Guía para El Diseño de Simulacros de Incidentes de Ciberseguridad A Través de La Adaptación de Estándares y Metodologías Como Iso Iec 27035, Nist SP 800-61 y N

GUÍA PARA EL DISEÑO DE SIMULACROS DE INCIDENTES DE
CIBERSEGURIDAD A TRAVÉS DE LA ADAPTACIÓN DE ESTÁNDARES Y

METODOLOGÍAS COMO ISO/IEC 27035, NIST SP 800-61 Y NIST SP 800-84 EN
EL BANCO POPULAR
ERNESTO OLIER VALENCIA SOTO
UNIVERSIDAD PILOTO DE COLOMBIA

FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2023
GUÍA PARA EL DISEÑO DE SIMULACROS DE INCIDENTES DE
CIBERSEGURIDAD A TRAVÉS DE LA ADAPTACIÓN DE ESTÁNDARES Y
METODOLOGÍAS COMO ISO/IEC 27035, NIST SP 800-61 Y NIST SP 800-84 EN
EL BANCO POPULAR
ERNESTO OLIER VALENCIA SOTO
Proyecto de grado presentado para optar por el título de

Especialista en Seguridad Informática
Asesora
M.Sc. LORENA OCAMPO CORREA
Ingeniera de Sistemas y Computación
UNIVERSIDAD PILOTO DE COLOMBIA

FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ
2023
Notas de aceptación
______________________________
______________________________
______________________________
______________________________
______________________________
______________________________
Firma del presidente del jurado
______________________________
Firma Jurado
______________________________
Firma Jurado
Bogotá D.C., 22 de junio 2023

Este trabajo se lo dedico inicialmente a mis padres quienes me apoyaron
incondicionalmente durante todo este proceso, a mis colegas del área de
tecnología y del área de seguridad de la información, que con sus
consejos ayudaron e inspiraron la realización y el desarrollo de este
trabajo de grado, a mi hija quien me motiva para brindarle un mejor futuro
y finalmente agradezco a los anteriormente mencionados dado a que
sirvieron de ayuda para mi crecimiento profesional y al éxito de este
proyecto.
Ernesto Olier Valencia Soto.

AGRADECIMIENTOS
Quiero expresar mi más sincero agradecimiento por permitirme utilizar su nombre e

información para el desarrollo de mi proyecto de grado. Su colaboración y apertura
han sido fundamentales para el éxito de mi investigación y la obtención de
resultados significativos.
Además, me gustaría agradecer de todo corazón a mis padres, hermanos, mi hija y

compañera de vida por el constante apoyo, paciencia y aliento incondicional a lo
largo de este desafiante proceso. Su respaldo ha sido fundamental para
mantenerme motivado y sin decaer en mi objetivo.
Asimismo, quiero expresar mi profundo agradecimiento a la Ingeniera Lorena

Ocampo por ser mi guía y brindarme su valioso aporte profesional a lo largo de mi
proyecto. Su experiencia y conocimientos han sido de gran ayuda para superar los
obstáculos y alcanzar los resultados deseados.
CONTENIDO
pág.
INTRODUCCIÓN 22
1. JUSTIFICACIÓN 23
2. PROBLEMA DE INVESTIGACIÓN 24
2.1 PLANTEAMIENTO DEL PROBLEMA 24
2.2 FORMULACIÓN DEL PROBLEMA 24
3. OBJETIVOS 25
3.1 OBJETIVO GENERAL 25
3.2 OBJETIVOS ESPECIFICOS 25
4. MARCO REFERENCIAL 26
4.1 MARCO TEÓRICO 26
4.2 MARCO NORMATIVO 27
4.2.1 NIST SP-800-61: Guía de Gestión de Incidentes de Seguridad 27
4.2.2 ISO/IEC 27035:2011: Tecnología de la información — Técnicas de seguridad

— Gestión de incidentes de seguridad de la información 30
4.2.3 NIST SP 800-84: Guía de prueba, capacitación y programas de ejercicios para

TI planes y capacidades 32
4.2.4 Guía de gestión de incidentes de seguridad de la información para la oficina de

tecnología de la información y la comunicación – OTIC del Ministerio de Salud y
Protección Social, tomando como base la norma ISO 27001:2013 33
4.2.5 Diseño de un modelo para la gestión de incidentes en ciberseguridad basado
en la norma Iso27002:2013 para la empresa proyectos de inversión Vial Andino S.A.S
35
4.2.6 Diseño de un procedimiento de gestión de incidentes de ciberseguridad que

articule la gestión de riesgos, continuidad, crisis y resiliencia que se pueda integrar a
la respuesta corporativa 35
4.3 MARCO CONTEXTUAL 36
4.4 MARCO LEGAL 38
5. DISEÑO METODOLOGICO 41
5.1 HIPOTESIS 42
5.1.1 Hipótesis de investigación 42
5.1.2 Hipótesis nula. 42
5.2 VARIABLES 42
5.2.1 Variables independentes 42
5.2.2 Variables dependientes 42
5.3 DEFINICIÓN DE ALCANCE 42
6. FASE 1 44
6.1 ESTADO ACTUAL ANTE LA PREPARACIÓN DE GESTIÓN DE INCIDENTES

DE CIBERSEGURIDAD EN EL BANCO POPULAR 44
6.2 TAXONOMÍA DE CLASIFICACIÓN DE CIBERINCIDENTES 49
6.2.1 Elementos de un Incidente 49
6.2.2 Categorías. 51
6.3 FASES EN LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD 57
6.3.1 Fase de planificación y preparación. 57
6.3.2 Fase de detección y análisis 59
6.3.3 Fase de contención, erradicación y recuperación 68
7. FASE II 69
7.1 GUIA PARA EL DISEÑO DE SIMULACROS de incidentes de ciberseguridad EN

EJERCICIOS DE MESA Y FUNCIONALES 69
7.1.1 Preámbulos y consideraciones 69
7.2 INSTRUCCIONES PARA REALIZAR UN EJERCICIOS DE MESA – SIMULACRO

DE CIBERSEGURIDAD 74
7.3 INSTRUCCIONES PARA REALIZAR UN EJERCICIO FUNCIONAL -

SIMULACRO DE CIBERSEGURIDAD 79
7.4 prueba a LA GUíA PARA EL DISEÑO DE SIMULACROS: PLANEACIÓN Y

DESARROLLO DE UN EJERCICIO FUNCIONAL 88
7.5 resultados obtenidos del ejercicio funcional 122
7.6 LECCIONES APRENDIDAS 123
8. CONCLUSIONES 125
BIBLIOGRAFÍA 127
ANEXOS 129
LISTA DE FIGURAS
pág.
Figura 1. Ciclo de vida de respuesta a incidentes 30
Figura 2. Taxonomía de incidentes 52
Figura 3. Metodología de eventos de TT&E 74
Figura 4. Árbol de Comunicación CSIRT 91
Figura 5. Citación de participantes para el Ejercicio Funcional 102
Figura 6. Topología de red del ejercicio funcional 104
Figura 7. Muestra de video extorsivo 109
Figura 8. Evidencia de cifrado de archivos 110
Figura 9. Evidencia de nota de rescate 110
Figura 10. Monitoreo de SEIM 111
Figura 11. Evidencia de falla de consola de antivirus 111
Figura 12. Servicios de Symantec de antivirus deshabilitados 112
Figura 13. Evidencia de descarga de archivos en máquina cliente 112
Figura 14. Muestra de descarga en maquina cliente 113
Figura 15. Evidencia de carpeta de descarga en maquina cliente 113
Figura 16. Consola de antivirus 114
Figura 17. Filtro por ataques de la última semana 114
Figura 18. Muestra de ataques 115
Figura 19. Muestra de ataque detectado por antivirus 116
Figura 20. Envío de HASH sobre archivo xxx.exe encontrado 117

Figura 21. Muestra de consulta de HASH en virustotal 117
Figura 22. Buzón de correo de maquina cliente – evidencia de correo malicioso 118
Figura 23. Evidencia de existencia del malware 118
Figura 24. Evidencia de usuarios creados en nueva unidad organizacional 119
Figura 25. Evidencia de creación de tareas programadas 120
Figura 26. Tarea programada de ejecución de Script 120

LISTA DE GRÁFICAS
pág.
Gráfica 1. Preparación ante Incidentes de Ciberseguridad 48

LISTA DE CUADROS
pág.
Cuadro 1. Cuestionario de preparación ante incidentes de Seguridad de la

Información 45
Cuadro 2. Definición de Taxonomía de Incidentes 54
Cuadro 3. Herramientas y recursos para el manejo de incidentes 58
Cuadro 4. Fuentes comunes de precursores e indicadores NIST SP 800-61 61
Cuadro 5. Ejemplo de lista de verificación de logística de ejercicios de mesa* 78
Cuadro 6. Ejemplo de listado de verificación de logística de ejercicio funcional 85
Cuadro 7. Lista de participantes de ejercicio funcional 97
Cuadro 8. Lista de observadores por parte del Nordstern 98
Cuadro 9. Estrategia sugerida para el ejercicio funcional 105
Cuadro 10. Duración del ejercicio funcional 107

LISTA DE ANEXOS
pág.
Anexo A. Informe ciberejercicio nordstern - Banco Popular 129

GLOSARIO
ACTIVO DE INFORMACIÓN: conocimiento o datos que tienen valor para la entidad

o el individuo.1
ADWARE: son tipos de virus que se instalan en el sistema operativo. Tiene como
función desplegar avisos publicitarios a través de ventanas emergentes del
navegador.2
AMENAZA: cualquier elemento capaz de aprovechar las fallas de un sistema de

seguridad de información (puntos débiles) para causar pérdidas o daños a los
activos de una organización.3
ALERTA DE SEGURIDAD: una notificación sobre problemas de seguridad, un

suceso o un error, vulnerabilidades, exploits y otros. También conocido como aviso,
boletín o nota de vulnerabilidad.4
APT (Advanced Persistent Threat): conjunto de procesos informáticos sigilosos y

continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad
informática de una entidad específica.5
ATAQUE: cualquier tipo de actividad maliciosa que intente obtener acceso no

autorizado a los servicios, recursos o información del sistema; comprometer la
seguridad de la información o interrumpir, denegar o degradar los recursos del
sistema de información.6
AUTENTICACIÓN: garantizar que quién solicita un acceso es quién dice ser.7
AUTENTICACIÓN DE FACTOR ÚNICO: método o procedimiento que se usa para

realizar la verificación de que alguien es quien dice ser basado en una sola
verificación. El ejemplo más popular es usuario y su contraseña.8
1 SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Circular Externa 007 de 2018. Bogotá: La

superintendencia, p.2.
2 Ibid., p.4.
3 Ibid., p.3.
4 Ibid., p.4.
5 Ibid., p.4.
6 SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Taxonomía Única Incidentes Cibernéticos –
TUIC. Guía Para la Clasificación de Incidentes cibernéticos – Proyecto TUIC. Bogotá: La

superintendencia, 2020.p.2.
7 Ibid., p.6.
8 Ibid., p.7.
AUTENTICACIÓN DE MÚLTIPLES FACTORES (AMF): es un método de control
de acceso informático en el que a un usuario se le concede acceso al sistema solo
después de que presente dos o más pruebas diferentes de que es quien dice ser.9
AUTORIZACIÓN: permitir que algo o alguien acceda solamente a lo que le es

permitido.10
BACKDOOR: software o tipo de virus que se usan para obtener acceso a una red
o sistema mediante un bypass a todas las políticas de seguridad de la
organización.11
CIBERAMENAZA O AMENAZA CIBERNÉTICA: aparición de una situación

potencial o actual que pudiera convertirse en un ciberataque.12
CIBERATAQUE O ATAQUE CIBERNÉTICO: acción criminal organizada o

premeditada de uno o más agentes que usan los servicios o aplicaciones del
ciberespacio o son el objetivo de esta o donde el ciberespacio es fuente o
herramienta de comisión de un crimen.13
CIBERESPACIO: entorno complejo resultante de la interacción de personas,

software y servicios en Internet a través de dispositivos tecnológicos conectados a
dicha red, el cual no existe en ninguna forma física.14
CIBERIESGO O RIESGO CIBERNÉTICO: posibles resultados negativos derivados

de fallas en la seguridad de los sistemas tecnológicos o asociados a ataques
cibernéticos.15
CIBERSEGURIDAD: es el desarrollo de capacidades empresariales para defender

