10 tipos de incidentes de

seguridad y cómo
manejarlos
Los ciberataques son más variados que nunca. Conozca los
síntomas clave que indican un problema y cómo responder para
mantener seguros los sistemas y los datos.








por

 Linda Rosencrance

Publicado:23 jul 2019

Los incidentes de seguridad son eventos que pueden indicar que los
sistemas o los datos de una organización han sido comprometidos o
que las medidas implementadas para protegerlos han fallado.

En TI, un evento de seguridad es algo que tiene importancia para el

hardware o software del sistema, y un incidente es un evento que
interrumpe las operaciones normales. Los eventos de seguridad
generalmente se distinguen de los incidentes de seguridad por el
grado de gravedad y el riesgo potencial asociado para la organización.

Si a un solo usuario se le niega el acceso a un servicio solicitado, por

ejemplo, puede ser un evento de seguridad porque podría indicar un
sistema comprometido. Sin embargo, la falla de acceso también puede
ser causada por varias cosas. Normalmente, ese evento no tiene un
impacto severo en la organización.
Sin embargo, si a un gran número de usuarios se les niega el acceso,
es probable que haya un problema más grave, como un ataque de
denegación de servicio, por lo que ese evento puede clasificarse como
un incidente de seguridad.

Una brecha de seguridad es un incidente confirmado en el que se ha

accedido o divulgado de forma no autorizada información confidencial,
sensible o de otro modo protegida.

A diferencia de una violación de seguridad, un incidente de seguridad

no significa necesariamente que la información haya sido
comprometida, solo que la información fue amenazada. Por ejemplo,
una organización que frustra con éxito un ataque cibernético ha
experimentado un incidente de seguridad, pero no una violación.

Cómo detectar incidentes de seguridad

Casi todos los días hay un nuevo titular sobre una brecha de datos de
alto perfil u otro tipo de ataques. Pero hay muchos más incidentes que
pasan desapercibidos porque las organizaciones no saben cómo
detectarlos.

Aquí hay algunas formas en que las empresas pueden detectar

incidentes de seguridad:

 Comportamiento inusual de cuentas de usuario

privilegiadas. Cualquier anomalía en el comportamiento de una
cuenta de usuario privilegiado puede indicar que alguien la está
utilizando para ingresar a la red de una empresa.

 Empleados no autorizados que intentan acceder a servidores y

datos. Muchos empleados probarán las aguas para determinar
exactamente a qué sistemas y datos pueden acceder. Las señales
de advertencia incluyen a usuarios no autorizados que intentan
acceder a servidores y datos, solicitar acceso a datos que no están
relacionados con sus trabajos, iniciar sesión en momentos
 anormales desde ubicaciones inusuales o iniciar sesión desde
múltiples ubicaciones en un período de tiempo breve.

 Anomalías en el tráfico de la red de salida. No es solo el tráfico

que entra en una red lo que debería preocupar a las
organizaciones. Las organizaciones también deben monitorear el
tráfico que deja sus perímetros. Esto podría incluir empleados que
cargan archivos grandes a aplicaciones de nube personales;
descargan archivos grandes a dispositivos de almacenamiento
externos, como unidades flash USB; o enviando grandes
cantidades de mensajes de correo electrónico con archivos
adjuntos fuera de la empresa.

 Tráfico enviado hacia o desde lugares desconocidos. Para una

empresa que solo opera en un país, cualquier tráfico enviado a
otros países podría indicar actividad maliciosa. Los administradores
deben investigar cualquier tráfico a redes desconocidas para
asegurarse de que es legítimo.

 Consumo excesivo. Un aumento en el rendimiento de la memoria

del servidor o los discos duros puede significar que un atacante los
esté accediendo ilegalmente.

 Cambios en la configuración. Los cambios que no se han

aprobado, como la reconfiguración de servicios, la instalación de
programas de inicio o los cambios en el firewall son una señal de
posible actividad maliciosa. Lo mismo ocurre con las tareas
programadas que se han agregado.

 Archivos ocultos. Estos pueden considerarse sospechosos

debido a sus nombres de archivos, tamaños o ubicaciones, que
indican que los datos o registros pueden haberse filtrado.

