identificado proveniente desde

internet.

≤ Revisar y analizar las alertas de los componentes de seguridad

perimetral (Firewall, IPS, Sistemas anti DDoS, entre otros) para
identificar posibles ataques de denegación de servicio (DDoS),
por ejemplo, ICMP flood, Smurf attacks, SYN flood attacks, UDP
flood attacks, DNS amplification attacks, SIP INVITE flood
attacks, Encrypted SSL DDoS attacks, Slowloris y Zero-Day DDoS
Attacks.
Fase 2 DETECCIÓN

≤ Revisar y analizar las notificaciones provenientes de los

proveedores de servicios de ciberseguridad, proveedores de
internet, centro de ciberseguridad para ACN u otras
organizaciones como socios de negocio, sectores, entre otros.

≤ Revisar y analizar en las fuentes de inteligencia de amenazas

las nuevas tendencias en relación a los ataques de denegación
de servicio (DoS), considerando las nuevas amenazas o
variantes en la pre existentes, nuevas vulnerabilidades o
incidentes en el contexto nacional e internacional.
≤
Responsable
Encargado del monitoreo de eventos
de ciberseguridad.

13
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

Fase Nro.3

RESPUESTA

14
PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

3.1 Evaluar el incidente

≤ Categorizar el incidente de ciberseguridad, en base al análisis

del comportamiento, como un ataque de denegación de
servicio (DoS).

≤ Determinar el nivel de criticidad o severidad del incidente,

considerando por ejemplo las siguientes actividades:

• Determinar si los productos, bienes o servicios afectados

por el ciberataque son críticos para el desarrollo de la
capacidad nacional;

• Verificar si los clientes se ven o perciben afectados por el

ciberataque;

• Verificar si la salud y seguridad de las personas ha sido

afectada;

• Identificar si se ha perdido el control, registro, medición o

seguimiento del inventario, productos, dinero o ingresos;

• Determinar el peor impacto de no poderse contener el

incidente.
Fase 3 RESPUESTA

≤ Tomar como referencia la escala de criticidad del protocolo de

Soporte de Respuesta ante Incidentes – DINI.
≤
Responsable
Gestor de Incidentes

≤
3.2 Analizar el incidente

≤ Obtener y analizar distintas fuentes la información y datos

necesarios para poder comprender detalles del ciberataque,
considerando, por ejemplo:

• Identificar el flujo del ciberataque, determinando si usted

es el objetivo, una víctima colateral o una parte
comprometida;

• Investigar cuales son los productos, bienes o servicios que

se ven afectados por el ciberataque;

15
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

• Identificar los sistemas que han sufrido interrupciones,

degradaciones o se encuentran en riesgo;

• Determinar si el origen del ciberataque, considerando las

direcciones IP, su geolocalización, los protocolos, los
puertos utilizados y si es posible si la entidad que ejecuto
el ciberataque es conocida;

• Consultar con su proveedor de internet para identificar las

direcciones IP comprometidas, y solicite un informe de las
direcciones IP orígenes para detectar rangos
sospechosos;

• Verificar si hubo alguna advertencia o amenaza

potencial emitida antes del ciberataque.

≤ Comunicar el estado del incidente utilizando el protocolo de

escalamiento según la criticidad del mismo, notificar al
Centro de Seguridad Digital (CSD) para ACN.

Fase 3 RESPUESTA
≤ Ejecutar el plan de respuesta específico para este tipo de
incidente de ataque de denegación de servicio (DoS), y
continuar con las actividades contención y erradicación.

Responsable
Equipo de Respuesta de Incidente

3.3 Contener el incidente

≤ Identificar qué tráfico descartar o permitir según el historial de

origen del tráfico malicioso o legítimo y en la medida de lo
posible utilice soluciones de inteligencia de amenazas.

≤ Bloquear el tráfico malicioso en su red bloqueando IP de

origen malicioso (inclusive dependiendo el caso podría
generar una lista blanca o negra de países permitidos),
protocolos o puertos específicos en los componentes de
seguridad perimetral, y configure filtros de salida para
bloquear el tráfico que sus sistemas pueden enviar en
respuesta al tráfico DDoS (por ejemplo, tráfico de retroceso).

16
PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

≤ Contactar y solicitar a su proveedor de internet que bloquee el

tráfico malicioso identificado.

≤ Finalizar las conexiones o servicios no deseados en los

servidores y equipos de comunicaciones; y siempre y cuando el
sistema afectado no esté directamente relacionado al Activo
Crítico Nacional, apague el servidor, cierre las aplicaciones o
las características particulares.

≤ Si el ataque de DoS ha comprometido una vulnerabilidad en los

sistemas (servidores, aplicaciones, redes y componentes de
seguridad), hasta que el sistema sea parcheado utilice en la
medida de lo posible alternativas como firewalls de
aplicaciones (WAF), sistemas de prevención de intrusos de host
(HIPS) o parches virtuales.