y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos,
sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de
la entidad.16
CSIRT (Computer Security Incident Response Team): Equipo responsable del

desarrollo de medidas preventivas y de respuesta ante incidentes informáticos.17
CONFIDENCIALIDAD: propiedad de la información de no colocar a disposición o
9 Ibid., p.6.
10 Ibid., p.6.
11 Ibid., p.5.
12 Ibid., p.5.
13 Ibid., p.5.
14 Ibid., p.6.
15 Ibid., p.7.
16 Ibid., p.7.
17 Ibid., p.7.
ser revelada a individuos, entidades o procesos no autorizados.18
CONTROL COMPENSATORIO: control que permite proporcionar un nivel de
seguridad similar (o superior) al del control original y se emplea bajo circunstancias
excepcionales.19
CONTROL CORRECTIVO: control que pretende corregir las consecuencias de la

materialización de un riesgo.20
CONTROL DETECTIVO: control que pretende detectar la materialización de un

riesgo.21
CONTROL DISUASIVO: control que pretende reducir la probabilidad de

materialización de un riesgo.22
CONTROL O CONTRAMEDIDA: conjunto de disposiciones establecidas por la

organización para mitigar los riesgos que afecten a la entidad.23
CONTROL PREVENTIVO: control que pretende prevenir la materialización de un

riesgo.24
DDoS (Distribuid Denial of Service): es un ataque DoS que se realiza de manera

distribuida. Se tienen múltiples orígenes del ataque hacia un mismo objetivo. 25
DISPONIBILIDAD: asegurar que un elemento, dispositivo o información sea

accesible en el momento requerido.26
DLP (Data Loss Prevention): la prevención de pérdida de datos (DLP) es una

estrategia para asegurar que los usuarios finales no envíen información sensible o
crítica fuera de la red de la entidad. El término también se utiliza para describir
productos de software que ayudan a un administrador de red a controlar qué datos
pueden transferir los usuarios finales.27
DoS (Denial of Service): también llamado ataque DoS (por su sigla en inglés), es
un ataque a un sistema de computadoras o red que causa que un servicio o recurso
18 Ibid., p.7.
19 Ibid., p.7.
20 Ibid., p.8.
21 Ibid., p.8.
22 Ibid., p.8.
23 Ibid., p.8.
24 Ibid., p.8.
25 Ibid., p.8.
26 Ibid., p.8.
27 Ibid., p.8.
sea inaccesible a los usuarios legítimos.28
EVENTO DE CIBERSEGURIDAD: ocurrencia de una situación que podría afectar

la protección o el aseguramiento de los datos, sistemas y aplicaciones de la entidad
que son esenciales para el negocio. 29
EXPLOIT: hace referencia a una pieza de código o software que se aprovecha de

errores o vulnerabilidades de aplicaciones mal elaboradas. Generalmente se utilizan
para realizar escaladas de privilegios o negaciones de servicio.30
FIREWALL: dispositivo de red que tiene como propósito principal el control del
acceso desde o hacia una red protegida.31
FLUJO DE DATOS: descripción de como la información o datos se almacena,

transmite o produce. Emplea símbolos definidos, como rectángulos, círculos y
flechas, además de etiquetas de texto breves, para mostrar las entradas y salidas
de datos, los puntos de almacenamiento y las rutas entre cada destino.32
FUNCIONALIDAD MÍNIMA: principio de un dispositivo o sistema con un propósito

especial, para ello es necesario establecerlo y determinar cuáles son las funciones
básicas que debe tener.33
HARDENING: es el proceso de asegurar un sistema reduciendo sus

vulnerabilidades o agujeros de seguridad, a los que se está más propenso entre
más funciones desempeña; en principio un sistema con una única función es más
seguro que uno con muchos propósitos.34
HASH: son algoritmos criptográficos de una vía que crean, a partir de una entrada
(ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica
de longitud normalmente fija que representa un resumen identificativo de toda la
información de entrada.35
HIDS (Host Intrusion Detection System): IDS instalado y configurado en una

máquina específica. Generalmente puede reconocerse como un agente IDS, un
software instalado para la detección de intrusiones.36
HIPS (Host Intrusion Prevention System): IPS instalado y configurado en una
28 Ibid., p.8.
29 Ibid., p.8.
30 Ibid., p.8.
31 Ibid., p.10.
32 Ibid., p.10.
33 Ibid., p.10.
34 Ibid., p.10.
35 Ibid., p.10.
36 Ibid., p.10.
máquina específica. Generalmente puede reconocerse como un agente IPS, un
software instalado para la prevención de intrusiones.37
IDS (Intrusion Detection System): sistemas o dispositivos que se encargan de
detectar accesos no autorizados a la red o a un sistema determinado.38
INCIDENTE DE CIBERSEGURIDAD: ocurrencia de una situación que afecta la

protección o el aseguramiento de los datos, sistemas y aplicaciones de la entidad
que son esenciales para el negocio.39
INFORMACIÓN EN REPOSO: datos guardados en dispositivos de almacenamiento

persistente (por ejemplo, cintas, copias de seguridad externas, dispositivos móviles,
discos duros, entre otros).40
INFORMACIÓN EN TRÁNSITO: información que fluye a través de la red pública,

como Internet, y los datos que viajan en una red privada, como una red de área local
(LAN) corporativa o empresarial.41
INFORMACIÓN EN USO: hace referencia a datos activos que se almacenan en un

estado digital no persistente, típicamente en la memoria de acceso aleatorio (RAM),
las memorias caché de la CPU o los registros de la CPU.42
INFRAESTRUCTURA CRÍTICA: aquellas instalaciones, redes, servicios y equipos

físicos y de tecnología de la información cuya interrupción o destrucción tendría un
impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos
o en el eficaz funcionamiento de las instituciones del Estado y de las
Administraciones Públicas. Se puede considerar también aquellas que soportan el
cumplimiento de los objetivos de negocio.43
INFRAESTRUCTURA TECNOLÓGICA: es el conjunto de hardware y software

sobre el que se basan los diferentes servicios que la entidad necesita tener en
funcionamiento para poder llevar a cabo toda su actividad en función de los objetivos
del negocio.44
INGENIERÍA SOCIAL: es la práctica de obtener información confidencial a través

de la manipulación de usuarios legítimos.45
37 Ibid., p.11.
38 Ibid., p.11.
39 Ibid., p.11.
40 Ibid., p.11.
41 Ibid., p.11.
42 Ibid., p.11.
43 Ibid., p.11.
44 Ibid., p.11.
45 Ibid., p.11.
INTEGRIDAD: asegurar que un elemento, dispositivo o información no haya sido
cambiado en su manipulación. Puede asociarse a que sea la misma desde el origen
hasta su destino en un caso de transporte o transmisión.46
IPS (Intrusion Prevention System): hardware o software que posee la capacidad

de detectar ataques conocidos y nuevos (IDS), y prevenir que estos ataques sean
exitosos (Firewall).47
MALWARE: programa malicioso o programa maligno, también llamado badware,

código maligno, software malicioso, software dañino o software malintencionado, es
un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o
sistema de información.48
NIDS (Network Intrusion Detection System): dispositivo de red que cumple con
la detección de intrusos. Busca detectar anomalías que indican un riesgo potencial,
analizando el tráfico en la red. Usualmente es un dispositivo más dentro de la red.49
NIPS (Network Intrusion Prevention System): dispositivo de red que cumple con
la prevención de intrusos. Busca detectar anomalías que indican un riesgo potencial,
analizando el tráfico en la red. Usualmente es un dispositivo más dentro de la red.50
NO REPUDIACIÓN: garantizar que quién genere un evento o acción válido o

inválido, no pueda retractarse del mismo.51
OBSERVANCIA: verificar que el funcionamiento (en este caso de ciberseguridad o

seguridad de la información) se haga de manera adecuada.52
PHISHING: modalidad de estafa diseñada con la finalidad de adquirir información

de manera fraudulenta. Es la modalidad de "pescar" víctimas y hace uso de
acciones como el spoofing.53
RESILIENCIA: es la capacidad de un mecanismo o sistema para recuperar su

estado inicial cuando ha cesado la perturbación a la que pudo estar sometido.54
RIESGO: probabilidad de que las amenazas exploten los puntos débiles, causando
46 Ibid., p.12.
47 Ibid., p.12.
48 Ibid., p.12.
49 Ibid., p.12.
50 Ibid., p.12.
51 Ibid., p.12.
52 Ibid., p.12.
53 Ibid., p.12.
54 Ibid., p.12.
pérdidas o daños a los activos e impactando los objetivos de la organización.55
SEGURIDAD FÍSICA: conjunto de mecanismos y acciones que buscan la detección

y prevención de riesgos, con el fin de proteger algún recurso o bien material. Se
enfoca en los accesos físicos y tangibles.56
SEGURIDAD DE LA INFORMACIÓN: es el conjunto de políticas, estrategias,

metodologías, recursos, soluciones informáticas, prácticas y competencias para
proteger, asegurar y preservar la confidencialidad, integridad y disponibilidad de la
información que se almacene, reproduzca o procese en los sistemas informáticos
de la entidad.57
SIEM (Security Information and Event Management): sistema de información que

proporciona análisis en tiempo real de las alertas de seguridad generadas por las
aplicaciones, dispositivos de seguridad y los elementos de red. Suelen ser sistemas
de centralización de logs.58
SOC (Security Operation Center): unidad encargada de monitorear, evaluar y

defender los sistemas de información empresarial (sitios web, aplicaciones, bases
de datos, centros de datos, servidores, redes, escritorios y otros dispositivos).59
TERCEROS CRÍTICOS: terceros con quien se vincula la entidad y que, de acuerdo

con los parámetros establecidos por la propia entidad, pueden tener incidencia
directa en la seguridad de su información.60
VULNERABILIDAD: debilidad de un activo o control que puede ser explotado por

una amenaza. Se tienen en cuenta todas aquellas amenazas que surgen por la
interacción de los sistemas en el ciberespacio.61
55 Ibid., p.12.
56 Ibid., p.14.
57 Ibid., p.14.
58 Ibid., p.14.
59 Ibid., p.14.
60 Ibid., p.14.
61 Ibid., p.14.
RESUMEN
El trabajo de grado "Guía para el Diseño de Simulacros de Incidentes de

Ciberseguridad en el Banco Popular a través de la Adaptación de Estándares y
Metodologías como ISO/IEC 27035, NIST SP 800-61 y NIST SP 800-84" se enfoca
en proporcionar una guía detallada para el Banco Popular en la creación de
simulacros de incidentes de ciberseguridad. El objetivo principal es establecer los
pasos esenciales que el banco debe seguir para desarrollar tanto un ejercicio de
mesa como un ejercicio funcional. Estos pasos se basan en la adaptación de
estándares y metodologías reconocidas internacionalmente, como ISO/IEC 27035,
NIST SP 800-61 y NIST SP 800-84. Como parte de la validación de la guía
propuesta, se llevó a cabo un ejercicio funcional al interior del Banco Popular. Este
ejercicio simuló la afectación de un servicio crítico en un entorno controlado y
virtualizado. Los resultados obtenidos demuestran la efectividad de la guía en la
preparación y respuesta ante incidentes de ciberseguridad. Este trabajo de grado
ofrece una herramienta práctica y adaptada a las necesidades del Banco Popular
para fortalecer su capacidad de enfrentar y gestionar incidentes de seguridad
informática de manera eficiente.
Palabras claves: Gestión de Incidente, Seguridad de la Información, Ejercicio de