 Cambios inesperados. Estos incluyen bloqueos de cuentas de

usuario, cambios de contraseña o cambios repentinos en las
membresías de grupos.
 Comportamiento anormal de navegación. Esto podría ser
redirecciones inesperadas, cambios en la configuración del
navegador o ventanas emergentes repetidas.

 Entradas de registro sospechosas. Esto sucede principalmente

cuando el malware infecta los sistemas de Windows. Es una de las
principales formas en que el malware garantiza que permanece en
el sistema infectado.
Vectores de ataque comunes
Un vector de ataque es una ruta o medio por el cual un hacker puede
obtener acceso a una computadora o servidor de red para entregar
una carga útil o un resultado malicioso. Los vectores de ataque
permiten a los hackers explotar las vulnerabilidades del sistema,
incluidos los operadores humanos.

Los vectores de ataque incluyen virus, archivos adjuntos de correo

electrónico, páginas web, ventanas emergentes, mensajes
instantáneos, salas de chat y engaños. Todos estos métodos implican
programación o, en algunos casos, hardware. La excepción es el
engaño, que es cuando un operador humano es engañado para que
elimine o debilite las defensas del sistema.

Aunque las organizaciones deberían poder manejar cualquier

incidente, deberían enfocarse en el manejo de incidentes que usan
vectores de ataque comunes. Estos incluyen los siguientes:

 Medios externos/extraíbles. El ataque se ejecuta desde medios

extraíbles, por ejemplo, un CD, una unidad flash o un dispositivo
periférico.

 Desgaste. Este tipo de ataque utiliza métodos de fuerza bruta para

comprometer, degradar o destruir redes, sistemas o servicios.

 Web. El ataque se ejecuta desde un sitio web o una aplicación

basada en web.
 Email. El ataque se ejecuta a través de un mensaje de correo
electrónico o un archivo adjunto a un correo electrónico. Un hacker
induce al receptor a que haga clic en un enlace que lo lleve a un
sitio web infectado o que abra un archivo adjunto infectado.

 Uso inadecuado. Este tipo de incidente se debe a la violación de

las políticas de uso aceptable de una organización por parte de un
usuario autorizado.

 Descargas al paso. Un usuario ve un sitio web que activa una

descarga de malware; esto puede suceder sin el conocimiento del
usuario. Las descargas al paso, que aprovechan las
vulnerabilidades de los navegadores web, inyectan códigos
maliciosos mediante JavaScript y otras funciones de navegación.

 Malware basado en publicidad (malvertising). El ataque se

ejecuta a través de malware incrustado en anuncios en sitios web.
El simple hecho de ver un anuncio malicioso puede inyectar código
malicioso en un dispositivo no seguro. Además, los anuncios
maliciosos también se pueden incrustar directamente en las
aplicaciones de confianza y ser servidos a través de ellos.

 Desplazamiento del mouse. Esto aprovecha las vulnerabilidades

del software conocido, como PowerPoint. Cuando un usuario se
desplaza sobre un enlace, en lugar de hacer clic en él, para ver a
dónde va, los shell scripts se pueden iniciar automáticamente. El
desplazamiento del mouse aprovecha los fallos del sistema que
permiten lanzar programas basados en acciones inocentes del
usuario.

 Scareware. Esto persuade a un usuario a comprar y descargar

software no deseado y potencialmente peligroso al asustarlo.
Scareware engaña a un usuario para que piense que su
computadora tiene un virus, luego recomienda que descargue y
pague por un software antivirus falso para eliminar el virus. Sin
embargo, si el usuario descarga el software y permite que el
programa se ejecute, sus sistemas se infectarán con malware.
Entendiendo la metodología y objetivos de los atacantes
Aunque una organización nunca puede estar segura de qué camino
tomará un atacante a través de su red, los hackers suelen emplear
una metodología determinada, es decir, una secuencia de etapas para
infiltrarse en una red y robar datos. Cada etapa indica un objetivo
determinado a lo largo del camino del atacante. Esta metodología
aceptada por la industria de la seguridad, apodada Cyber Kill Chain,
fue desarrollada por Lockheed Martin Corp.

