Guía de respuesta

a incidentes
Los 10 pasos para crear un plan de respuesta
a ciberincidentes efectivo

"Antes que nada, la preparación es la clave del éxito".

Alexander Graham Bell
Guía de respuesta a incidentes

¿Cuál es la mejor forma de evitar que un ciberataque acabe en una infracción de seguridad?
Prepararse por adelantado.

Después de sufrir una infracción, las empresas suelen darse cuenta de que podrían haber
evitado muchos costes, molestias e interrupciones si hubieran contado con un plan de
respuesta a incidentes efectivo.

El objetivo de esta guía es ayudarle a definir el marco para la planificación de una respuesta
a incidentes de ciberseguridad que le ofrezca las mejores posibilidades de vencer a un
adversario. Estas recomendaciones están basadas en experiencias del mundo real de los
equipos de Sophos Managed Detection and Response y Sophos Rapid Response, que cuentan
con miles de horas de experiencia en la gestión de ciberataques.

Plan de respuesta a incidentes de ciberseguridad

Un plan de respuesta a incidentes efectivo consta de 10 pasos principales.

Marco del plan de respuesta a incidentes

1. Determinar a las partes interesadas clave 6. Implementar el control de acceso

2. Identificar los recursos críticos 7. Invertir en herramientas de investigación

3. Realizar ejercicios de simulación 8. Establecer acciones de respuesta

4. Desplegar herramientas de protección 9. Organizar formación de concienciación

10. Contratar un servicio de seguridad

5. Garantizar la máxima visibilidad
gestionado

2
Guía de respuesta a incidentes

1. Determinar las partes interesadas clave

Prepararse correctamente para un posible incidente de seguridad no es responsabilidad exclusiva
de su equipo de seguridad. De hecho, es probable que el incidente afecte a casi todos los departamentos
de su empresa, especialmente si este incidente acaba en una infracción de seguridad a gran escala.
Para coordinar una respuesta de forma adecuada, primero debe determinar a quiénes debe implicar.
Esto suele incluir a representantes de los equipos directivo, de seguridad, de TI, jurídico y de relaciones públicas.

Saber quiénes deben sentarse a la mesa e involucrarse en los ejercicios de planificación de su empresa es
algo que debe determinarse de antemano. Asimismo, es necesario establecer un método de comunicación
para garantizar una respuesta rápida. Esto debe tener en cuenta la posibilidad de que sus canales de
comunicación habituales (por ejemplo, el correo electrónico corporativo) se vean afectados por el incidente.

2. Identificar los recursos críticos

A fin de determinar el alcance y el impacto de un ataque, su empresa debe identificar primero sus recursos
más prioritarios. Definir sus recursos de mayor prioridad no solo le ayudará a determinar su estrategia
de protección, sino que también hará que sea mucho más sencillo determinar el alcance y el impacto
de un ataque. Además, al identificar estos de antemano, su equipo de respuesta a incidentes podrá centrarse
en los recursos más críticos durante un ataque, lo que minimizará la interrupción del negocio.

3. Realizar ejercicios de simulación

La respuesta a incidentes es como muchas otras disciplinas: la práctica hace al maestro. Aunque es difícil
reproducir plenamente la presión intensa a la que se verá sujeto su equipo durante una posible infracción,
los ejercicios prácticos garantizan una respuesta más coordinada y efectiva cuando se produzca una situación
real. Es importante no solo realizar ejercicios de simulación técnica (con frecuencia como parte de un
simulacro del equipo rojo), sino también ejercicios más amplios que incluyan a las distintas partes interesadas
de la empresa identificadas previamente.

Los ejercicios de simulación deben poner a prueba sus respuestas organizativas ante una serie de posibles
escenarios de respuesta a incidentes. Cada uno de estos escenarios también podría incluir a partes
interesadas ajenas al equipo técnico inmediato. Su empresa tiene que determinar de antemano a quién
se debe informar al detectarse un ataque, aunque este se detenga con éxito.

Estos son algunos escenarios comunes de respuesta a incidentes:

Ì Adversario activo detectado dentro de su red: en estos casos, es fundamental que el equipo de respuesta
determine cómo ha podido infiltrarse el atacante en su entorno, qué herramientas y técnicas ha utilizado,
qué se ha atacado y si ha establecido persistencia. Esta información ayudará a determinar la línea de acción
adecuada para neutralizar el ataque.
Aunque expulsar al adversario inmediatamente del entorno podría parecer una medida evidente, algunos
equipos de seguridad optan por esperar y observar al atacante para obtener información importante que
les ayude a establecer qué está intentando conseguir y qué métodos está utilizando para conseguirlo.

