1

ACTIVIDAD EVALUATIVA EJE 2

Gestión del Riesgo y Gestión de Incidentes

MATERIA
SISTEMAS DE GESTION DE SEGURIDAD

DOCENTE
JUAN JOSE CRUZ GARZON

PRESENTADO POR
JORGE LEONARDO ORDOÑEZ
JUAN CARLOS PAEZ GOMEZ

FUNDACION UNIVERSITARIA DEL AREA ANDINA

MARZO 2021
 2

Contenido

Introducción .................................................................................................................................... 3
Objetivo General ............................................................................................................................. 3
Descripción del Taller ..................................................................................................................... 3
Actividad ......................................................................................................................................... 4
¿Usted como usuario que detecta el inconveniente y pertenece al departamento de TI, cómo
debe proceder? ............................................................................................................................ 4
¿Lo sucedido en la compañía se puede considerar como un incidente de seguridad? ................ 4
¿Por qué suceden este tipo de ataques?, ¿Existen formas de prevenirlos? ................................. 5
¿Cuáles buenas prácticas recomienda para minimizar la posibilidad de que suceda este tipo de
eventos y si sucede minimizar el impacto? ................................................................................. 5
¿Qué son los Bitcoin?, ¿el Bitcoin es legal en Colombia?, ¿por qué los ciberdelincuentes piden
rescates en Bitcoin ...................................................................................................................... 6
¿Existen entidades estatales que brinden apoyo a los departamentos de TI y a las que se pueda
acudir en caso de estos cibersecuestros?, ¿cuáles? ..................................................................... 7
Bibliografía ..................................................................................................................................... 8
 3

Introducción

En el desarrollo de esta actividad, se busca que el estudiante aborde el problema planteado en la

guía de trabajo #2 de Sistemas de Gestión de Seguridad, ¿Por qué es tan importante brindar
protección, privacidad y disponibilidad a la información?

Objetivo General

Comprender los conceptos y metodologías asociadas a la gestión del riesgo y a la gestión de

incidentes. Cordial saludo, el manejo de incidentes y riesgos a los que está expuesta la información,
son un factor determinante en la gestión de la seguridad de la misma.

Descripción del Taller

 Lea el caso propuesto.

 Genere opinión acerca del mismo.
 Analice los aportes y puntos de vista de los compañeros.
 Genere un debate frente a las diversas posturas (de manera respetuosa).

CASO: La empresa “JRAS Sistemas y Comunicaciones” el día de hoy sufrió un ataque de

Ransomware Wannacry bloqueando las bases de datos de la compañía, los cibercriminales
solicitan como rescate de la información 1300$ Bitcoin.

Preguntas:

 ¿Usted como usuario que detecta el inconveniente y pertenece al departamento de TI,

cómo debe proceder? (sustente su respuesta).
 ¿Lo sucedido en la compañía se puede considerar como un incidente de seguridad
(Explique su respuesta)?
 ¿Por qué suceden este tipo de ataques?, ¿Existen formas de prevenirlos?
 ¿Cuáles buenas prácticas recomienda para minimizar la posibilidad de que suceda este
tipo de eventos y si sucede minimizar el impacto?
 ¿Qué son los Bitcoin?, ¿el Bitcoin es legal en Colombia?, ¿por qué los ciberdelincuentes
piden rescates en Bitcoin (sustente sus respuestas)?
 ¿Existen entidades estatales que brinden apoyo a los departamentos de TI y a las que se
pueda acudir en caso de estos cibersecuestros?, ¿cuáles?
 4

Actividad

La empresa “JRAS Sistemas y Comunicaciones” el día de hoy sufrió un ataque de Ransomware

Wannacry bloqueando las bases de datos de la compañía, los cibercriminales solicitan como
rescate de la información 1300$ Bitcoin.

¿Usted como usuario que detecta el inconveniente y pertenece al departamento de TI, cómo debe
proceder?

Cuando se detecta un ataque de Ransomware, lo que se debe hacer es aislar los equipos infectados,
es decir, desconectarlos de la red o dejándolos en una VLAN restrictiva que no permita conectarse
a otras máquinas. Esto con el fin de tomar muestreo de las mismas para iniciar un proceso de
Informática Forense e identificar indicadores de compromiso, conexiones, usuarios, y cualquier
actividad que permita identificar los vectores de ataque y las vulnerabilidades para poder
remediarlas de manera inmediata.