Según Lockheed Martin, estas son las etapas de un ataque:

 Reconocimiento (identificar los objetivos). El actor de
amenazas evalúa los objetivos desde fuera de la organización para
identificar los objetivos que le permitirán cumplir sus objetivos. El
objetivo del atacante es encontrar sistemas de información con
pocas protecciones o con vulnerabilidades que pueda explotar para
acceder al sistema de destino.

 Emplazamiento de armas (preparar la operación). Durante esta

etapa, el atacante crea malware diseñado específicamente para las
vulnerabilidades descubiertas durante la fase de reconocimiento.
Sobre la base de la inteligencia reunida en esa fase, el atacante
personaliza su conjunto de herramientas para satisfacer los
requisitos específicos de la red objetivo.

 Entrega (lanzamiento de la operación). El atacante envía el

malware al objetivo mediante cualquier método de intrusión, como
un correo electrónico de suplantación de identidad, un ataque de
hombre en el medio o un ataque de un pozo de agua.

 Explotación (ganar acceso a la víctima). El actor de amenazas

explota una vulnerabilidad para obtener acceso a la red del
objetivo.

 Instalación (establecer un punto de partida en la víctima). Una

vez que el hacker se ha infiltrado en la red, instala una puerta
trasera o implante persistente para mantener el acceso durante un
período prolongado de tiempo.

 Comando y control (control remoto de los implantes). El

malware abre un canal de comando, lo que permite al atacante
manipular remotamente los sistemas y dispositivos del objetivo a
través de la red. El hacker puede hacerse cargo del control de
todos los sistemas afectados desde su administrador.

 Acciones sobre objetivos (lograr los objetivos de la misión). Lo

que sucede a continuación, ahora que el atacante tiene el comando
y el control del sistema del objetivo, depende completamente del
 atacante, que puede corromper o robar datos, destruir sistemas o
exigir un rescate, entre otras cosas.
Mitigar el riesgo de los 10 tipos de incidentes de seguridad
comunes
Hay muchos tipos de incidentes de ciberseguridad que podrían
provocar intrusiones en la red de una organización:

1. Intentos no autorizados de acceso a sistemas o datos

Para evitar que un actor de amenazas obtenga acceso a los sistemas

o datos utilizando una cuenta de usuario autorizado, implemente la
autenticación de dos factores. Esto requiere que un usuario
proporcione una segunda información de identificación además de una
contraseña. Además, encripte los datos corporativos confidenciales en
reposo o mientras viajan a través de una red utilizando software o
tecnología de hardware adecuados. De esa manera, los atacantes no
podrán acceder a datos confidenciales.

2. Ataque de escalada de privilegios

Un atacante que intenta obtener acceso no autorizado a la red de una

organización puede intentar obtener privilegios de nivel superior
utilizando lo que se conoce como una explotación de escalada de
privilegios. Los ataques exitosos de escalada de privilegios otorgan a
los actores de amenazas los privilegios que los usuarios normales no
tienen.

Normalmente, la escalada de privilegios se produce cuando el actor de

amenazas aprovecha un error, la supervisión de la configuración y los
errores de programación, o cualquier vulnerabilidad en una aplicación
o sistema para obtener un acceso elevado a los datos protegidos.

Esto ocurre generalmente después de que un hacker ya ha

comprometido una red al obtener acceso a una cuenta de usuario de
bajo nivel y busca obtener privilegios de mayor nivel, es decir, acceso
completo al sistema de TI de una empresa, ya sea para estudiar el
sistema más a fondo o realizar un ataque.

Para reducir el riesgo de una escalada de privilegios, las

organizaciones deben buscar y remediar los puntos débiles de
seguridad en sus entornos de TI de forma regular. También deben
seguir el principio de privilegio mínimo, es decir, limitar los derechos
de acceso para los usuarios a los permisos mínimos que necesitan
para realizar su trabajo, e implementar el monitoreo de seguridad. Las
organizaciones también deben evaluar los riesgos para sus datos
confidenciales y tomar las medidas necesarias para protegerlos.