Mesa, Ejercicio Funcional, Simulacro.
INTRODUCCIÓN
El presente proyecto tiene como finalidad, establecer la guía de simulacros de

gestión de incidentes de ciberseguridad en el Banco Popular, este proceso va a
permitir a esta entidad financiera administrar, manejar y anticipar diversos
escenarios o eventos adversos que pueden terminar en un incidente de
ciberseguridad.
En este sentido, la guía será una herramienta que recogerá las mejores prácticas
de estándares internacionales más usadas en gestión de incidentes, como es la
ISO/IEC 27035:2013 y la NIST 800-61. Estas metodologías abarcan las fases de un
incidente de ciberseguridad, por lo que la intencionalidad de dicha guía es aportar
a la madurez del Banco Popular frente a la gestión y manejo de incidentes que
puede estar expuesto o que suceden en el entorno financiero mediante la
formulación de escenarios que finalizan en la ejecución de un ejercicio controlado
que simule la afectación de un activo de información o servicio crítico.
Por otra parte, este proyecto de investigación deja ver los beneficios que conlleva
establecer una guía que entrene y fortalezca las capacidades de respuesta y gestión
de los responsables de atender incidentes de ciberseguridad, así como también de
los administradores de activos críticos expuesto al ciberespacio. Este trabajo se
centrará en aportar y ofrecer al Banco Popular, una práctica única de conocimiento
en la elaboración de ejercicios vigilados de un ataque cibernético.
Es importante resaltar que la administración de un incidente de seguridad debe

tener una preparación por parte del personal a cargo de los activos, además, ciertos
aspectos a considerar de forma muy general y trasversal a todos los tipos de
ciberamenazas y ciberataques. Este preparativo implica contar con herramientas de
seguridad, procedimientos, políticas, personal capacitado, la adecuada
identificación de los activos críticos de información y es esto lo que busca impulsar
el presente proyecto en el Banco Popular mediante la guía de diseño de simulacros
de gestión de incidentes que, además, sirva como prototipo para otras entidades
del Grupo AVAL y por qué no, a la contribución de un ecosistema de buenas
prácticas en el sector financiero nacional.
22
1. JUSTIFICACIÓN
Las entidades de sector financiero deben cumplir con la implementación y monitoreo

de la circular 007 del 2018 (requerimientos mínimos para gestión de la seguridad de
la información y ciberseguridad) de la Superintendencia Financiera de Colombia
(SFC). Por tal razón, se propone al Banco Popular una guía de diseño de simulacros
que emule de forma controlada la afectación de un servicio crítico y evalúe las
capacidades de respuesta y de este modo, apoyar el cumplimiento al numeral 4.1.7
(Realizar pruebas del plan de continuidad del negocio que simulen la materialización
de ataques cibernéticos) de la mencionada circular.
A raíz de la creación y uso de la guía se fortalecerán las capacidades de respuesta

de responsables de activos de información críticos y de los administradores de
herramientas de seguridad, por lo que se guiará a este recurso humano en la mejora
de sus destrezas y operaciones que se deben tener antes, durante y después de un
incidente, lo que va a contribuir en la disminución del tiempo o en el impacto de un
evento materializado.
Adicional a lo anterior, con la guía se planteará una nueva estrategia para el diseño
de simulacros; en primer lugar, porque recoge las recomendaciones y buenas
prácticas de estándares como ISO/IEC 27035 y NIST 800-61 y, en segundo lugar,
porque abarca la posibilidad de emular cualquier tipo de incidente de ciberseguridad
haciendo de este un documento integral y completo.
Toda vez que los simulacros se convierten en un hábito organizacional, terminan

estas experiencias convirtiéndose en buenas prácticas, ya que cada ejercicio de
simulación responde y corrige debilidades de los procesos, herramientas de
seguridad y personal participante.
La guía de simulacro, en resumen, evitaría impactos negativos frente a la

materialización de incidentes, mejoraría la respuesta de incidentes y capacidades
de todos los involucrados en la administración y gestión de activos expuestos en el
ciberespacio del Banco Popular.
.
23
2. PROBLEMA DE INVESTIGACIÓN
2.1 PLANTEAMIENTO DEL PROBLEMA
El Banco Popular enfrenta importantes desafíos en materia de ciberseguridad

debido a la falta de ejercicios funcionales y la capacidad limitada de respuesta ante
incidentes. Esto ha llevado a la vulnerabilidad de los sistemas de seguridad del
banco y ha aumentado el riesgo de ataques cibernéticos.
El Banco Popular debe realizar pruebas de gestión de incidentes que simulen la

afectación de un activo crítico para medir las capacidades de respuesta de los
recursos tecnológicos y del recurso humano; ahora bien, el banco no cuenta con
una guía que suministre aspectos para tener en cuenta, pasos a seguir y los
resultados esperados en la ejecución de dichos experimentos que son de obligatoria
ejecución.
La ausencia de una guía constituida ha ocasionado imprecisiones en la ejecución

de pruebas de escrito que actualmente se implementan en el interior del Banco
Popular, por lo que se ha evidenciado que existe un total desconocimiento de los
participantes en sus roles y responsabilidades generando escenarios improvisados
en donde no hay participación por no conocer las actividades que deben
desempeñar.
Actualmente no existen o no se realizan ejercicios en ambientes controlados, es por

esa razón la ausencia de una guía que diseñe simulacros sobre gestión de
incidentes. Si bien no se tiene evidencia de la materialización de un incidente,
tampoco se tiene la suficiente preparación, fortalezas y destrezas para la respuesta
de ataques cibernéticos por el desconocimiento de las mejores prácticas y manejos
que existen para gestionar apropiadamente un incidente como las que cuenta los
estándares de ISO/IEC 27035 y NIST 800-61.
2.2 FORMULACIÓN DEL PROBLEMA
¿Cómo se puede mejorar la debilidad en la detección y respuesta de amenazas

cibernéticas, ante la ausencia de guías y/o instrucciones para diseñar simulacros de
gestión de incidentes de ciberseguridad que permitan entrenar la capacidad de
respuesta frente a escenarios reales de incidentes en el Banco Popular?
24
3. OBJETIVOS
3.1 OBJETIVO GENERAL
Proveer de una guía integral al Banco Popular para el diseño simulacros de

incidentes de ciberseguridad a través de la adaptación de estándares y
metodologías reconocidas como ISO/IEC 27035, NIST SP 800-61 y NIST SP 800-
84, para entrenar capacidades de respuesta de cualquier tipo de incidente de
ciberseguridad.
3.2 OBJETIVOS ESPECÍFICOS
• Describir el estado actual del Banco Popular frente a su preparación en la gestión

de incidentes de ciberseguridad.
• Describir qué es y en qué consiste la taxonomía de clasificación de

Ciberincidentes, según la Asobancaria, ColCERT y la Superintendencia Financiera
de Colombia.
• Describir las fases de gestión de incidentes de ciberseguridad desde la

orientación de la ISO/IEC 27035 y NIST SP 800-61.
• Definir qué es un ejercicio de mesa y funcional y los pasos a seguir en la guía del
diseño de simulacros de incidentes de ciberseguridad.
• Realizar un ejercicio funcional como prueba a la guía contemplando la afectación

de un servicio crítico documentando las evidencias y resultados en el Banco
Popular.
• Presentar lecciones aprendidas que promuevan un ambiente de cooperación al

interior del Banco Popular frente a la gestión de incidentes de ciberseguridad.
25
4. MARCO REFERENCIAL
La gestión de incidentes es un proceso crítico para el Banco popular, ya que permite

minimizar los impactos negativos de eventos inesperados en la continuidad del
negocio y en la seguridad de los datos de empleados y clientes. En este sentido, la
creación de guías que diseñen simulacros para entrenar capacidades de respuesta
en la gestión de incidentes es una herramienta fundamental para mejorar la
preparación y respuesta ante posibles eventos.
En el marco teórico del trabajo de grado se abordarán temas relacionados con la

gestión de incidentes y la creación de guías de simulacros. En primer lugar, se
describirán los conceptos fundamentales de la gestión de incidentes, incluyendo los
diferentes tipos de incidentes y los procesos básicos de gestión.
En segundo lugar, se analizarán las ventajas de la realización de simulacros para la

gestión de incidentes, como la identificación de debilidades en el plan de
contingencia y la capacitación del personal en la toma de decisiones en situaciones
de crisis.
Finalmente, se abordará la importancia de las guías para la creación de simulacros

efectivos, las cuales deben contemplar una serie de elementos clave como la
definición de objetivos claros, la identificación de roles y responsabilidades, la
selección de escenarios realistas, la implementación de medidas de seguridad y la
evaluación de resultados. Por tal motivo, el presente proyecto estará apoyado por
las normas NIST SP-800-61 e ISO/IEC 27035:2011 y otras fuentes y documentos
como NIST SP 800-84.
4.1 MARCO TEÓRICO
En la actualidad, la seguridad de la información se ha convertido en uno de los

temas más importantes para las organizaciones, especialmente para aquellas que
manejan información confidencial y sensible como los bancos. Por ello, es esencial
contar con medidas de ciberseguridad adecuadas que permitan prevenir y mitigar
posibles incidentes de seguridad informática. Una de estas medidas es la
realización de simulacros de incidentes de ciberseguridad, los cuales permiten a las
organizaciones evaluar su capacidad de respuesta ante incidentes reales y mejorar
su postura de seguridad en línea.
La creación de una guía que permita diseñar simulacros de incidentes de

ciberseguridad se apoya en estándares y guías internacionales que permiten
establecer las mejores prácticas para la gestión de incidentes de ciberseguridad.
26
Entre estos estándares se destacan ISO/IEC 27035, NIST SP 800-61 y NIST SP
800-84, los cuales establecen pautas para la planificación, diseño, ejecución y
evaluación de los simulacros de incidentes de ciberseguridad.
La norma ISO/IEC 27035 proporciona una guía detallada para la gestión de

incidentes de seguridad de la información, incluyendo la planificación de la gestión
de incidentes, la detección y análisis de incidentes, la evaluación de riesgos y la
implementación de medidas de respuesta y recuperación. Esta norma se centra en
la identificación temprana de los incidentes, la evaluación de los impactos y la
implementación de medidas para reducir los daños62.
Por otro lado, el Instituto Nacional de Estándares y Tecnología de los Estados

Unidos (NIST) ha publicado una serie de guías para la gestión de incidentes de
seguridad de la información, entre las cuales destacan el NIST SP 800-61 y NIST
SP 800-84. El NIST SP 800-61 proporciona pautas para la respuesta a incidentes,
incluyendo la planificación de la respuesta a incidentes, la detección y análisis de
incidentes, la contención y erradicación de incidentes, la recuperación y la
evaluación de la respuesta a incidentes. El NIST SP 800-8463, por su parte, se
enfoca en la planificación y diseño de ejercicios de simulación de incidentes de
seguridad de la información, proporcionando una guía detallada para el diseño,
preparación, ejecución y evaluación de los ejercicios.
La creación de una guía para diseñar simulacros de incidentes de ciberseguridad

es esencial para que las organizaciones puedan evaluar su capacidad de respuesta
ante posibles incidentes de seguridad informática. Para lograr una guía efectiva, se
deben considerar los estándares y guías internacionales que establecen las mejores
prácticas para la gestión de incidentes de ciberseguridad. En este sentido, los
estándares ISO/IEC 27035, NIST SP 800-61 y NIST SP 800-84 proporcionan una
base sólida para el diseño y ejecución de simulacros de incidentes de
ciberseguridad eficaces y eficientes.
4.2 MARCO NORMATIVO
4.2.1 NIST SP-800-61: Guía de gestión de incidentes de seguridad64. La
62 MARSAL GIMÉNEZ, María y MONGES OLMEDO, Mario. Modelo teórico de gestión de incidentes
de seguridad de la información, para entidades financieras, basado en ISO 27035:2011. En: Revista
Científica- Estudios e Investigaciones. [en línea]. Bogotá, 2016. vol.7, nro. 55. p. 33-46. [Consultado:
13 de febrero de 2023]. Disponible en http://revista.unibe.edu.py/index.php/rcei/article/view/278
63 CUTA BENITES, Edward. Diseño de un plan de recuperación ante desastres basado en la norma
NIST SP 800-34 rev1 para un proveedor de servicios de telecomunicaciones en el Perú. [en línea].
Perú: UPC [citado 3 de marzo de 2023]. Disponible en Internet: < URL:
https://repositorioacademico.upc.edu.pe/handle/10757/652120>
64 NIST. National Institute of Standards and Technology. Computer. Norma SP 800-61. Guía de
27
respuesta a incidentes de seguridad informática se ha convertido en un componente
importante de los programas de tecnología de la información (TI). Las amenazas
relacionadas con la seguridad se han vuelto no solo más numerosas y diversas,
sino también más dañinas y perturbadoras. Con frecuencia surgen nuevos tipos de
incidentes relacionados con la seguridad. Las actividades preventivas basadas en
los resultados de las evaluaciones de riesgos pueden reducir el número de éstos,
pero no todos los incidentes se pueden prevenir. Por lo tanto, es necesaria una
capacidad de respuesta a estos sucesos a fin de detectarlos rápidamente, minimizar
pérdidas y destrucción, mitigar las debilidades que fueron explotadas y restaurar los
servicios informáticos.
A partir de lo anterior, el presente documento proporciona pautas para el manejo de