Se deben revisar políticas a nivel de seguridad perimetral, protección de correo electrónico,

protección Endpoint, para identificar donde hubo la falla. Aplicar las políticas, actualización de
firmas, y/o controles necesarios para evitar propagación del malware en la red y la conexión
externa con el atacante.

En paralelo a eso, TI deberá buscar los Backups de los servidores para restablecer las bases de
datos afectadas, y así restablecer lo más pronto posible los servicios, atenuando el impacto
operacional y económico que de ello dependa.

¿Lo sucedido en la compañía se puede considerar como un incidente de seguridad?

Por supuesto, un malware que intercepta y burla cualquier sistema debe ser considerado incidente
de seguridad mayor, ya que se vio comprometida la Integridad, Confidencialidad, y Disponibilidad
de la Información y la infraestructura.

El ransomware WannaCry infecta las redes a través del exploit EternalBlue y apunta a la
vulnerabilidad Server Message Block en el sistema operativo Microsoft Windows. El ransomware
ha logrado penetrar en versiones anteriores de Windows en las que los operadores de red no
instalaron las actualizaciones recomendadas.

Una vez que WannaCry se propaga y se infiltra en una red, el ciberdelincuente cifra los datos de
los sistemas infectados, bloqueándolos del propietario legítimo. Los perpetradores obligan a las
víctimas a pagar un rescate para descifrar los datos y recuperar el acceso.
 5

¿Por qué suceden este tipo de ataques?, ¿Existen formas de prevenirlos?

Este tipo de ataques suceden por diversos factores, entre estos encontramos:

 No contar con Software Antivirus Endpoint licenciado o no actualizado.

 No contar con Software Antivirus EDR
 No contar con políticas de seguridad a nivel de Directorio activo o Antivirus endpoint,
que deshabiliten puertos para uso de medios de almacenamiento extraíbles.
 No contar con controles de seguridad a nivel de correo electrónico, como Proxy de
Correo, Anti APT (Sandbox + AntiSpam)
 No hay conciencia a nivel de usuarios de buenas prácticas responsables en uso de las
plataformas corporativas sobre todo correo electrónico, de no abrir correos sospechosos,
y menos si estos presentan archivos adjuntos o hipervínculos.
 Usuarios o empleados mal intesionados que aprovechan una brecha de seguridad, e
instalan el malware para hacer el daño a la compañía.
 Un departamento de TI con empleados poco profesionales o irresponsables que no
tomaron las medidas suficientes para evitar el ataque.

¿Cuáles buenas prácticas recomienda para minimizar la posibilidad de que suceda este tipo de
eventos y si sucede minimizar el impacto?

A continuación, detallamos una serie de recomendaciones básicas para el aseguramiento de

nuestros sistemas de información.

 Protection Perimetral (Firewall, WAF, IPS, IDS, Balanceador de carga)

 Protection Antivirus (Endpoint, EDR)
 Protección de Correo: Proxy (Email Gateway), Anti APT (Sandbox + AntiSpam)
 Servicios en DMZ
 Copias de respaldo (Backups)
 Limitar número de peticiones concurrentes.
 Establecer privilegios de usuarios a nivel de AD
 Bloqueo de recepción de documentos con Macros
 Software actualizado.
 Conexiones cifradas (VPN Site to Site , Client to Site)
 Servicios críticos no expuestos
 Auditorías internas constantes.
 Correlación de eventos, monitoreo y almacenamiento de logs.
 Monitoreo de plataforma (disponibilidad, recursos de hardware)
 Sensibilizar periódicamente en CiberSeguridad a los empleados de la compañía
 6

 Auditar constantemente los dispositivos, portales, y redes de acceso a Internet.

 Las plataformas de la compañía que están expuestas en internet (Web, FTP etc), deben
tener protecciones ante ataques de desbordamiento de Buffer, XSS, SQL Injection, MITM,
Defacement, DDoS, etc.
 Uso de contraseñas fuertes

¿Qué son los Bitcoin?, ¿el Bitcoin es legal en Colombia?, ¿por qué los ciberdelincuentes piden
rescates en Bitcoin

Bitcoin es la primera moneda descentralizada, son monedas digitales que se pueden enviar a través
de Internet. Los bitcoin son transferidos de persona a persona a traves de la red sin pasar por un
banco o intermediario, esto significa que las comisiones son mucho menores y se pueden usar en
cualquier país.