3. Amenaza interna

Esta es una amenaza maliciosa o accidental a la seguridad de una

organización o los datos que generalmente se atribuyen a empleados,
antiguos empleados o terceros, incluidos contratistas, trabajadores
temporales o clientes.

Para detectar y prevenir amenazas internas, implemente programas

de escaneo de programas espía, programas antivirus, firewalls y una
rigurosa rutina de archivado y copia de seguridad de datos. Además,
capacite a los empleados y contratistas en temas de seguridad antes
de permitirles acceder a la red corporativa. Implemente software de
monitoreo de empleados para reducir el riesgo de violaciones de datos
y el robo de propiedad intelectual mediante la identificación de
empleados descuidados, descontentos o maliciosos.

4. Ataque de phishing

En un ataque de phishing, un atacante se hace pasar por una persona

o entidad de buena reputación en un correo electrónico u otro canal de
comunicación. El atacante utiliza correos electrónicos de suplantación
de identidad (phishing) para distribuir enlaces o archivos adjuntos
maliciosos que pueden realizar una variedad de funciones, incluida la
extracción de credenciales de inicio de sesión o información de la
cuenta de las víctimas. Un tipo más específico de ataque de phishing
conocido como spear phishing ocurre cuando el atacante invierte
tiempo investigando a la víctima para lograr un ataque aún más
exitoso.

La defensa efectiva contra los ataques de phishing comienza con

educar a los usuarios para que identifiquen los mensajes de phishing.
Además, un filtro de correo electrónico de puerta de enlace puede
atrapar muchos correos electrónicos de phishing dirigidos en masa y
reducir la cantidad de correos electrónicos de phishing que llegan a las
bandejas de entrada de los usuarios.

5. Ataque de malware

Este es un término amplio para los diferentes tipos de software

malicioso (malware) que se instalan en el sistema de una empresa. El
malware incluye troyanos, gusanos, ransomware, adware, spyware y
varios tipos de virus. Algunos programas maliciosos se instalan
inadvertidamente cuando un empleado hace clic en un anuncio, visita
un sitio web infectado o instala software gratuito u otro software.

Los signos de malware incluyen una actividad inusual del sistema,

como una pérdida repentina de espacio en el disco; velocidades
inusualmente lentas; caídas repetidas o congelamientos; un aumento
en la actividad de internet no deseada; y publicidades pop-up. Instalar
una herramienta antivirus puede detectar y eliminar malware. Estas
herramientas pueden proporcionar protección en tiempo real o
detectar y eliminar malware mediante la ejecución de análisis de rutina
del sistema.

6. Ataque de denegación de servicio (DoS)

Un actor de amenazas lanza un ataque DoS para apagar una máquina

individual o una red completa para que no pueda responder a las
solicitudes de servicio. Los ataques DoS hacen esto inundando el
objetivo con tráfico o enviándole información que provoca un bloqueo.

Una organización normalmente puede lidiar con un ataque DoS que

bloquea un servidor simplemente reiniciando el sistema. Además, la
reconfiguración de firewalls, enrutadores y servidores puede bloquear
cualquier tráfico falso. Mantenga los enrutadores y los firewalls
actualizados con los últimos parches de seguridad.

Además, el hardware de aplicaciones frontales que está integrado en

la red puede ayudar a analizar y filtrar paquetes de datos (es decir,
clasificar los datos como prioritarios, regulares o peligrosos) a medida
que ingresan al sistema. El hardware también puede ayudar a
bloquear datos amenazantes.

7. Ataque de hombre en el medio (MitM)

Un ataque de hombre en el medio es uno en el que el atacante

intercepta y altera en secreto los mensajes entre dos partes que creen
que se están comunicando directamente entre sí. En este ataque, el
atacante manipula a ambas víctimas para obtener acceso a los datos.
Los ejemplos de ataques MitM incluyen el secuestro de sesiones, el
secuestro de correos electrónicos y la intercepción de Wi-Fi.

Aunque es difícil detectar los ataques MitM, hay formas de prevenirlos.