incidentes, particularmente para analizar datos relacionados con éstos y determinar
la respuesta apropiada para cada uno. Las pautas se pueden seguir
independientemente de las plataformas de hardware, sistemas operativos,
protocolos o aplicaciones particulares.
Ahora bien, realizar una respuesta a incidentes de manera efectiva es una tarea
compleja, al igual que establecer una capacidad de respuesta exitosa requiere una
planificación y recursos sustanciales; es por ello por lo que es esencial monitorear
continuamente las amenazas a través de los sistemas de prevención y detección de
intrusos (IDPS) y otros mecanismos. Adicional a lo anterior, es fundamental
establecer procedimientos claros para evaluar el impacto comercial actual y
potencial de los incidentes, al igual que implementar métodos efectivos para
recopilar, analizar y reportar datos. La construcción de relaciones y el
establecimiento de medios adecuados de comunicación con otros grupos internos
(p. ej., recursos humanos, legal) y con grupos externos (p. ej., otros equipos de
respuesta a incidentes, aplicación de la ley) también son vitales.
A partir de lo expuesto, la presente investigación busca ayudar a los equipos de

respuesta a incidentes tanto establecidos como recién formados. Adicional, servirá
como ayuda a las organizaciones a establecer capacidades de solución a incidentes
de seguridad informática y manejarlos de manera eficiente y eficaz; en ese sentido,
se analiza los siguientes elementos:
1) Organizar una capacidad de respuesta a incidentes de seguridad informática
• Establecimiento de políticas y procedimientos de respuesta a incidentes.
• Estructuración de un equipo de respuesta a incidentes, incluidas las

consideraciones de subcontratación.
manejo de incidentes de seguridad [en línea]. USA: La Entidad [citado 14 de diciembre de 2022].
Disponible en Internet: < URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-
61r2.pdf>
28
• Reconocer qué personal adicional puede ser llamado para participar en la
respuesta a incidentes.
2) Manejo de incidentes desde la preparación inicial hasta la fase de lecciones

aprendidas posteriores al incidente.
3) Manejo de tipos específicos de incidentes.
• Denegación de servicio (DoS): un ataque que impide o perjudica el uso

autorizado de redes, sistemas o aplicaciones al agotar los recursos
• Código malicioso: un virus, gusano, caballo de Troya u otra entidad maliciosa

basada en código que infecta con éxito un host.
• Acceso no autorizado: una persona obtiene acceso lógico o físico sin permiso a
una red, sistema, aplicación, datos u otro recurso de TI.
• Uso inapropiado: una persona viola el uso aceptable de cualquier política de red
o computadora.
• Componente múltiple: un solo incidente que abarca dos o más; por ejemplo, una
infección de código malicioso conduce al acceso no autorizado a un host que luego
se utiliza para obtener acceso no autorizado a host adicionales.
El proceso de respuesta a incidentes consta de varias fases, desde la preparación

inicial hasta el análisis posterior al incidente. La fase inicial consiste en establecer y
capacitar un equipo de respuesta a incidentes y adquirir las herramientas y los
recursos necesarios. Durante la preparación y la organización también intenta limitar
la cantidad de incidentes que ocurrirán seleccionando e implementando un conjunto
de controles basados en los resultados de las evaluaciones de riesgos. Sin
embargo, el riesgo residual inevitablemente persistirá después de que se
implementen los controles; además, ningún control es infalible; por lo tanto, la
detección de brechas de seguridad es necesaria para alertar a la organización cada
vez que ocurran incidentes.
De acuerdo con la gravedad del incidente, la organización puede actuar para mitigar
el impacto, conteniéndolo y, en última instancia, recuperándose de él. Una vez que
el incidente se maneja adecuadamente la organización emite un informe que detalla
la causa y el costo de éste y los pasos que la organización debe tomar para
prevenirlos.
Las principales fases del proceso de respuesta a incidentes (preparación, detección

y análisis, contención/erradicación/recuperación y actividad posterior al incidente)
29
se describen en detalle a lo largo de esta sección. La figura 1 ilustra el ciclo de vida
de la respuesta a incidentes.
Figura 1. Ciclo de vida de respuesta a incidentes
Fuente: Conseguido de la NIST. National Institute of Standards and Technology. Computer. Norma
SP 800-61. Guía de manejo de incidentes de seguridad [en línea]. USA: La Entidad [citado 14 de
diciembre de 2022]. Disponible en Internet: < URL:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf>
4.2.2 ISO/IEC 27035:2011: Tecnología de la información — Técnicas de

seguridad — Gestión de incidentes de seguridad de la información65. La
norma ISO/IEC 27035:2011 establece un marco de trabajo para la gestión de
incidentes de seguridad de la información en una organización. Proporciona
orientación y recomendaciones para planificar, establecer, implementar, operar,
supervisar, revisar, mantener y mejorar un proceso de gestión de incidentes de
seguridad de la información efectivo y eficiente.
En general, las políticas o controles de seguridad de la información por sí solos no

garantizarán la protección total de la información, los sistemas de información, los
servicios o las redes. Una vez que se han implementado los controles, es probable
que queden vulnerabilidades residuales que pueden hacer que la seguridad de la
información sea ineficaz y, por tanto, se produzcan incidentes de seguridad de la
información si estos no son monitoreados.
Esta norma se aplica a todas las organizaciones, independientemente de su

tamaño, tipo, naturaleza y sector. Se centra en la gestión de incidentes de seguridad
de la información, que se define como una interrupción o evento que indica que la
seguridad de la información puede haber sido comprometida o ha fallado de alguna
manera.
65ICONTEC. Instituto Colombiano de Normas Técnicas y Certificación. Guía Técnica Colombiana

GTC-ISO/IEC 27035. Tecnología de la Información. Técnicas de seguridad. Gestión de Incidentes
de Seguridad de la Información. Bogotá: Icontec, 2011.p.9.
30
El objetivo principal de la norma ISO/IEC 27035:2011 es ayudar a las
organizaciones a responder de manera rápida y efectiva a los incidentes de
seguridad de la información y minimizar su impacto en la confidencialidad, integridad
y disponibilidad de la información. Por lo tanto, es esencial para cualquier
organización que se tome en serio la seguridad de la información deba tener un
enfoque estructurado y planificado para:
• Detectar, informar y evaluar incidentes de seguridad de la información;
• Responder a incidentes de seguridad de la información, incluida la activación de

controles apropiados para la prevención, reducción y recuperación de impactos (por
ejemplo, en apoyo de áreas de gestión de crisis);
• Reportar vulnerabilidades de seguridad de la información que aún no han sido

explotadas para causar eventos de seguridad y posiblemente incidentes para luego
evaluarlos y tratarlos apropiadamente;
• Aprender de los incidentes y vulnerabilidades de seguridad de la información,

instituir controles preventivos y realizar mejoras en el enfoque general de la gestión
de incidentes de seguridad de la información.
Se destaca que esta norma internacional proporciona orientación sobre la gestión

de incidentes de seguridad de la información.
Ahora bien, el término "gestión de incidentes de seguridad de la información" se

utiliza en esta norma internacional para abarcar la gestión no solo de incidentes de
seguridad de la información, sino también de vulnerabilidades.
Por otra parte, esta norma internacional proporciona un enfoque estructurado y

planificado para:
• Detectar, reportar y evaluar incidentes de seguridad de la información;
• Responder y gestionar incidentes de seguridad de la información;
• Detectar, evaluar y gestionar vulnerabilidades de seguridad de la información; y
• Mejorar continuamente la seguridad de la información y la gestión de incidentes

como resultado de la identificación de vulnerabilidades e incidentes de seguridad de
la información.
Adicionalmente, la norma proporciona orientación sobre la gestión de incidentes de

seguridad de la información para organizaciones grandes y medianas. Las
organizaciones más pequeñas pueden usar un conjunto básico de documentos,
31
procesos y rutinas descritos en la guía, siempre dependiendo de su tamaño y tipo
de negocio en relación con la situación de riesgo de seguridad de la información.
También proporciona orientación para organizaciones externas que brindan
servicios de gestión de incidentes de seguridad de la información.
Es importante resaltar que la guía proporcionada por esta norma internacional es

extensa y, si se adopta en su totalidad, podría requerir recursos significativos para
operar y administrar. Por lo tanto, es importante que una organización que aplique
esta guía mantenga un sentido de perspectiva y se asegure de que los recursos
aplicados a la gestión de incidentes de seguridad de la información y la complejidad
de los mecanismos implementados se mantengan en proporción a lo siguiente:
• Tamaño, estructura y naturaleza comercial de una organización.
• Alcance de cualquier sistema de gestión de seguridad de la información dentro

del cual se manejen los incidentes.
• Potencial de pérdida a través de incidentes no prevenidos que surjan y
• Los objetivos de la empresa.
4.2.3 NIST SP 800-84: Guía de prueba, capacitación y programas de ejercicios

para TI planes y capacidades66. El NIST SP 800-84 es una guía desarrollada por
el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos para
ayudar a las organizaciones a desarrollar, implementar y mejorar los planes y
capacidades de prueba, capacitación y programas de ejercicios para la seguridad
de las tecnologías de la información (TI).
La guía se centra en proporcionar un marco de referencia para que las

organizaciones evalúen y mejoren su capacidad para responder a incidentes de
seguridad de TI. El documento proporciona información detallada sobre cómo las
organizaciones pueden desarrollar programas de prueba, capacitación y ejercicios,
incluyendo la identificación de objetivos y objetivos, el diseño de escenarios
realistas, la definición de roles y responsabilidades, la evaluación de resultados y la
mejora continua.
Si bien es importante contar con planes para ayudar a una organización a responder
y administrar diversas situaciones relacionadas con la tecnología de la información
(TI), es igualmente importante mantener estos planes en un estado de preparación.
Esto incluye tener personal de TI capacitado para cumplir con sus roles y
responsabilidades; tener planes ejercidos para validar sus políticas y
66NIST. National Institute of Standards and Technology. Norma NIST SP 800-81. Guía de prueba,
capacitación y programas de ejercicios para TI planes y capacidades. USA. 2013.P. 37.
32
procedimientos; y tener sistemas probados para asegurar su operatividad. Estos
tres tipos de eventos se pueden llevar a cabo de manera eficiente y efectiva a través
del desarrollo e implementación de un programa de prueba, entrenamiento y
ejercicio (TT&E por sus siglas en inglés).
El objetivo de la guía es ayudar a las organizaciones a desarrollar planes y

capacidades efectivas de seguridad de TI que les permitan detectar, contener y
recuperarse de los incidentes de seguridad de manera rápida y eficiente. La guía
también se centra en la importancia de la colaboración y la comunicación entre las
organizaciones y sus socios de seguridad para garantizar una respuesta efectiva a
los incidentes de seguridad de TI.
Este documento también contiene varios apéndices. Los Apéndices A, B y C

contienen muestras de la documentación asociada con ejercicios de simulación,
ejercicios funcionales y pruebas, respectivamente. El Apéndice D contiene un
glosario y el Apéndice E contiene una lista de siglas. El Apéndice F identifica
recursos impresos y en línea que pueden ser útiles para determinar el alcance,
planificar, documentar, realizar y evaluar eventos de TT&E. El Apéndice G contiene
un índice de la publicación.
4.2.4 Guía de gestión de incidentes de seguridad de la información para la

oficina de tecnología de la información y la comunicación – OTIC del
Ministerio de Salud y Protección Social, tomando como base la norma ISO
27001:2013. Trabajo de grado para optar al título de Especialista en Seguridad
Informática por estudiantes de la Universidad Piloto de Colombia, quienes
desarrollaron y suministraron de una guía de tratamiento de incidentes de seguridad
de la información al Ministerio de Salud y Protección Social - MSPS bajo la
necesidad de crear una guía que permitiera dar una respuesta efectiva y así reducir
los tiempos de atención y gestión de incidentes de ciberseguridad.67
La guía tiene como base la norma ISO 27001:2013, la cual establece los requisitos
para la implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI). Esta norma proporciona un marco de trabajo para establecer, implementar,
mantener y mejorar la seguridad de la información en una organización.
La justificación del trabajo en mención da lugar a los crecientes ataques

informáticos, perdida de datos y secuestro de la información, indisponibilidad de los
activos de información entre otros, que generan pérdidas económicas, operativas y
67 GONZÁLEZ, Jorge y PARRADO, Víctor. Guía de gestión de incidentes de seguridad de la
información para la oficina de tecnología de la información y la comunicación – OTIC del Ministerio
de Salud y Protección Social, tomando como base la norma ISO 27001:2013. [en línea]. Bogotá:
Universidad Piloto de Colombia [citado 3, febrero de 2023]. Disponible en Internet: < URL:
http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2659/Trabajo%20de%20grado.pdf
?sequence=1&isAllowed=y
33
afectación a la imagen de las organizaciones.
La guía de gestión de incidentes de seguridad de la información para la OTIC se

centra en los incidentes de seguridad de la información y en cómo manejarlos de
manera efectiva. La guía proporciona una metodología para la gestión de incidentes
de seguridad de la información, que incluye la identificación, la evaluación, la
respuesta y el seguimiento de los incidentes.
El objetivo de esta guía es ayudar a la OTIC del Ministerio de Salud y Protección

