Actividad evaluativa Eje 2

Gestión del Riesgo y Gestión de Incidentes

Juan Rafael Gallego Vasco

Fundación Universitaria AREANDINA

SISTEMAS DE GESTION DE SEGURIDAD
2023
 Introducción

En el mundo actual, las amenazas cibernéticas representan un desafío constante

para las empresas y organizaciones. La empresa "JRAS Sistemas y
Comunicaciones" no es una excepción a esta creciente preocupación por la
seguridad en línea. En un día aparentemente normal, la compañía se vio sumida
en una crisis de ciberseguridad cuando sufrió un devastador ataque de
ransomware WannaCry. Este incidente paralizó sus operaciones al bloquear el
acceso a sus bases de datos críticas, dejando a la empresa en una situación
delicada. Los cibercriminales detrás de este ataque no solo interrumpieron la
continuidad del negocio, sino que también exigieron un rescate en forma de 1300$
en Bitcoin para la liberación de la información vital de la compañía. Este caso
plantea una serie de desafíos que requieren una respuesta inmediata y coordinada
por parte del departamento de Tecnologías de la Información (TI) y de seguridad
cibernética de "JRAS Sistemas y Comunicaciones". En esta narrativa,
exploraremos el contexto, los desafíos y las acciones necesarias para abordar
este incidente de ransomware.
CASO: La empresa “JRAS Sistemas y Comunicaciones” el día de hoy sufrió un
ataque de Ransomware Wannacry bloqueando las bases de datos de la
compañía, los cibercriminales solicitan como rescate de la información 1300$
Bitcoin.

1. ¿Usted como usuario que detecta el inconveniente y pertenece al

departamento de TI, cómo debe proceder? (sustente su respuesta).
R//:
La respuesta debe ser inmediata y seguir un protocolo de respuesta a incidentes
de seguridad:

1. Aislamiento: El primer paso crítico es aislar el sistema o sistemas

afectados lo más rápido posible para evitar que el ransomware se
propague. Esto implica desconectar físicamente o desactivar las máquinas
comprometidas de la red y, si es posible, apagar los servidores o
dispositivos afectados.
 Sustento: El aislamiento es esencial para prevenir la propagación del
ransomware a otros sistemas y limitar el daño. Los ransomwares
como WannaCry pueden propagarse rápidamente a través de la red,
por lo que es vital detener su expansión.
2. Notificación: Debo notificar de inmediato a los siguientes grupos:
 La alta dirección de la empresa: La alta dirección debe estar al tanto
del incidente, ya que tomará decisiones clave, como la posible
negociación del rescate.
 El equipo de seguridad de la empresa: El equipo de seguridad debe
estar involucrado desde el principio para investigar y mitigar el
incidente.
 Sustento: La notificación temprana permite que los responsables
tomen decisiones informadas y coordinen la respuesta de manera
efectiva.
 3. Análisis: Debo investigar cómo ocurrió el ataque de ransomware,
identificando la posible puerta de entrada del malware. Esto podría implicar
examinar registros de seguridad, identificar vectores de ataque y determinar
si se trata de un ataque dirigido o una infección oportunista.
 Sustento: Comprender cómo se produjo el ataque ayuda a cerrar las
brechas de seguridad y evitar futuros incidentes similares.
4. Evaluación de impacto: Debo evaluar el alcance del daño causado por el
ransomware. Esto incluye determinar qué datos se han cifrado y cuál es la
importancia de estos datos para la empresa.
 Sustento: La evaluación de impacto ayuda a priorizar la recuperación
y tomar decisiones sobre si se debe o no pagar el rescate.
5. Contención y eliminación: Tras aislar el ransomware, debo eliminarlo de
los sistemas afectados y restaurarlos desde copias de seguridad limpias.
 Sustento: La eliminación del ransomware y la restauración de los
sistemas son pasos esenciales para recuperar la operatividad de la
empresa.
6. Negociación (si es necesario): La decisión de si pagar o no el rescate es
compleja y debe ser evaluada cuidadosamente, involucrando a la alta
dirección y expertos en seguridad.
 Sustento: Pagar el rescate no garantiza la recuperación de los datos
y podría financiar futuros ataques. Sin embargo, en algunos casos,
puede ser la única opción viable para recuperar información crítica.
7. Prevención futura: Una vez resuelto el incidente, debo identificar las
vulnerabilidades y deficiencias que permitieron el ataque, y tomar medidas
para fortalecer la seguridad de la empresa.
 Sustento: La prevención es esencial para evitar futuros ataques de
ransomware y garantizar la seguridad de la empresa y sus datos.
En resumen, como usuario del departamento de TI, es crucial actuar con rapidez,
tomar medidas para detener la propagación del ransomware, notificar a las partes
relevantes, investigar el incidente, evaluar el impacto, eliminar el ransomware y, si
es necesario, considerar la negociación del rescate. Además, es fundamental
aprender de la experiencia para prevenir futuros ataques.