Una forma es implementar un protocolo de cifrado, como TLS
(seguridad de la capa de transporte), que proporciona autenticación,
privacidad e integridad de los datos entre dos aplicaciones
informáticas que se comunican. Otro protocolo de cifrado es SSH, un
protocolo de red que brinda a los usuarios, especialmente a los
administradores de sistemas, una forma segura de acceder a una
computadora a través de una red no segura.

Las empresas también deben educar a los empleados sobre los

peligros de usar Wi-Fi público abierto, ya que es más fácil para los
delincuentes hackear estas conexiones. Las organizaciones también
deben decirles a sus trabajadores que no presten atención a las
advertencias de los navegadores de que los sitios o las conexiones
pueden no ser legítimos. Las empresas también deben usar VPN para
garantizar conexiones seguras.

8. Ataque de contraseña

Este tipo de ataque está dirigido específicamente a obtener la

contraseña de un usuario o la contraseña de una cuenta. Para hacer
esto, los hackers utilizan una variedad de métodos, que incluyen
programas de descifrado de contraseñas, ataques de diccionarios,
rastreadores de contraseñas o contraseñas de adivinación mediante
fuerza bruta (prueba y error).

Un cracker de contraseñas es una aplicación que se utiliza para

identificar una contraseña desconocida u olvidada en una
computadora o recursos de red. Esto ayuda a un atacante a obtener
acceso no autorizado a los recursos. Un ataque de diccionario es un
método para ingresar a una computadora o servidor protegido por
contraseña ingresando sistemáticamente cada palabra en un
diccionario como contraseña.

Para manejar los ataques de contraseña, las organizaciones deben

adoptar la autenticación multifactor para la validación del usuario.
Además, los usuarios deben usar contraseñas seguras que incluyan al
menos siete caracteres, así como una combinación de mayúsculas y
minúsculas, números y símbolos. Los usuarios deben cambiar sus
contraseñas regularmente y usar diferentes contraseñas para
diferentes cuentas. Además, las organizaciones deben usar el cifrado
en cualquier contraseña almacenada en repositorios seguros.

9. Ataque de aplicaciones web

Este es cualquier incidente en el que una aplicación web es el vector
del ataque, incluidos los exploits de las vulnerabilidades a nivel de
código en la aplicación, así como también frustrar los mecanismos de
autenticación. Un ejemplo de un ataque de aplicación web es un
ataque de secuencias de comandos entre sitios. Este es un tipo de
ataque de seguridad de inyección en el que un atacante inyecta datos,
como un script malicioso, en contenido de sitios web de confianza.

Las empresas deben revisar el código al inicio de la fase de desarrollo

para detectar vulnerabilidades; los escáneres de códigos estáticos y
dinámicos pueden verificarlos automáticamente. Además, implemente
la funcionalidad de detección de bot para evitar que los bots accedan
a los datos de la aplicación. Y un firewall de aplicación web puede
monitorear una red y bloquear posibles ataques.

10. Amenaza persistente avanzada (APT)

Un APT es un ataque cibernético prolongado y dirigido que es

ejecutado típicamente por ciberdelincuentes o estados-nación. En este
ataque, el intruso obtiene acceso a una red y permanece sin ser
detectado durante un período prolongado de tiempo. El objetivo de la
APT generalmente es monitorear la actividad de la red y robar datos
en lugar de causar daños a la red u organización.

La supervisión del tráfico entrante y saliente puede ayudar a las

organizaciones a evitar que los hackers instalen puertas traseras y
extraigan datos confidenciales. Las empresas también deben instalar
firewalls de aplicaciones web en el borde de sus redes para filtrar el
tráfico que ingresa a sus servidores de aplicaciones web. Esto puede
ayudar a filtrar los ataques de la capa de aplicación, como los ataques
de inyección de SQL, que se utilizan a menudo durante la fase de
infiltración de APT. Además, un firewall de red puede monitorear el
tráfico interno.

Ejemplos de incidentes de seguridad

Aquí hay varios ejemplos de incidentes de seguridad conocidos.