Social a gestionar los incidentes de seguridad de la información de manera efectiva,
minimizando su impacto en la organización y en los servicios que ofrece. Además,
la guía busca fomentar una cultura de seguridad de la información en la
organización, donde todos los empleados sean conscientes de la importancia de la
seguridad de la información y estén comprometidos en la protección de los activos
de la organización.
Siendo este un proyecto para el Ministerio de Salud y Protección Social se sustentó

en un proyecto de consultoría para la Gestión de Seguridad de la Información entre
agosto y diciembre del Año 2014, el cual permitió identificar el estado de
cumplimiento en términos de seguridad de la información del Ministerio a ese
momento, respecto a lo establecido por la Norma NTC-ISO/IEC 27001:2013. Como
recomendaciones y conclusiones importantes se identificaron:
• La gestión de riesgos en seguridad de la información de acuerdo con el numeral

6 de la norma NTC-ISO/IEC 27001:2013 se encontraba a un 0% de avance.
• El cumplimiento del control de gestión de incidentes establecido en la norma

NTC-ISO/IEC 27001:2013 se encontraba en un 0%.
• El cumplimiento de las cláusulas establecidas en la norma NTC-ISO/ICE

27001:2013 es del 15%, lo que refleja un nivel bajo de implementación, mientras
que la implementación de controles es del 46% lo cual representa un porcentaje
aceptable respecto a lo que requiere la misma norma.
• El resultado de las pruebas de vulnerabilidad y Ethical Hacking permitió identificar

que el estado de la infraestructura tecnológica del MSPS cuenta con un nivel de
exposición medio. Esto con base en los niveles de clasificación de las
vulnerabilidades identificadas, así como en los ataques que se llevaron a cabo
dentro de la red.
• Aunque la infraestructura del MSPS cuenta con un nivel aceptable de seguridad

y protección, fue posible ejecutar varios ataques con resultado exitoso. Por esta
razón se requiere la implementación de controles adicionales para reducir el riesgo
al que se encuentran expuestos los sistemas de información dentro del Ministerio.
34
De acuerdo con los resultados obtenidos por la empresa consultora, con el resultado
del análisis GAP realizado en el Ministerio, se inicia un proceso para poder
establecer, implementar, mantener y mejorar un SGSI en la entidad.
4.2.5 Diseño de un modelo para la gestión de incidentes en ciberseguridad

basado en la norma Iso27002:2013 para la empresa proyectos de inversión
Vial Andino S.A.S68. De acuerdo con el trabajo de grado para optar al título de
Especialista en Seguridad informática para la Universidad Nacional Abierta y a
Distancia, presenta una estrategia para la gestión de incidentes de ciberseguridad
basada en la norma ISO27002 para la empresa Proyectos de Inversiones Vial
Andino S.A.S,
Luego de analizar y estudiar una posible vulnerabilidad y amenaza a la que es

exhibida los servicios básicos tecnológicos de la organización, con el fin de brindar
una serie de recomendaciones, prevenciones y acciones referente a ataques de
cibernéticos que pueda presentarse en el desarrollo de su labor. Para lograr
alcanzar los objetivos propuestos, primero se realizó un análisis del inventario de
activos, luego las amenazas a las que pueden estar expuestas estos equipos, se
estudiaran los ataques cibernéticos que se presentan con más frecuencia,
determinando que daños causan y cuáles son las posibles acciones para realizar
después de que ocurra un incidente de ciberseguridad. Así mismo se analizarán la
norma ISO27002 para determinar cuáles podrían ser aplicables dentro del
desarrollo del trabajo, luego se realizará un estudio para determinar el estado actual
de ciberseguridad que presenta la organización, así como los recursos de
infraestructura con los que cuenta, con esto se buscará orientar la metodología
propuesta para que se adapte al modelo de negocio y a los recursos presentes. Una
vez hecho el análisis y estudio del estado de ciberseguridad dentro de la
organización se procederá a implementar el modelo de aseguramiento de
ciberseguridad que sirva como apoyo dentro del proceso de gestión de seguridad.
4.2.6 Diseño de un procedimiento de gestión de incidentes de ciberseguridad

que articule la gestión de riesgos, continuidad, crisis y resiliencia que se
pueda integrar a la respuesta corporativa69. Proyecto para optar por el título de
Magister en Seguridad informática, establece un procedimiento de Gestión de
68 ARENÍZ, Gabriel. Diseño de un modelo para la gestión de incidentes en ciberseguridad basado en

la Norma ISO 27002:2013 para la Empresa Proyectos de Inversión Vial Andino S.A.S. [en línea].
Bogotá: El Autor [citado 3, febrero de 2023]. Disponible en Internet: < URL: .
https://repository.unad.edu.co/handle/10596/52511>
69 GÓMEZ, F y VALENCIA, H. Diseño de un procedimiento de gestión de incidentes de
ciberseguridad que articule la gestión de riesgos, continuidad, crisis y resiliencia que se pueda
integrar a la respuesta corporativa. [en línea]. Bogotá: El Autor [citado 11, marzo de 2023].
Disponible en Internet: < URL: http://hdl.handle.net/20.500.12622/5197>
35
incidentes de Ciberseguridad que se articula e integra a las actividades claves de la
gestión de riesgos, continuidad del negocio, gestión de crisis y resiliencia con la
respuesta corporativa de acuerdo con el nivel de escalamiento que un incidente de
ciberseguridad pueda requerir para el restablecimiento de la disponibilidad de los
posibles servicios afectados y que son soportados por las tecnologías de la
operación (TO), dicho proyecto fue enfocado a las organizaciones del sector
energético. Dicho procedimiento para la gestión de incidentes tiene en cuenta los
requerimientos mínimos que una empresa de energía debe cumplir para ofrecer
dicho servicio, con lo cual, ante un evento de seguridad, se propone una respuesta
articulada, validando que la disponibilidad del servicio de energía cumpla con dichos
requerimientos. Para lograr el resultado esperado fue necesario; 1) definir una ficha
técnica con los criterios mínimos de disponibilidad para la prestación del servicio de
energía, 2) realizar un comparativo de los referentes relacionados con el tema de
investigación para determinar las actividades claves de gestión de riesgos, gestión
de crisis, continuidad y resiliencia, 3) identificar los componentes para diseñar un
procedimiento de gestión de incidentes de ciberseguridad que se ajuste al sector y
4) validar con un caso de estudio que se pruebe su coherencia, efectividad y
articulación con la respuesta corporativa para la atención de los incidentes de
ciberseguridad. El resultado obtenido es un procedimiento ante eventos de
ciberseguridad que comprenda una gestión integral, en especial en los sistemas de
control industrial donde el nivel de madurez en el manejo de este tipo de incidentes
es bajo.
4.3 MARCO CONTEXTUAL
El Banco Popular es entidad financiera de Colombia, se crea el 30 de junio de 1950

y el 18 de diciembre del mismo año inicia labores en la oficina San Agustín (en la
ciudad de Bogotá), con un capital de 700 mil pesos y siete empleados fundadores.
En 1951 abre su primera sucursal en Manizales y al año siguiente inicia su proceso

de expansión por el país. Actualmente el Banco cuenta con sedes en 29 de los 32
departamentos de Colombia y 193 oficinas a nivel nacional. Durante la década de
los 50 se crean filiales para complementar la labor social del Banco; entre ellas, la
Compañía Popular de Seguros y en asocio con ACOPI la Corporación de Ferias y
Exposiciones CORFERIAS.
En la década del 70, el portafolio de créditos aumenta y el Banco Popular se

consolida como la entidad bancaria estatal por excelencia. En esta misma época se
crea el Servicio Jurídico Popular con el fin de prestar asesorías y consultas gratuitas
a personas de escasos recursos económicos.
En la década de 1980, el Banco Popular consolida su liderazgo gracias a su

condición de Banco oficial en medio de la crisis financiera de los años 80. El 21 de
noviembre de 1996 se privatiza el Banco Popular y el grupo Luis Carlos Sarmiento
36
Angulo LTDA., a través de la Sociedad Popular Investments S.A., se convierte en el
mayor accionista del Banco.
En medio de la privatización, nace el Grupo Aval conformado por: El Banco de

Bogotá, el Banco de Occidente y el Banco AV Villas.
En la década de los 90 el Banco Popular se consolida con su producto Prestayá, un

crédito de libranza enfocado a brindarle a sus clientes la posibilidad de obtener
recursos de manera sencilla, convirtiendo al Banco en líder del sector financiero en
este producto.70
El Banco Popular tiene una estructura jerárquica que consta de varios

departamentos o áreas funcionales, como banca comercial, banca corporativa,
finanzas, recursos humanos, tecnología de la información, cumplimiento normativo,
auditoría interna, entre otros.
En la cima de la jerarquía se encuentra Presidencia, quién es responsable de la

dirección estratégica del banco y de supervisar el desempeño de las
vicepresidencias. Debajo de las vicepresidencias se encuentra Gerencias y
Jefaturas, encargada de la gestión diaria del banco.
La Gerencia de Privacidad, Ciberseguridad y Seguridad de la Información es un

área trasversal subordinada por la vicepresidencia integral de riesgo dentro del
Banco Popular, ya que es la responsable de garantizar la privacidad,
confidencialidad, integridad y disponibilidad de la información de clientes y
empleados. Esta gerencia es la encargada de determinar procesos, procedimientos,
lineamientos y estrategias para proteger los activos de información del banco contra
amenazas internas y externas.
Esta gerencia será la encargada de establecer y organizar las actividades en la

ejecución de diseños de simulacros que otorguen mayores habilidades de respuesta
ante la materialización de eventos de seguridad a los responsables de atención y
gestión de incidentes de seguridad y ciberseguridad.
La importancia de esta gerencia radica en varios aspectos. En primer lugar, la

información es uno de los activos más valiosos del Banco Popular, y su protección
es crucial para el éxito y la continuidad del negocio. La pérdida, la divulgación o la
corrupción de la información pueden tener graves consecuencias financieras y
reputacionales para la organización.
En segundo lugar, la gerencia de Privacidad, Ciberseguridad y Seguridad de la