2. ¿Lo sucedido en la compañía se puede considerar como un incidente de

seguridad (Explique su respuesta)?

R//:
Sí, lo sucedido en la compañía "JRAS Sistemas y Comunicaciones" se puede
considerar claramente como un incidente de seguridad.

En resumen, un incidente de seguridad implica cualquier evento o acción que

tenga el potencial de comprometer la confidencialidad, integridad o disponibilidad
de los activos de información de una organización. En este caso, el ataque de
ransomware WannaCry afectó directamente la disponibilidad y la integridad de los
datos de la empresa, lo que lo convierte en un incidente de seguridad grave que
debe ser abordado de manera inmediata y adecuada.

3. ¿Por qué suceden este tipo de ataques?, ¿Existen formas de prevenirlos?

R//:
Los ataques de ransomware, como el caso del ransomware WannaCry, ocurren
por varias razones, y existen formas de prevenirlos o mitigar su impacto. Aquí hay
una explicación de por qué suceden estos ataques y cómo se pueden prevenir:
Razones por las que suceden ataques de ransomware:
1. Motivación financiera: Muchos atacantes utilizan ransomware como una
forma de obtener ganancias financieras. Al bloquear el acceso a los datos
críticos de una empresa, los ciberdelincuentes pueden exigir un rescate a
cambio de proporcionar una clave de descifrado. Esto puede ser lucrativo,
ya que algunas víctimas optan por pagar el rescate.
2. Vulnerabilidades no parcheadas: Los ciberdelincuentes a menudo
aprovechan vulnerabilidades conocidas en sistemas operativos y software
 para infectar sistemas. Si una organización no mantiene sus sistemas
actualizados y no aplica parches de seguridad, se vuelve más vulnerable a
los ataques de ransomware.
3. Ingeniería social: Los atacantes pueden utilizar técnicas de ingeniería
social para engañar a los empleados y hacer que descarguen o ejecuten
archivos maliciosos, abran correos electrónicos o hagan clic en enlaces
maliciosos. La falta de conciencia de seguridad de los empleados puede
facilitar la propagación del ransomware.
4. Falta de medidas de seguridad adecuadas: Las empresas que no
implementan medidas de seguridad adecuadas, como firewalls, antivirus,
soluciones de detección de amenazas avanzadas y políticas de seguridad
sólidas, están en mayor riesgo de sufrir ataques de ransomware.
Formas de prevenir los ataques de ransomware:
1. Mantener sistemas actualizados: Mantenga todos los sistemas operativos
y software actualizados con las últimas actualizaciones y parches de
seguridad. Esto es fundamental para cerrar las vulnerabilidades conocidas
que los atacantes pueden explotar.
2. Concientización y capacitación de empleados: Eduque a los empleados
sobre la conciencia de seguridad y cómo reconocer correos electrónicos y
sitios web maliciosos. Fomentar una cultura de seguridad es esencial para
prevenir ataques de ingeniería social.
3. Realizar copias de seguridad regulares: Realice copias de seguridad
regulares de los datos críticos y almacénelas fuera de línea o en
ubicaciones seguras. Esto permite restaurar datos sin pagar un rescate en
caso de un ataque exitoso.
4. Implementar medidas de seguridad avanzadas: Utilice soluciones de
seguridad avanzadas, como sistemas de detección de intrusiones, sistemas
de prevención de pérdida de datos (DLP) y antivirus de próxima generación.
5. Políticas de acceso y permisos adecuados: Implemente políticas de
acceso y permisos adecuados para restringir el acceso no autorizado a
 datos sensibles. Limitar quién puede acceder y modificar archivos críticos
puede ayudar a prevenir el acceso no autorizado.
6. Responder adecuadamente a incidentes: Desarrolle y practique un plan
de respuesta a incidentes que incluya cómo lidiar con ataques de