Los investigadores de seguridad cibernética detectaron por primera

vez el gusano Stuxnet, utilizado para atacar el programa nuclear de
Irán, en 2010. Todavía se considera una de las piezas de malware
más sofisticadas jamás detectadas. El malware estaba dirigido a los
sistemas de control de supervisión y adquisición de datos y se
propagó con dispositivos USB infectados. Tanto los EE.UU. como
Israel han sido vinculados al desarrollo de Stuxnet, y aunque ninguna
nación ha reconocido oficialmente su papel en su desarrollo, ha
habido confirmaciones no oficiales de que fueron responsables de ello.

En octubre de 2016, otro incidente de seguridad importante ocurrió

cuando los ciberdelincuentes lanzaron un ataque DoS distribuido
contra el proveedor del sistema de nombres de dominio Dyn, que
interrumpió los servicios en línea en todo el mundo. El ataque afectó a
varios sitios web, incluidos Netflix, Twitter, PayPal, Pinterest y la
PlayStation Network.

En julio de 2017, se descubrió una infracción masiva que involucró a

14 millones de registros de clientes de Verizon Communications Inc.,
incluidos números de teléfono y PIN de cuentas que, según informes,
estuvieron expuestos a internet, aunque Verizon afirmó que no se
robaron datos. Un mes antes, un investigador de la firma de seguridad
UpGuard encontró los datos en un servidor en la nube mantenido por
la firma de análisis de datos Nice Systems. La información no estaba
protegida por contraseña y, por ello, los ciberdelincuentes podrían
haberla descargado y explotado fácilmente, según la firma de
seguridad.

Tendencias en las causas de los incidentes

Según el "Informe de respuesta a incidentes de seguridad de datos"
de 2019 por BakerHostetler LLP, un bufete de abogados de EE.UU.,
ciertos tipos de incidentes de seguridad están aumentando.
El phishing sigue siendo la principal causa de incidentes de seguridad.
Casi una cuarta parte de todos los incidentes a los que BakerHostetler
respondió en 2018 se debió a dispositivos perdidos, revelaciones
involuntarias o configuraciones erróneas del sistema. Los empleados
fueron responsables del 55% de los 750 incidentes a los que la
empresa respondió en 2018, en parte debido a errores simples y caer
en estafas de phishing. El informe señala que la mayor conciencia de
los empleados y la implementación de la autenticación multifactor son
dos de las mejores defensas para abordar el factor de riesgo de los
empleados.

En el lado positivo, las organizaciones continúan mejorando sus

capacidades de detección internas. En 2018, el 74% de los incidentes
se detectaron internamente, un aumento del 52% en 2015. Sin
embargo, aunque más compañías han invertido en herramientas de
seguridad para ayudar a investigar incidentes de seguridad, pocas
organizaciones tienen la experiencia y la capacidad para investigar
incidentes de seguridad sin la ayuda de terceros.

Los ataques de los estados-nación están aumentando. Los estados-

nación continúan participando en ciberoperaciones para apoyar el
espionaje, el desarrollo económico (a través de los robos de propiedad
intelectual y secretos comerciales) o el sabotaje. Y se ha vuelto más
difícil diferenciar entre los métodos y procedimientos utilizados por los
actores del estado-nación y los actores criminales. La razón: es difícil
encontrar buenos datos sobre la frecuencia con la que ocurren estos
ataques, en parte porque no se detectan o no se denuncian.

Creación de un plan de respuesta a incidentes

El panorama de amenazas en expansión pone a las organizaciones en
mayor riesgo de ser atacadas que nunca antes. Como resultado, las
empresas deben monitorear constantemente el panorama de
amenazas y estar preparadas para responder a incidentes de
seguridad, violaciones de datos y amenazas cibernéticas cuando
ocurran. Poner en marcha un plan de respuesta a incidentes bien
definido y tomar en consideración algunos de los consejos
proporcionados en este informe permitirá a las organizaciones
identificar efectivamente estos incidentes, minimizar los daños y
reducir el costo de un ataque cibernético. Dicho plan también ayudará
a las empresas a prevenir futuros ataques.