Ì Filtración de datos lograda: si se detecta que se ha producido una filtración de datos, su equipo debe poder
determinar qué se ha exfiltrado y cómo. Esta es la información en que se basará la respuesta adecuada,
incluyendo la posible necesidad de considerar el impacto en las políticas normativas y de cumplimiento,
si hay que contactar con los clientes, y la posible implicación de las autoridades judiciales o policiales.
Ì Ataque de ransomware logrado: si se han cifrado datos y sistemas críticos, su equipo debe seguir un plan para
recuperar estas pérdidas lo más rápido posible. Debe incluir un proceso para restaurar los sistemas a partir
de copias de seguridad. Para asegurarse de que el ataque no se repita al restablecer la conexión, el equipo debe
investigar si se ha cortado el acceso al adversario. Además, la empresa debe determinar si está dispuesta
a pagar un rescate en situaciones extremas y, en caso afirmativo, cuánto estaría dispuesta a gastar.
Ì Sistema de alta prioridad comprometido: si un sistema prioritario se ve comprometido, es posible que
su empresa no pueda seguir operando normalmente. Además de todos los pasos necesarios como
parte de un plan de respuesta a incidentes, su empresa también debe considerar la opción de establecer
un plan de recuperación empresarial para garantizar un impacto mínimo en este tipo de escenario.

3
Guía de respuesta a incidentes

4. Desplegar herramientas de protección

La mejor forma de hacer frente a un incidente es protegerse de él antes de que ocurra. Asegúrese de que su
empresa cuenta con una protección adecuada para endpoints, redes, servidores, la nube, dispositivos móviles
y el correo electrónico.

5. Asegurarse de que tiene la máxima visibilidad

Sin la visibilidad adecuada de lo que ocurre durante un ataque, a su empresa le costará responder
adecuadamente. Antes de que se produzca un ataque, los equipos de TI y seguridad deben asegurarse de que
tienen la capacidad para comprender el alcance y el impacto del mismo, lo que incluye determinar los puntos
de entrada y los puntos de persistencia del adversario. Una visibilidad adecuada incluye la recopilación
de datos de registro, con énfasis en los datos de los endpoints y la red. Puesto que muchos ataques tardan
días o semanas en detectarse, es importante disponer de datos históricos de los días y las semanas
(incluso los meses) anteriores para investigar. También debe asegurarse de que estos datos se guardan en
copias de seguridad para poder acceder a ellos durante un incidente activo.

6. Implementar el control de acceso

Los atacantes pueden aprovechar un control de acceso débil para infiltrarse en las defensas de su empresa y
aumentar sus privilegios. Compruebe de forma periódica que tiene implementados los controles necesarios para
establecer el control de acceso. Esto incluye, sin limitarse a ello, desplegar la autenticación multifactor, limitar los
privilegios de administrador al menor número posible de cuentas (siguiendo el principio del mínimo privilegio),
cambiar las contraseñas predeterminadas y reducir la cantidad de puntos de acceso que debe supervisar.

7. Invertir en herramientas de investigación

Además de asegurarse de que tiene una visibilidad adecuada, su empresa debe invertir en herramientas que
ofrezcan el contexto necesario durante una investigación.

Algunas de las herramientas más comunes utilizadas para la respuesta a incidentes son la detección y respuesta
para endpoints (EDR) y la detección y respuesta ampliadas (XDR), que le permiten realizar búsquedas en todo su
entorno para detectar indicadores de peligro (IOC) e indicadores de ataque (IOA). Las herramientas de EDR ayudan a
los analistas a identificar los recursos que se han visto comprometidos, lo que a su vez ayuda a determinar el impac-
to y el alcance de un ataque. Cuantos más datos se recopilen (de endpoints y otros recursos), más contexto estará
disponible durante la investigación. Con una visibilidad más amplia, su equipo podrá determinar no solo el objetivo de
los atacantes, sino también cómo consiguieron entrar en el entorno y si aún tienen la capacidad de hacerlo.

Además de las herramientas de EDR, los equipos de seguridad avanzados también podrían desplegar una solución
de orquestación, automatización y respuesta de seguridad (SOAR) que ayude en los flujos de trabajo de respuesta.

8. Establecer acciones de respuesta

Detectar un ataque es solo una parte del proceso. Para poder responder correctamente a un ataque,
sus equipos de TI y seguridad deben asegurarse de que tienen la capacidad de tomar una amplia gama
de medidas correctivas para interrumpir y neutralizar al atacante. Las acciones de respuesta son, entre otras:

Ì Aislar los hosts afectados

Ì Bloquear archivos, procesos y programas maliciosos
Ì Bloquear actividad de comando y control (C2) y de sitios web maliciosos
Ì Congelar cuentas comprometidas y cortar el acceso a los atacantes
Ì Limpiar los artefactos y las herramientas del adversario
Ì Cerrar los puntos de entrada y las áreas de persistencia utilizados por los atacantes (internos y de terceros)
Ì Ajustar configuraciones (políticas de amenazas, habilitar seguridad para endpoints
y EDR en dispositivos desprotegidos, ajustar exclusiones, etc.)
Ì Restaurar los recursos afectados mediante copias de seguridad sin conexión

4
Guía de respuesta a incidentes

9. Organizar formación de concienciación

Aunque no existirá nunca ningún programa de formación 100 % efectivo contra un determinado adversario,
los programas de formación (p. ej., concienciación sobre el phishing) ayudan a reducir su nivel de riesgo
y limitan el número de alertas a las que debe responder su equipo. Utilizar herramientas para simular ataques
de phishing ofrece a su plantilla una forma segura de experimentar (o posiblemente sucumbir a) uno de ellos.
Inscriba en módulos formativos a quienes no superen las simulaciones, e identifique usuarios de riesgo que
pueden necesitar más formación.