ransomware. Esto garantiza una respuesta rápida y efectiva si ocurre un
incidente.
7. Utilizar soluciones de seguridad dedicadas al ransomware: Existen
soluciones específicas de seguridad diseñadas para detectar y prevenir
ataques de ransomware. Considere implementar estas soluciones en su
infraestructura.
En resumen, aunque los ataques de ransomware pueden ser perjudiciales, hay
medidas que una organización puede tomar para reducir significativamente su
riesgo y proteger sus datos críticos. La prevención y la preparación son esenciales
en la lucha contra el ransomware
4. ¿Cuáles buenas prácticas recomienda para minimizar la posibilidad de que
suceda este tipo de eventos y si sucede minimizar el impacto?
R//:
Para minimizar la posibilidad de que ocurran ataques de ransomware y, en caso
de que ocurran, para reducir su impacto, aquí tienes algunas buenas prácticas que
puedes seguir:
Prevención:
1. Mantén sistemas y software actualizados: Aplica regularmente las
actualizaciones y parches de seguridad en todos los sistemas y software
utilizados en tu organización para cerrar posibles vulnerabilidades.
2. Educación y concienciación: Capacita a los empleados sobre las mejores
prácticas de seguridad cibernética. Enseña cómo reconocer correos
electrónicos y enlaces maliciosos y cómo actuar frente a amenazas.
3. Filtrado de correos electrónicos y bloqueo de sitios web maliciosos:
Utiliza soluciones de seguridad de correo electrónico y filtros web para
bloquear correos electrónicos y sitios web que puedan contener malware.
 4. Control de acceso y permisos: Limita los privilegios de acceso en función
de las necesidades del usuario. Los empleados solo deben tener acceso a
los recursos y archivos necesarios para realizar sus tareas.
5. Realiza copias de seguridad regulares: Realiza copias de seguridad de
todos los datos críticos y almacénalas en ubicaciones fuera de línea o en la
nube. Asegúrate de que las copias de seguridad sean accesibles y
recuperables.
Mitigación:
6. Plan de respuesta a incidentes: Desarrolla y practica un plan de
respuesta a incidentes que detalle cómo manejar un ataque de
ransomware. Esto incluye la identificación temprana, el aislamiento y la
notificación adecuada.
7. Desconexión de la red: En caso de un ataque, aísla de inmediato las
máquinas infectadas y desconéctalas de la red para evitar la propagación
del ransomware.
8. Evaluación de impacto: Evalúa el alcance del daño y la importancia de los
datos afectados. Esto te ayudará a tomar decisiones informadas sobre
cómo proceder.
9. No pagar el rescate sin consultoría: No se recomienda pagar el rescate,
ya que no garantiza la recuperación de los datos y puede fomentar más
ataques. Si se considera pagar, consulta con expertos en ciberseguridad.
10. Restauración desde copias de seguridad: Utiliza copias de seguridad
limpias y seguras para restaurar los sistemas afectados. Asegúrate de que
los sistemas estén actualizados y seguros antes de volver a conectarlos a
la red.
11. Análisis forense: Realiza un análisis forense para determinar cómo ocurrió
el ataque y para recopilar evidencia que pueda ser útil para futuras
investigaciones y acciones legales.
12. Notificación a las autoridades: Cumple con las regulaciones locales y
notifica a las autoridades competentes sobre el ataque, si es necesario.
 13. Mejora de la seguridad: Después del incidente, realiza mejoras en la
seguridad de la organización, como implementar soluciones de seguridad
adicionales, actualizar políticas y procedimientos, y reforzar la conciencia
de seguridad entre los empleados.
La ciberseguridad es un esfuerzo continuo y constante. La prevención y la
preparación adecuadas pueden ayudar a minimizar el riesgo de ataques de
ransomware y reducir el impacto en caso de que ocurran.