≤ Si es posible y, si es necesario, invoque su plan de continuidad

de negocio y procedimiento de recuperación ante desastres
para cambiar sus operaciones de TI a sitios alternativos.

Responsable
Equipo de Respuesta de Incidente
Fase 3 RESPUESTA

3.4 Recolectar evidencias

≤ Realizar copias de los archivos log’s de los servidores, redes y

componentes de seguridad perimetral que se vean afectados
como evidencia forense.

≤ Capturar y analizar los paquetes entrantes a los sistemas

afectados para identificar direcciones IP, puertos, protocolo,
geolocalización, agentes, carga útil e indicadores de
paquetes.

≤ Realice la captura de paquetes a bajo nivel utilizando un puerto

espejo, para ayudar a obtener mayor información del
incidente.

Responsable
Equipo de Respuesta de Incidente

17
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

3.5 Realizar análisis forense

≤ Con toda la información recolectada, realice el análisis

forense de la amenaza, identificando, por ejemplo:

• El vector de ciberataque y su naturaleza (ataques

volumétricos, asimétrico, computacional o basado en
vulnerabilidades);

• Los tipos de paquetes utilizados;

• El objetivo, intención y motivación del ciberataque;

• El uso de software de acoplamiento, como un troyano de

acceso remoto con un exploit;

• Los procesos para que el atacante pueda dirigir

Fase 3 RESPUESTA
actividades y acciones desde una máquina host;

• Las actividades originadas en la etapa C2, dirigidas

contra un objetivo u otros hosts;

• El posible actor o fuente de origen del ciberataque,

determinando sus capacidades.

Responsable
Equipo de Respuesta de Incidente

3.6 Comunicar a los interesados

≤ Reportar el incidente a la alta dirección, a su sector y al

Centro de Seguridad Digital para los Activos Críticos
Nacionales.

≤ Ejecutar el programa de comunicación y, siempre y cuando

sea necesario, maneje las relaciones públicas para evitar
daños de reputación.

Responsable
Gestor de Incidente

18
PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

3.7 Erradicar el incidente

≤ Gestionar e instalar los parches de seguridad en los sistemas,

servidores y equipos de comunicaciones afectados para
mitigar la explotación de las vulnerabilidades relacionadas al
ciberataque.

≤ Realizar configuraciones personalizadas de seguridad en los

servidores y aplicaciones, configure segmentos de red o
implemente todos los controles posibles en los sistemas,
servidores, equipos de comunicaciones o componentes de
seguridad perimetral.

Responsable
Equipo de Respuesta de Incidente

3.8 Recupere el servicio

≤ Evaluar y verificar que el ataque de denegación de servicio

(DoS) haya finalizado y que todos los servicios sean accesibles
Fase 3 RESPUESTA

nuevamente.

≤ Asegurar que el rendimiento de sus sistemas esté dentro de su

línea base esperada y que cualquier medida de mitigación
implementada, como el bloqueo de tráfico, apagado de
servidores o servicios, entre otras cosas, se reviertan.

≤ En caso de ejecución del plan de continuidad de negocio y

procedimiento de recuperación ante desastres para cambiar
sus operaciones de TI a sitios alternativos, realizar la
transferencia de los servicios al sitio principal.

Responsable
Encargados de los Sistemas IT/OT y
encargados de la continuidad del negocio

19
 PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DoS)

3.9 Cierrar el caso y mejorar el proceso

≤ Cerrar el incidente y generar el informe correspondiente,

considerando, por ejemplo:

• Los servidores, aplicaciones y equipos de

comunicaciones afectados;

• El impacto sobre el Activo Crítico Nacional ocasionado

por la materialización del incidente;

• La identificación de las herramientas utilizadas y los puntos

de compromiso (IoC) empleados para detectar el
ciberataque;

• El desarrollo de las actividades de contención,

erradicación y recuperación empleadas para el cierre

Fase 3 RESPUESTA
del caso;

• Si es posible, la identificación del actor o fuente del

incidente considerando su intenciones, motivaciones y
capacidades.

≤ Revise el incidente desde el principio e identifique todas las

lecciones aprendidas, considerando, por ejemplo:

• La mejora en los procesos de gestión de vulnerabilidades,

control de cambios y control en las configuraciones;

• El empleo de los puntos de compromiso (IoC) en el

proceso de detección;

• De ser necesario y factible la adquisición de servicios

externos dedicados en la mitigación de DDoS e
implementación de controles adicionales, como firewalls
de aplicaciones (WAF), sistemas de prevención de
intrusos de host (HIPS), entre otros.

Responsable
Gestor de Incidente

20
PLAYBOOK | Respuesta ante ataques de
denegación de servicio (DDoS)

El presente marco ha sido elaborado por la

Dirección Nacional de Inteligencia, para uso
exclusivo de las entidades públicas y privadas, que
de acuerdo con el D.S. N° 106-2017-PCM son
catalogadas como Operadoras de Activos Críticos
Nacionales (ACN).

@ 2020 Dirección Nacional de Inteligencia

21