Información es responsable de garantizar que el banco cumpla con las regulaciones
70BANCO POPULAR. Historia de la entidad. [en línea]. Bogotá: La entidad [citado 3, febrero de
2023]. Disponible en Internet: < URL: https://acortar.link/Tqek9p >
37
y normativas relacionadas con la seguridad de la información. Estas regulaciones
incluyen leyes de privacidad, estándares de seguridad de la información y requisitos
de cumplimiento normativo.
Además, la gerencia de Privacidad, Ciberseguridad y Seguridad de la Información

es la responsable de crear una cultura de seguridad en la organización,
promoviendo la conciencia y la capacitación en seguridad de la información entre
los empleados y garantizando que todos los procesos y actividades del banco se
realicen de manera segura y protegida.
En resumen, la gerencia de Privacidad, Ciberseguridad y Seguridad de la
Información es una pieza clave en la estrategia de seguridad del Banco Popular, ya
que es la encargada de establecer medidas de protección efectivas para la
información, y garantizar que se cumplan las regulaciones y normativas
relacionadas con la seguridad de la información. La labor de esta gerencia es
fundamental para mantener la confianza de los clientes, proteger la reputación del
banco y asegurar la continuidad del negocio.
Misión. Es ser una empresa sostenible que crea experiencias que transforman
positivamente la vida de la gente.71
Visión. Ser elegidos, queridos y recomendados por nuestra gente72.
4.4 MARCO LEGAL
La ciberseguridad es un tema de gran importancia en el mundo actual,

especialmente en el sector financiero, donde la confidencialidad y la integridad de
la información son fundamentales. Por esta razón, resulta necesario establecer un
marco legal que regule las acciones y responsabilidades en caso de que se presente
algún incidente de ciberseguridad en las organizaciones.
En este sentido, el Banco Popular, como entidad financiera líder en Colombia, busca
desarrollar una guía para el diseño de simulacros de incidentes de ciberseguridad,
que le permita estar preparado y actuar de manera oportuna ante una posible
brecha de seguridad. Es importante que esta guía esté en línea con las regulaciones
y normativas establecidas a nivel nacional, para garantizar una gestión efectiva de
los incidentes y la protección de los datos y activos del banco y de sus clientes.
Además, se deben tener en cuenta las leyes y regulaciones locales, como la Ley de
Protección de Datos Personales en Colombia y las regulaciones de la
Superintendencia Financiera de Colombia. El marco legal del siguiente trabajo de
71 BANCO POPULAR. Información Institucional [en línea]. Bogotá: La entidad [citado 3, febrero de
2023]. Disponible en Internet: < URL: https://acortar.link/qoqjiU]
72 Ibid., p.2.
38
investigación se fundamenta en las siguientes políticas públicas:
Ley 1273 de 200973. La cual se enfoca en la protección de la información y de los

datos, el cual sirva para preservar integralmente los sistemas donde se utilicen
recursos tecnológicos y se recolecte todo tipo de información, entre otras
disposiciones. Por medio de la cual dicta disposiciones para lograr controlar los
atentados contra la confidencialidad, la integridad y la disponibilidad de los datos
que tengan las empresas y los sistemas informáticos donde expone varios artículos
el cual se deben cumplir:
• Artículo 269A: Acceso abusivo a un sistema informático.
• Artículo 269B: Obstaculización ilegitima de sistema informático o red de

telecomunicación.
• Artículo 269C: Intercepción de datos informáticos.
• Artículo 269D: Daño informático.
• Artículo 269E: Uso de software malicioso.
• Artículo 269F: Violación de datos personales.
• Artículo 269G: Suplantación de sitios web para capturar datos personales.
• Artículo 269H: Circunstancias de agravación punitiva.
Ley 1581 de 201274. La presente ley tiene por objeto el cumplir con el derecho que
tienen todos los ciudadanos de disponer los principios de conocer, actualizar y
rectificar los datos personales registrados en cualquier base de datos o archivos de
las empresas. Estos principios sobre la protección de los datos serán aplicables a
todas las bases de datos, cuando estos datos vayan a ser suministrados a terceros
se debe de manera previa, informar al titular y solicitar su autorización. En este caso
los responsables y encargados de las bases de datos, archivos el cual quedan
sujeto a las disposiciones contenidas en la presente ley.
73 COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 1273. (5, enero, 2009) por medio de la cual
se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección
de la información y de los datos" y se preservan integralmente los sistemas que utilicen las
tecnologías de la información y las comunicaciones, entre otras disposiciones. Bogotá, 2009.p.2.
74 COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 1581. (5, enero, 2009). Por la cual se dictan
disposiciones generales para la protección de datos personales. Bogotá, 2012.p.2.
39
Circular Externa 007 DE 2018 de la Superintendencia Financiera de
Colombia75. La Superintendencia Financiera de Colombia impartió nuevas
instrucciones para la gestión del riesgo de ciberseguridad en las entidades vigiladas
y estándares de seguridad para las pasarelas de pago con el fin de fortalecer la
protección de la información de los consumidores financieros.
La Circular Externa 007 de 2018 se expidió teniendo en cuenta el auge de la

digitalización de los servicios financieros, la mayor interconectividad de los agentes
y la masificación en el uso de canales electrónicos, entre otros, y complementa las
normas existentes con relación a la administración de los riesgos operativos y la
seguridad de la información.
Así, la entidad vigilada deberá informar a los consumidores financieros sobre los
incidentes cibernéticos que se hayan presentado y en los que se vieran afectadas
la confidencialidad o integridad de su información, al igual que las medidas
adoptadas para solucionar la situación.
Dentro de los requerimientos que deberán cumplir las entidades vigiladas en materia
de ciberseguridad también está la conformación de una unidad que gestione los
riesgos de seguridad de la información y la ciberseguridad.
75 SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Circular Externa No.7. Institucional [en

línea]. Bogotá: La entidad [citado 3, febrero de 2023]. Disponible en Internet: < URL:
https://www.superfinanciera.gov.co/jsp/Publicaciones/publicaciones/loadContenidoPublicacion/id/10
097769/f/0/c/00>
40
5. DISEÑO METODOLÓGICO
El presente trabajo de investigación tiene como objetivo principal desarrollar una

guía para el diseño de simulacros de gestión de incidentes de ciberseguridad para
el Banco Popular de Colombia. Para lograr este objetivo, se llevará a cabo un diseño
metodológico que incluirá la siguiente estructura:
Fase I
Revisión bibliográfica: En esta etapa se realizará una revisión bibliográfica sobre

los simulacros de gestión de incidentes de ciberseguridad, la gestión de incidentes
de ciberseguridad en el sector financiero y las mejores prácticas para el diseño de
simulacros de gestión de incidentes de ciberseguridad. Esta revisión se realizará
mediante el uso de bases de datos especializadas, buscadores académicos y
fuentes relevantes en la materia.
Análisis de la situación actual: Se realizará un análisis de la situación actual de la

gestión de incidentes de ciberseguridad en el Banco Popular. Esto incluirá una
revisión de los planes de respuesta a incidentes de ciberseguridad existentes, la
identificación de posibles brechas de seguridad y la evaluación de las capacidades
actuales de los empleados del banco para manejar incidentes de ciberseguridad.
Fase II
Diseño de la guía: Se diseñará la guía para el diseño de simulacros de gestión de

incidentes de ciberseguridad para el Banco Popular. La guía incluirá los siguientes
elementos: objetivos del simulacro, alcance del simulacro, roles y responsabilidades
de los participantes, escenarios de simulación, preparación previa al simulacro,
ejecución del simulacro, evaluación post-simulacro y mejoras recomendadas.
Validación de la guía: Se validará la guía mediante la realización de un ejercicio

funcional en el Banco Popular. Durante este ejercicio se pondrá en práctica la guía
diseñada y se evaluará su eficacia. Los resultados de esta validación se utilizarán
para hacer mejoras adicionales en la guía.
Fase III
Conclusiones: En esta última etapa se presentarán las conclusiones del estudio y

se ofrecerán recomendaciones para el Banco Popular con el fin de mejorar su
capacidad para entrenar y manejar posibles incidentes de seguridad cibernética
41
El diseño metodológico descrito anteriormente permitirá desarrollar una guía para
el diseño de simulacros de gestión de incidentes de ciberseguridad efectivos para
el Banco Popular que permitirá mejorar su capacidad para enfrentar y manejar
posibles incidentes de seguridad cibernética.
5.1 HIPÓTESIS
5.1.1 Hipótesis de investigación. Diseñar una guía de simulacros de gestión de

incidentes permitirá entrenar y fortalecer las capacidades de respuesta y atención
incidentes de ciberseguridad de los responsables y dueños de procesos de activos
críticos expuestos al ciberespacio en el Banco Popular.
5.1.2 Hipótesis nula. Diseñar una guía de simulacros de gestión de incidentes no

permitirá entrenar y fortalecer las capacidades de respuesta y atención de
incidentes de ciberseguridad de los responsables y dueños de procesos de activos
críticos expuestos al ciberespacio en el Banco Popular.
5.2 VARIABLES
5.2.1 Variables independentes.
• Guía de simulacros
• Gestión de incidentes
5.2.2 Variables dependientes.
• Capacidades de respuesta
• Atención de incidentes
• Responsables y dueños de procesos
5.3 DEFINICIÓN DE ALCANCE
El presente documento tiene una aplicabilidad para el personal técnico y de TI del

Banco Popular, por ende, el conocimiento y uso de este, está destinado para este
tipo de recurso humano quien deberá capacitarse para fortalecer habilidades en la
42
gestión de incidentes de ciberseguridad. Sin embargo, la intención del presente
trabajo se no limita solamente a que sea aplicado sobre activos críticos del Banco
que se encuentren expuestos al ciberespacio, puede aplicar también en la ejecución
de ejercicios de mesa o funcionales para el desarrollo de destrezas en la toma de
decisiones de personal ejecutivo en donde se deseen evaluar a la junta directiva en
momentos de crisis.
El presente instrumento no examina que sea aplicado sobre activos que sean
dispositivos móviles u otros dispositivos a los cuales el Banco Popular no tiene
expuesto a internet. Se pretende fortalecer esas habilidades sobre aquellos activos
críticos del negocio a partir de pruebas, capacitaciones o ejercicios.
43
6. FASE 1
6.1 ESTADO ACTUAL ANTE LA PREPARACIÓN DE GESTIÓN DE INCIDENTES

DE CIBERSEGURIDAD EN EL BANCO POPULAR
El Banco Popular almacena y maneja grandes cantidades de información financiera

y personal de sus clientes, requiere evaluar su nivel actual de preparación frente a
la gestión de incidentes de seguridad de la información. Para ello, se ha diseñado
un cuestionario basado en los estándares de NIST SP-800-61 y ISO/IEC
27035:2011.
El objetivo de la evaluación es identificar las fortalezas y debilidades del Banco

Popular en cuanto a su preparación para la gestión de incidentes de ciberseguridad,
y determinar si el Banco cuenta con los procesos y controles adecuados para
prevenir, detectar y responder adecuadamente a los incidentes de seguridad de la
información.
El cuestionario ha sido diseñado tomando como referencia los estándares

mencionados anteriormente, que establecen las mejores prácticas para la gestión
de incidentes de seguridad de la información. El cuestionario incluye preguntas
sobre temas como la definición de políticas y procedimientos para la gestión de
incidentes, la formación y capacitación de los empleados, la identificación y
clasificación de los incidentes, la notificación y reporte de los incidentes, la gestión
de la respuesta a los incidentes, la evaluación y mejora continua del proceso de
gestión de incidentes, entre otros aspectos.
El cuestionario será aplicado únicamente el área de tecnología, seguridad de la

información y continuidad de negocio del Banco. Los resultados de la evaluación
permitirán al Banco Popular determinar si cuenta con un nivel adecuado de
preparación para la gestión de incidentes de seguridad de la información, identificar
los aspectos en las que se necesitan mejoras y establecer un plan de acción para
fortalecer la gestión de incidentes en el futuro.
El cuestionario (cuadro 1) contiene 80 controles constituido entre 13 categorías o

clases distintas con la finalidad de evaluar el nivel de preparación y madurez con la
que cuenta el Banco y reconocer un promedio en porcentaje con el fin de identificar
como se encuentra actualmente.
A continuación, se establece la ponderación en una escala de 0 a 100 para

comprender e identificar el nivel de implementación o cumplimiento de cada control
sobre las áreas propuestas al interior del Banco Popular, lo cual se detalla en el
cuadro 1.
44
0-20 puntos: No implementado o sin empezar.
21-40 puntos: Se encuentra en estado inicial o por empezar a implementar.
41-60 puntos: Implementado por debajo de lo esperado o en niveles bajos.
61-80 puntos: Implementado parcialmente sobre lo esperado o niveles medios.
81-99 puntos: Implementado de manera madura/semicompleto.
100 puntos: Totalmente implementado/completo.
Cuadro 1. Cuestionario de preparación ante incidentes de Seguridad de la