6. ¿Qué son los Bitcoin?, ¿el Bitcoin es legal en Colombia?, ¿por qué los
ciberdelincuentes piden rescates en Bitcoin (sustente sus respuestas)?
R//:
¿Qué son los Bitcoin?
Los Bitcoins son una forma de criptomoneda digital descentralizada. Son unidades
de valor digital que se utilizan para llevar a cabo transacciones en línea. Lo que
hace que Bitcoin sea único es que no está respaldado por ningún gobierno o
entidad central. En su lugar, las transacciones de Bitcoin se registran en un libro
mayor público llamado blockchain, que es mantenido por una red de nodos de
computadoras distribuidos en todo el mundo. Bitcoin permite la transferencia de
valor de manera pseudónima y sin la necesidad de intermediarios financieros
tradicionales, como bancos.

¿Por qué los ciberdelincuentes piden rescates en Bitcoin?

Los ciberdelincuentes suelen pedir rescates en Bitcoin y otras criptomonedas por
varias razones:

Anonimato: Bitcoin permite cierto grado de anonimato en las transacciones. Las

direcciones de Bitcoin no están directamente vinculadas a la identidad de una
persona, lo que hace que sea difícil rastrear quién está detrás de una dirección de
Bitcoin. Esto proporciona a los delincuentes una capa adicional de ocultamiento.
Dificultad de rastreo: Las transacciones de Bitcoin se registran en la blockchain de
forma pública, pero las identidades de las partes involucradas en una transacción
no son necesariamente conocidas. Esto hace que sea complicado para las
autoridades rastrear y identificar a los ciberdelincuentes.

Facilidad de transferencia global: Bitcoin es una moneda digital que se puede

transferir a nivel global de manera rápida y relativamente sencilla. Los
ciberdelincuentes pueden recibir el rescate de víctimas de todo el mundo sin la
necesidad de intermediarios bancarios o fronteras.

Presión psicológica: Al exigir el pago en Bitcoin, los ciberdelincuentes crean una

sensación de urgencia en las víctimas, ya que las criptomonedas pueden facilitar
pagos rápidos y anónimos. Esto puede llevar a que algunas víctimas paguen el
rescate por temor a perder sus datos o servicios.

Falta de control gubernamental: Dado que Bitcoin no está controlado por un

gobierno central, los ciberdelincuentes pueden evitar sanciones gubernamentales
o confiscaciones de activos al utilizar criptomonedas.

Es importante destacar que pagar un rescate en Bitcoin no garantiza que los

ciberdelincuentes cumplan su parte y proporcionen una clave de descifrado.
Además, pagar un rescate contribuye al financiamiento de actividades criminales y
puede alentar a los atacantes a continuar realizando estos tipos de ataques. Por
esta razón, se desaconseja generalmente pagar rescates y se recomienda en su
lugar buscar la asistencia de expertos en ciberseguridad y las autoridades para
abordar el incidente