10. Contratar un servicio de seguridad gestionado

Muchas empresas no están equipadas para enfrentarse a incidentes por su cuenta. Para ofrecer
una respuesta veloz y efectiva se requieren operadores de seguridad experimentados. Para asegurarse
de que puede responder de la forma adecuada, considere la posibilidad de trabajar con un recurso externo
como un proveedor de detección y respuesta gestionadas (MDR).

Los proveedores de MDR ofrecen un servicio gestionado de búsqueda de amenazas, investigación y respuesta
a incidentes 24/7. Los servicios de MDR no solo ayudan a su empresa a responder a incidentes antes
de que se conviertan en infracciones, sino que también trabajan para reducir la probabilidad de que se
produzca un incidente de entrada. Los servicios de MDR se están volviendo muy populares: según Gartner*,
para el 2025, el 50 % de las organizaciones utilizará servicios de MDR (en 2019, la cifra era inferior al 5 %).

En ocasiones, después de un incidente también se mantienen servicios de respuesta a incidentes

con datos forenses (DFIR) para recopilar pruebas en apoyo de demandas judiciales o de seguros.

Resumen
Cuando se produce un incidente de ciberseguridad, el tiempo es un factor esencial. Contar con un plan
de respuesta bien preparado y bien entendido que todas las partes clave puedan ejecutar de forma inmediata
reduce enormemente el impacto de un ataque en una empresa.

5
Guía de respuesta a incidentes

Cómo puede ayudar Sophos

Servicio Sophos Managed Detection and Response (MDR)
Sophos Managed Detection and Response (MDR) es un servicio totalmente gestionado prestado por
un equipo de expertos que ofrece funciones de búsqueda, detección y respuesta a amenazas 24/7.
Más allá de la simple notificación de ataques o comportamientos sospechosos, el equipo de Sophos MDR adopta
medidas específicas en su nombre para neutralizar incluso las amenazas más sofisticadas y complejas.

El equipo de Sophos MDR de cazadores de amenazas y expertos en respuesta se dedican a:

Ì Buscar y validar de forma proactiva posibles amenazas e incidentes

Ì Utilizar toda la información disponible para determinar el alcance y la gravedad de las amenazas
Ì Aplicar el contexto empresarial adecuado para las amenazas válidas
Ì Iniciar acciones para interrumpir, contener y neutralizar amenazas de forma remota
Ì Brindar asesoramiento práctico para abordar las causas raíz de los incidentes recurrentes
Más información en es.sophos.com/mdr

Servicio Sophos Rapid Response

Sophos Rapid Response es un servicio prestado por un equipo experto de gestores de respuesta que proporciona
una asistencia ultrarrápida con identificación y neutralización de amenazas activas contra empresas.
La incorporación empieza en cuestión de horas, y la mayoría de clientes son clasificados en un plazo
de 48 horas. El servicio está disponible tanto para los actuales clientes de Sophos como para los que no lo son.

El equipo de Sophos Rapid Response está compuesto por gestores de respuesta a incidentes,
analistas de amenazas y cazadores de amenazas que:

Ì Toman medidas rápidamente para clasificar, contener y neutralizar las amenazas activas
Ì Expulsan a los adversarios de su entorno para evitar más daños a sus recursos
Ì Realizan una supervisión y respuesta 24/7 para mejorar su protección
Ì Recomiendan acciones preventivas en tiempo real para abordar la causa raíz de un ataque
Ì Proporcionan un resumen detallado de la amenaza posterior al incidente que describe la investigación
Más información en es.sophos.com/rapidresponse

Sophos XDR
Sophos XDR es la única solución XDR del sector que sincroniza la protección nativa de endpoints, servidores,
firewalls, correo electrónico, la nube y M365. Obtenga una visión holística del entorno de su organización con
conjuntos de datos exhaustivos y un análisis profundo para la detección, investigación y respuesta
a las amenazas, tanto para los equipos SOC dedicados como para los administradores de TI.

Más información y evaluación gratuita en es.sophos.com/xdr

* Gartner, Guía de mercado de servicios de detección y respuesta gestionados, 26 de agosto de 2020; Analistas: Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson y
Mitchell Schneider

Ventas en España: Ventas en América Latina:

Tel.: (+34) 91 375 67 56 Email: Latamsales@sophos.com
Email: comercialES@sophos.com

© Copyright 2022. Sophos Ltd. Todos los derechos reservados.

Constituida en Inglaterra y Gales N.º 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los demás productos y empresas mencionados son marcas comerciales
o registradas de sus respectivos propietarios.

22-08-08 WPES (PC)