Cómo funciona?

Existen varias casas de cambio donde puedes comprar Bitcoins con Dólares, Euros, etc. Los
bitcoins se guardan en un monedero virtual (billetera o Wallet) en tu ordenador o dispositivo móvil.
La red de bitcoin se mantiene segura gracias a los llamados Mineros, los mineros son
recompensados con bitcoins por su trabajo verificando transacciones, una vez que las transacciones
son verificadas se almacenan permanentemente en la red

En Colombia hay 687 sitios en donde se pueden pagar productos y servicios con criptomonedas,
especialmente bitcoin, y la cifra sigue subiendo, así como las transacciones en ese criptoactivo,
que en 2020 llegaron a US$147 millones

Dichas operaciones se están realizando a través de plataformas de negociación como

Localbitcoins, Buda, Binance o Wallib, entre otras, y tienen como mecanismo común el registro
de compradores y vendedores con elementos de verificación de identidad y con trazabilidad en las
transacciones.

En Colombia no tenemos una norma de si las criptomonedas son un instrumento financiero, medio
de pago o un instrumento cambiario. Pero tributariamente sí hay concepto de que sus dueños tienen
que pagar impuestos y consignarlos dentro de la declaración de renta. La Dian sí los considera
gravable cuando se enajenen los criptoactivos.

El bitcoin al ser una moneda digital descentralizada, puede operar de manera anónima, permitiendo
a los cibercriminales almacenarla sin el riesgo de ser interceptados o que sus datos se vean
expuestos.
 7

¿Existen entidades estatales que brinden apoyo a los departamentos de TI y a las que se pueda
acudir en caso de estos cibersecuestros?, ¿cuáles?

Dentro de las entidades estatales de Ciberseguridad y Ciberdefensa encontramos:

 CCOC (Comando Conjunto Cibernético)

https://www.ccoc.mil.co/quienes_somos_ccoc_356

 CSIRT Policia Nacional.

https://cc-csirt.policia.gov.co/

 CSIRT Gobierno
https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/Estrategias/CSIRT-
Gobierno/

 CAI Virtual Policia Nacional

https://caivirtual.policia.gov.co/

 COLCERT
http://www.colcert.gov.co/

 PUMA Central de Interceptaciones Policía Nacional.

 Esperanza, Central de Interceptaciones Fiscalía General de la Nación.

Conclusiones

Toda organización debe garantizar la confidencialidad, la integridad, y la disponibilidad de su

información y su infraestructura tecnológica.

No se debe escatimar en dicha inversión ya que sin información y sin plataformas, ninguna
compañía funciona.

Es deber de los profesionales de TI, estar al tanto de las vulnerabilidades, las políticas, y la
organización de la red, esto para evitar por descuidos o irresponsabilidades, ataques que afecten la
información.
 8

Bibliografía

https://bitcoin.org/es/
https://www.forbes.com/advisor/investing/what-is-bitcoin/
https://www.forbes.com/crypto-blockchain/?sh=25cd6dec2b6e
https://www.portafolio.co/economia/finanzas/bitcoin-en-colombia-una-de-las-naciones-donde-
mas-se-negocia-la-criptomoneda-549372
https://especiales.dinero.com/bitcoin/index.html
https://www.kaspersky.es/resource-center/threats/ransomware-wannacry
https://latam.kaspersky.com/resource-center/threats/ransomware-wannacry
https://www.avast.com/es-es/c-wannacry
https://www.pandasecurity.com/es/security-info/wannacry/
https://www.imperva.com/learn/application-security/wannacry-ransomware/
https://www.avg.com/es/signal/wannacry-ransomware-what-you-need-to-know
https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/wannacry-ransomware/
https://www.proofpoint.com/es/glossary/wannacry
https://www.ccoc.mil.co/quienes_somos_ccoc_356
https://cc-csirt.policia.gov.co/
https://gobiernodigital.mintic.gov.co/seguridadyprivacidad/portal/Estrategias/CSIRT-Gobierno/
https://caivirtual.policia.gov.co/
http://www.colcert.gov.co/