7. ¿Existen entidades estatales que brinden apoyo a los departamentos de TI

y a las que se pueda acudir en caso de estos cibersecuestros?, ¿cuáles?
Sí, en muchos países, incluyendo Colombia, existen entidades estatales y
gubernamentales que brindan apoyo a los departamentos de TI y a las empresas
en caso de cibersecuestros y otros incidentes de seguridad cibernética. Estas
entidades suelen ofrecer recursos, orientación y asistencia para ayudar a las
organizaciones a manejar y responder a estos incidentes. En Colombia, algunas
de las entidades relevantes son:
1. Policía Nacional de Colombia: La Policía Nacional de Colombia cuenta
con una unidad especializada en delitos cibernéticos que puede brindar
asesoramiento y apoyo en la investigación de incidentes de ciberseguridad.
2. Colombia CERT (ColCERT): El Centro de Respuesta a Incidentes de
Seguridad Informática de Colombia (ColCERT) es la entidad encargada de
coordinar la respuesta a incidentes de seguridad cibernética en el país.
Proporciona orientación y asesoramiento técnico para abordar incidentes.
3. Superintendencia de Industria y Comercio (SIC): La SIC es la entidad
gubernamental encargada de supervisar y regular asuntos relacionados con
la protección de datos personales y la privacidad en Colombia. En casos de
violaciones de datos, pueden proporcionar orientación sobre las
obligaciones legales de las empresas.
4. Ministerio de Tecnologías de la Información y las Comunicaciones
(MinTIC): El MinTIC puede ofrecer orientación y recursos relacionados con
la ciberseguridad y la protección de datos en el ámbito de las tecnologías
de la información y las comunicaciones.
5. Fiscalía General de la Nación: La Fiscalía puede estar involucrada en la
investigación y el enjuiciamiento de delitos cibernéticos, y puede colaborar
en casos de cibersecuestro y extorsión cibernética.
Es importante tener en cuenta que la respuesta a incidentes de ciberseguridad
suele ser un esfuerzo conjunto que involucra tanto a entidades gubernamentales
como a expertos en ciberseguridad del sector privado. Si una empresa o entidad
sufre un cibersecuestro o cualquier otro incidente de seguridad cibernética, es
aconsejable ponerse en contacto con las autoridades pertinentes y buscar la
asistencia de expertos en ciberseguridad para abordar el problema de manera
eficaz y legal.

Conclusiones

En conclusión, ante un ataque de ransomware como el que sufrió la empresa

"JRAS Sistemas y Comunicaciones," es crucial seguir un protocolo de respuesta a
incidentes de seguridad que incluye el aislamiento de los sistemas afectados,
notificación a las partes relevantes, análisis del incidente, evaluación del impacto,
eliminación del ransomware y, en caso necesario, consideración de la negociación
del rescate. Además, es fundamental aprender de la experiencia para fortalecer la
seguridad y prevenir futuros ataques.

El incidente en la compañía puede ser claramente considerado como un incidente

de seguridad, ya que comprometió la disponibilidad e integridad de los datos de la
empresa.

Los ataques de ransomware como WannaCry suceden debido a la motivación

financiera de los ciberdelincuentes, la explotación de vulnerabilidades, la
ingeniería social y la falta de medidas de seguridad adecuadas. Para prevenirlos,
es esencial mantener sistemas actualizados, educar a los empleados, realizar
copias de seguridad, implementar medidas de seguridad avanzadas y tener un
plan de respuesta a incidentes.
Bitcoin es una criptomoneda digital que se utiliza en ataques de ransomware
debido a su anonimato, dificultad de rastreo, facilidad de transferencia global,
presión psicológica y falta de control gubernamental.

En Colombia, existen varias entidades estatales que brindan apoyo en casos de

cibersecuestros, incluyendo la Policía Nacional, ColCERT, la Superintendencia de
Industria y Comercio, el Ministerio de Tecnologías de la Información y las
Comunicaciones, y la Fiscalía General de la Nación. La respuesta a incidentes de
ciberseguridad suele ser un esfuerzo conjunto entre estas entidades y expertos en
ciberseguridad del sector privado.