Información
Categoría Control - ¿contiene o implementa? %
Certificación en ISO 27001:2022 - Sistemas Gestión de la Seguridad de la
0
Información
ISO 27002:2013 - Código de Práctica para controles de Seguridad de la
0
Información
Referencias
Certificación en ISO 31000:2018 - Gestión del Riesgo 0
Controles CIS versión 8 0
Procedimientos basados en NIST SP 800-61 - Guía de seguridad para la
0
Gestión de Incidentes.
Políticas de Seguridad de la Información (clasificación, almacenamiento, uso
80
y destrucción)
Políticas de Seguridad Informática 80
Políticas Políticas de Almacenamiento y Acceso a la información (repositorios,
80
servidores, carpetas compartidas, particiones cifradas, etc.)
Políticas de Incorporación y Desvinculación de usuarios (áreas RR.HH y TI) 50
Políticas de Asignación de activos informáticos (interno y externos) 0
Políticas de Devolución de activos informáticos (interno y externos) 0
Políticas de Reutilización de activos informáticos (interno y externos) 0
Políticas de Uso de activos informáticos (internos y externos, limitaciones y
70
responsabilidades - firmar acuerdo de confidencialidad)
Políticas de Uso de medios removibles (USB, discos duros portables, etc.) 0
Políticas de Uso de dispositivos móviles y teletrabajo (celulares, notebooks,
65
etc.)
Políticas de Escritorio limpio (papeles y medios removibles) y pantalla limpia
70
(procesamiento de información)
Políticas de Uso y almacenamiento de credenciales (uso personal,
70
almacenamiento en navegadores, post-it, etc.)
Políticas de Control de cambios (flujos, responsables, etc.) 50
Políticas de Desarrollo Seguro 80
Políticas de uso de soluciones criptográficas (almacenamientos,
70
transferencia de datos, etc.)
Políticas de BYOD (Bring Your Own Device) 0
Políticas de Uso de softwares (listado autorizado, auditorías, revisión y
80
autorización de SW de terceros)
Políticas de Cumplimiento legal relacionadas a la seguridad de la
80
información (firmar acuerdo de confidencialidad)
Gestión de Riesgos (Identificación de activos, análisis, amenazas,
70
vulnerabilidades, impacto, tratamiento del riesgo, etc.) / (ISO 31000)
45
Cuadro 1. (Continuación)
Plan de Continuidad de Negocio (BCP) 80
Planes Plan de Recuperación de Desastres (DRP) 90
Plan de Respuesta a Incidentes (IRP) 70
Procedimiento para el reporte de eventos, incidentes o comportamientos
10
inusuales (físicos y lógicos)
Procedimiento para realizar copias de seguridad de la información 70
Procedimientos
Procedimiento para restauración de copias de seguridad de la información 70
Procedimiento para la recolección de evidencia digital (cadena de custodia) 100
Procedimiento para el Control de Cambios 0
Documentación de los diagramas de red (direccionamiento, segmentación,
80
Identificación y VLANs, FW, IPS, IDS, etc.)
documentación de la Inventario de los activos más importantes (activos críticos) 100
infraestructura de TI Identificación y registro de puertos, servicios y recursos compartidos en la
70
red
Contar con copias de seguridad de los activos críticos (limpias, aisladas y
80
Copias de seguridad y sin conectividad con otros sistemas de la misma infraestructura)
respaldo de Respaldo de configuraciones de activos críticos 80
información Realizar pruebas de restauración (para comprobar su integridad y tiempos
50
de recuperación, considerando los SLA respectivos si corresponde)
Si los usuarios almacenan información crítica en sus equipos de trabajo,
debe existir un procedimiento con instrucciones claras para realizar copias 0
de seguridad de manera habitual.
Sistemas Operativos 90
Gestión de
vulnerabilidades y Base de Datos 90
actualizaciones de Aplicaciones 90
seguridad Dispositivos de Seguridad (FW, IDS, IPS, Consola AV, etc.) 90
No utilizar las cuentas por defecto "admin", "root" o similares, en ningún
dispositivo o servicio, en su lugar crear cuentas asociadas a personas con
80
los privilegios necesarios (permite realizar trazabilidad frente a un incidente
o auditorías)
Registro de actividades de las cuentas de usuarios con privilegios de
70
administrador (permite realizar trazabilidad frente a un incidente o auditorías)
Listado de cuentas de usuarios con sus perfiles y privilegios (permite realizar
Usuarios: cuentas, 80
trazabilidad frente a un incidente o auditorías)
privilegios,
sensibilización y Utilizar el principio del mínimo privilegio 90
entrenamiento
Conocer y aplicar, las políticas de seguridad y procedimientos existentes
relacionados con el uso apropiado de recursos informáticos (equipos, redes, 0
sistemas, aplicaciones, correo corporativo, etc.).
Conocer y aplicar el procedimiento para el reporte de incidentes (Phishing,
0
SPAM, Malware, etc.)
Capacitación o procedimientos para las personas encargadas de la
80
protección de datos (Custodios)
46
Educación y formación en la seguridad de la información
80
(entrenamiento, campañas de concientización, etc.)
Políticas de contraseñas seguras (mínimo 14 caracteres
80
alfanuméricos)
Políticas o solución DLP 80
Políticas de Seguridad para bloqueo de cuentas de usuarios por
70
intentos fallidos
Soluciones de seguridad (FW, IDS, IPS, WAF, etc.) 90
Monitoreo de eventos a través de un SIEM o similar 90
Gestión de Eventos reportados 80
Reglas de filtros WEB/URL/IP maliciosas 80
Reglas de enrutamiento y servicios (ACLs) 100
Segmentación de redes y servicios (VLANs) 100
Auditoría de reglas en Firewall, Reuters, IDS, IPS, consola AV, etc.
80
Seguridad en redes (periodicidad)
Actualizaciones de seguridad de IDS, IPS, FW, etc. (estatus de
80
versiones de firmware, base de datos, etc.)
Sincronización correcta de dispositivos de seguridad (fecha y hora) 100
Registro de las actividades de Administradores y operadores de
0
sistemas
Política de implementación y uso de dispositivos WIFI 0
Repositorio o Servidor de Syslog (para consultas históricas o
0
auditorías)
Políticas de almacenamiento y respaldo de logs, periodos de
0
rotación, protección y registro de accesos
Políticas de seguridad para accesos remotos (RDP, SSH, VPN) 10
Políticas de seguridad en puntos de red (port security o similar) 80
Soluciones de seguridad AV, EDR, HIDS, IPS, IDS, etc., vigentes y
80
actualizados
Servidores y Estaciones de trabajo con una solución de seguridad,
80
vigente y actualizada
Prevención de Contar con una política de seguridad para impedir la ejecución de
código malicioso archivos desde directorios comúnmente utilizados por malware (App 0
Data, Local App Data, etc.).
Mostrar extensiones para tipos de archivos conocidos, con el fin de
identificar posibles archivos ejecutables que pudieren hacerse pasar 100
por otro tipo de archivo
Reglas Antispam 70
Reglas de bloqueo (listas negras) para dominios o URL
Políticas de filtro de 70
maliciosas/sospechosas/reputación
correo
Reglas para archivos adjuntos y sus extensiones (.zip, .exe, .bat, .rar,
70
etc.) (IN - OUT)
Contar con una política de comunicación sobre los incidentes de
seguridad que pueden o no ser comunicado a los medios y quiénes
Políticas de 10
lo realizarán (evitar que los usuarios realicen publicaciones no
comunicación
autorizadas a través de redes sociales, prensa, etc.)
Tener preparar un comunicado tipo para dar a conocer el incidente 0
Listado de proveedores de servicios externos con su respectiva
Proveedores 100
información de contacto (considerar SLA)
47
Política de seguridad de la información para las relaciones con los
proveedores (acuerdos de confidencialidad en el intercambio de 80
información - NDA)
Promedio porcentual de cumplimiento % 57
Fuente: Elaboración propia
Gráfica 1. Preparación ante Incidentes de Ciberseguridad
Preparación Ante Incidentes de

Ciberseguridad
Incumplimiento
43% Cumplmiento
57%
Cumplmiento Incumplimiento
De la gráfica 1, se puede sintetizar que el porcentaje de incumplimiento o ausencia

de controles frente a la preparación de incidentes de ciberseguridad, se encuentra
el Banco Popular está alrededor de un 43%, esto es un resultado bastante alto,
especialmente cuando se trata de la preparación de incidentes de ciberseguridad
en un banco. La ciberseguridad es asunto de gran preocupación, ya que un
incidente de seguridad podría poner en riesgo la información personal de empleados
y clientes, así como también los activos de información, la reputación y la confianza
de la institución en el mercado.
Si el Banco Popular no está logrando estar preparado adecuadamente para los

incidentes de ciberseguridad, podría ser vulnerable a ataques y violaciones por
ciberdelincuentes en cualquier momento. Es importante para el Banco tomar
medidas inmediatas para abordar este problema y mejorar su capacidad para
detectar, prevenir y responder a los incidentes de seguridad.
En el presente proyecto, se plantea fortalecer esas debilidades y mejorar destrezas

a los empleados responsables de atender incidentes en el Banco Popular, mediante
la creación de una guía para el diseñar de simulacros de gestión de incidentes de
ciberseguridad tomando como fuentes de trabajo principalmente la norma ISO/IEC
48
27035:2013 y el Framework NIST SP 800-61.
6.2 TAXONOMÍA DE CLASIFICACIÓN DE CIBERINCIDENTES
La ciberseguridad es una preocupación cada vez más importante en el mundo digital

actual, especialmente en el sector financiero, donde los ataques cibernéticos
pueden tener consecuencias graves. En Colombia, la Superintendencia Financiera
y la Asociación Bancaria de Colombia (ASOBANCARIA) han trabajado con el Centro
de Respuesta a Incidentes de Seguridad Informática de Colombia (COLCERT) para
abordar esta preocupación mediante la creación de una Taxonomía Única de
Incidentes Cibernéticos (TUIC).
La TUIC es una herramienta esencial para mejorar la seguridad cibernética en el

sector financiero en Colombia. La TUIC proporciona un marco estandarizado para
la categorización y reporte de incidentes cibernéticos, lo que permite una mejor
comprensión y gestión de estos incidentes por parte de las instituciones financieras,
las autoridades reguladoras y las organizaciones de respuesta a incidentes.
En este contexto, la Superintendencia Financiera y ASOBANCARIA han liderado la

creación de la TUIC, en colaboración con COLCERT, para garantizar que todas las
partes involucradas puedan trabajar juntas de manera efectiva para abordar los
incidentes cibernéticos. La TUIC es una herramienta crucial para la protección de la
información y los activos financieros de los clientes, la confianza del mercado y la
estabilidad financiera.
En esta introducción, se puede apreciar el compromiso de las organizaciones

involucradas con la seguridad cibernética y la protección de los intereses financieros
de los ciudadanos. La TUIC es una herramienta que facilitará la estandarización y
el intercambio de información de incidentes cibernéticos entre las partes
involucradas, lo que permitirá una respuesta rápida y eficiente ante los ataques
cibernéticos. La siguiente taxonomía entrega los lineamientos básicos necesarios
para el reporte de incidentes cibernéticos, ofreciendo una estandarización y
lenguaje común en el proceso de identificación. Está compuesta de cinco (5)
elementos y la clasificación en nueve (9) categorías diferentes que se explican a
continuación:
6.2.1 Elementos de un Incidente. Antes de clasificar un incidente es preciso

identificar los elementos que involucra la materialización de un ciberataque. Esta
individualización al inicio de un incidente no se logra identificar de forma inmediata,
sin embargo, a medida que transcurre el tiempo, en la gestión del incidente se debe
reconocer cada elemento. Estos cinco (5) elementos que deben identificar son:
Agentes de amenaza, herramientas, tácticas y técnicas, activos y propósito.
49
Agentes de amenaza. Considerado como el elemento causante del incidente. Se
le atribuyen las acciones que llevan a la materialización. Ellos son, por ejemplo:
• Hacker o experto en nuevas tecnologías y manejo de computadoras y lenguajes

de programación.
• Ciber ladrón o ladrón cibernético.
• Ciber vendedor o vendedor cibernético.
• Empleado insatisfecho.
• Exempleado.
• Ciberacosador o acosador a través de internet.
• Estafador.
• Crimen organizado.
Herramientas. Elementos utilizados por los agentes de amenaza para materializar

un incidente. Para su identificación se deben considerar las acciones que se
realizaron. Pueden existir un sin número de herramientas, pero es posible
agruparlas en definiciones generales en sus accionares. Ellas son, por ejemplo:
• Herramientas físicas, que son dispositivos diseñados para proteger los sistemas
informáticos y los datos y los agentes de amenaza usan para sus delitos.
• Scripts o conjunto de instrucciones que se ejecutan en un sistema informático

para automatizar tareas y procesos.
• Agentes autónomos, que son programas de software que pueden realizar tareas
de seguridad de forma autónoma y sin la intervención humana.
• Herramienta distribuida que son herramientas de seguridad que utilizan múltiples
dispositivos en una red distribuida (red de computadoras interconectadas que
comparten recursos, datos y servicios entre sí) y los agentes de amenaza usan para
sus delitos.
Tácticas y técnicas. Se definen como el actuar de los agentes de amenaza para

llegar a la materialización del incidente. Este elemento define gran parte de la
clasificación de éste dentro de la taxonomía. Se debe identificar y reportar la táctica
y la técnica haciendo uso del Framework de MITRE denominado ATT&CK76.
Activos. A qué elemento fue dirigido el ataque que concluyó con la materialización
del incidente. No se tiene una lista definida, pero es posible identificarlo como:
• Un servicio
76MITRE ATT&CK. Matriz empresarial. [en línea]. Bogotá: La Empresa [citado 12 de enero de 2023].
Disponible en Internet: < URL: https://attack.mitre.org/matrices/enterprise/>
50
• Un proceso
• Información
• Componente de TI
• Estación(es) de Trabajo
• Una o varias redes
• Otro, por ejemplo, recurso humano.
Propósito. Es posible que los agentes de amenaza tengan un fin a cumplir. Este
elemento podrá brindar una clara identificación del incidente. Aunque algunas veces
no sea fácil determinarlo de manera inmediata, este se puede identificar durante la
gestión del incidente. Se tienen como propósitos los siguientes:
• Desafío
• Asuntos políticos
• Pánico
• Ganancia financiera
• Daño
• Espionaje
De lo anterior, los elementos que se deben identificar se pueden clasificar los

incidentes en nueve categorías, tal como se aprecia en la figura 2 y cuadro 2.
6.2.2 Categorías. La Taxonomía de Incidentes es una estructura clasificatoria que

se utiliza para categorizar y organizar los incidentes de seguridad de la información
en diferentes tipos, con el objetivo de facilitar su gestión y respuesta.
Comprender la taxonomía de los incidentes será esencial y útil para diseñar

simulacros de incidentes de ciberseguridad efectivos ya que perimirá identificar los
diferentes tipos de incidentes de seguridad informática que pueden ocurrir en el
Banco y con ello, se pueden plantear diversos tipos de escenarios y así entrenar
capacidades de respuesta de incidentes. La taxonomía de incidentes también es
importante para la recopilación y el análisis de datos de incidentes de seguridad de
la información a lo largo del tiempo. Al clasificar y organizar los incidentes en
diferentes tipos, el Banco Popular podrá identificar patrones y tendencias, lo que les
permite mejorar continuamente los procesos de gestión de incidentes y fortalecer
su postura de seguridad general.
En primer lugar, porque la taxonomía de incidentes es una herramienta importante

para establecer los procedimientos de respuesta ante los diferentes tipos de
incidentes. Cada tipo de amenaza puede requerir una respuesta específica, y la
taxonomía permite establecer un protocolo claro para cada uno de ellos. De esta
manera, se puede garantizar que el personal del Banco esté preparado para
responder de manera adecuada y eficiente ante un incidente de seguridad.
51
En segundo lugar, la taxonomía de incidentes es una herramienta importante para
evaluar la efectividad de los simulacros de incidentes. Al diseñar simulacros
basados en la taxonomía, se pueden evaluar de manera efectiva los procedimientos
de respuesta ante los diferentes tipos de amenazas y ajustarlos según sea
necesario.
En conclusión, la taxonomía de incidentes es una herramienta esencial para diseñar

simulacros de incidentes de ciberseguridad efectivos. Al utilizar esta herramienta,
se puede identificar las amenazas más relevantes, establecer los procedimientos
de respuesta adecuados y evaluar la efectividad de los simulacros. Todo esto ayuda
a garantizar que el Banco esté preparado para enfrentar cualquier amenaza de
seguridad informática y minimizar el riesgo de sufrir un incidente grave (ver figura
3).
Figura 2. Taxonomía de incidentes
Fuente: SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Taxonomía Única Incidentes

Cibernéticos – TUIC. Guía Para la Clasificación de Incidentes cibernéticos – Proyecto TUIC. Bogotá:
La superintendencia, 2020.p.16.
La inclusión de la taxonomía única de incidentes hecha por el COLCERT,

Asobancaria y la Superintendencia Financiera de Colombia en la guía es una
medida necesaria. La utilización de esta taxonomía en la planificación de simulacros
de ciberseguridad permitirá al Banco tener una comprensión clara y completa de los
distintos tipos de incidentes que podrían ocurrir en su entorno.
Al utilizar esta taxonomía, se pueden considerar cualquier escenario de incidente

que pueda presentarse en el mundo real, lo que permitiría al Banco entrenarse de
para enfrentar cualquier situación. Además, la utilización de esta taxonomía también
proporciona una forma estandarizada de clasificar y documentar los incidentes, lo
que facilita la comunicación y el intercambio de información entre las distintas
organizaciones.
52
Otra ventaja de incorporar la taxonomía única de incidentes en una guía para el
diseño de simulacros de ciberseguridad es que permite una evaluación más precisa
y efectiva de las capacidades de respuesta en el banco Popular. Al considerar una
amplia gama de incidentes, el Banco puede identificar sus fortalezas y debilidades
en la respuesta a situaciones de ciberseguridad, lo que a su vez le permite mejorar
sus procesos y procedimientos de seguridad tal como se aprecia en el cuadro 2.
53
Cuadro 2. Definición de Taxonomía de Incidentes
Taxonomía
Clasificación Definición Tipo de incidente Descripción
Contenido abusivo Ataques destinados a dañar la Correo electrónico masivo no solicitado. El receptor del contenido no ha
imagen de la organización o utilizar Spam otorgado autorización válida para recibir un
los recursos mensaje compartido.
electrónicos para usos ilícitos (como Delito de odio Contenido difamatorio o discriminatorio. Ej.: Ciberacoso, racismo,
publicidad, extorsión o amenazas a una persona o dirigidas contra colectivos o grupos.
ciberdelincuencia en general) Materiales de abuso/explotación Material que represente de manera visual contenido relacionado con
sexual infantil, contenido sexual o pornografía infantil, apología de la violencia, etc.
Violento inadecuado
Contenido dañino Incidentes relacionados con Sistema infectado Sistema infectado con malware.
actividades maliciosas, aplicaciones Ej.: Sistema, computador, dispositivos móviles infectado con un rootkit
y archivos dañinos para obtener Servidor C&C (Comando y Conexión con servidor de Comando y Control (C&C) mediante malware
acceso no autorizado al sistema Control) o sistemas infectados.
para sustraer, exfiltrar, eliminar, Distribución de malware Recurso usado para distribución de malware.
modificar su información privada El: Recurso de una organización empleado para distribuir malware.
que pretenden acceder a sus datos Configuración de malware Recurso que aloje archivos de configuración de
u. malware
ej.: Ataque de webinjects para troyano.
Obtención de Incidentes relacionados Escaneo de redes (scanning) Envío de peticiones a un sistema para descubrir posibles debilidades.
información con la identificación y Se incluyen también procesos de comprobación o testeo para recopilar
recopilación de información de información de alojamientos, servicios y cuentas.
personas, infraestructura ej.: Peticiones DNS, ICMP, SMTP y escaneo de puertos.
tecnológica y activos de información Análisis de paquetes Observación y grabación del tráfico de redes.
de una organización a través de (sniffing)
técnicas no autorizadas con fines Ingeniería social Recopilación de información personal sin el uso de la tecnología. ej.:
delictivos. Mentiras, trucos, sobornos, amenazas.
54
Intento de Incidentes relacionados Explotación de Intento de compromiso de un sistema o de interrupción de un servicio mediante
intrusión con la utilización de técnicas vulnerabilidades la explotación de vulnerabilidades con un identificador estandarizado (véase
que intentan atacar una conocidas CVE). ej.: Desbordamiento de buffer, puertas traseras y Cross site scripting
infraestructura tecnológica o un (XSS).
activo Intento de acceso con Múltiples intentos de vulnerar credenciales. ej.: Intentos de
de información vulneración de ruptura de contraseñas, ataque por fuerza bruta.
aprovechándose de una credenciales
vulnerabilidad para obtener el control Ataque desconocido Ataque empleando exploit desconocido
y privilegios administrativos o de
ejecución.
Intrusión Ataques que aprovechar las Compromiso de cuenta Compromiso de un sistema en el que el atacante ha adquirido privilegios.
vulnerabilidades de diseño, con privilegios
funcionamiento o configuración de Compromiso de cuenta Compromiso de un sistema empleando cuentas sin
las diferentes tecnologías, para sin privilegios privilegios.
entrar de forma fraudulenta a los Compromiso de Compromiso de una aplicación mediante la explotación de
sistemas de una organización aplicaciones vulnerabilidades del software. ej.: Inyección SQL y
defacement.
Robo Intrusión física. ej.: acceso no autorizado a Centro de Procesamiento de Datos.
Disponibilidad Interrupción de la capacidad de DoS (Denegación de Ataque de denegación de servicio. ej.: Envío de peticiones a una aplicación web
procesamiento y respuesta de los Servicio) que provoca la interrupción o ralentización en la prestación del servicio.
sistemas y redes para dejarlos DDoS Ataque de Denegación Distribuida de Servicio. ej.: Inundación de paquetes
inoperativos Denegación SYN, ataques de reflexión y amplificación utilizando servicios basados en
Acción premeditada para dañar Distribuida de UDP.
un sistema, interrumpir un Servicio)
proceso, cambiar o borrar Mala configuración Configuración incorrecta del software que provoca problemas
información. de disponibilidad en el servicio. ej.: Servidor DNS con el KSK de la zona
raíz de DNSSEC obsoleto.
Sabotaje Sabotaje físico. ej.: Cortes de cableados de equipos, desconexión de equipos o
incendios provocados
Interrupciones Interrupciones por causas ajenas. ej.: Desastre
natural.
Incidentes relacionados con Acceso no Acceso no autorizado a información. ej.: Robo de credenciales de acceso
el acceso, filtraciones autorizado a mediante interceptación de tráfico o mediante el acceso a documentos físicos.
(confidencialidad), la información
modificación o el borrado Modificación no Modificación no autorizada de información. ej.: Modificación
Compromiso de (integridad) de información. autorizada de por un atacante empleando
Información información credenciales sustraídas de un sistema o aplicación o encriptado de
datos mediante Ransomware.
55
Pérdida de datos Pérdida de información ej.: Pérdida por fallo de disco duro o robo físico.
Fraude Incidentes relacionados Uso no autorizado de Uso de recursos para propósitos inadecuados,
con la pérdida de bienes recursos incluyendo acciones con ánimo de lucro. ej.: uso de correo electrónico para
causada con intención fraudulenta o participar en estafas piramidales.
deshonesta en procura de un Derechos de autor Ofrecimiento o instalación de software carente de licencia u otro material
beneficio económico para sí mismo, protegido por derechos de autor. ej.: Warez
para otra persona o empresa Suplantación Tipo de ataque en el que una entidad suplanta a otra para obtener beneficios
ilegítimos.
Phishing Suplantación de otra entidad con la finalidad de convencer al usuario
para que revele sus credenciales privadas.
Vulnerable Incidentes relacionados con Criptografía débil Servicios accesibles públicamente que puedan presentar criptografía débil.
la identificación del ej.: Servidores web susceptibles de ataques
grado de debilidad inherente en un POODLE/FREAK.
sistema de hardware o software Amplificador DDoS Servicios accesibles públicamente que puedan ser empleados para la
que permitan a un atacante reflexión o amplificación de ataques DDoS. ej.: DNS open-resolvers o
realizar Servidores NTP con monitorización monlist.
actividades no autorizadas a la Servicios con acceso ej.: Telnet, RDP o VNC.
misma organización o en contra de potencial no deseado
otra.
Revelación de Acceso público a servicios en los que potencialmente pueda relevarse
información información sensible. ej.: SNMP o Redis.
Sistema vulnerable Sistema vulnerable. ej.: mala configuración de proxy en cliente (WPAD),
versiones desfasadas de sistema.
Otros Incidentes no clasificados en la Incidente no Incidentes que no se ajustan a la clasificación existente, actuando como
taxonomía existente o amenazas clasificado indicador para la actualización de la clasificación.
persistentes avanzadas
APT Ataques dirigidos contra organizaciones concretas, sustentados en
mecanismos muy sofisticados de ocultación, anonimato
y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería
social para conseguir sus objetivos junto con el uso de procedimientos de
ataque conocidos o genuinos.
Fuente: Construcción propia a partir de datos obtenidos de COLCERT - Taxonomía Clasificación Ciberincidentes [en línea]. Bogotá: Ministerio de tecnologías de la
información y las comunicaciones [citado 3, febrero de 2023]. Disponible en Internet: < URL: https://www.colcert.gov.co/800/articles-198656_taxonomia.pdf>
56
6.3 FASES EN LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD
El modelo NIST SP 800-61 establece una estrategia para el manejo de incidentes

de seguridad informática, éste tiene como propósito ayudar a las organizaciones
(sin importar el sector productivo al que pertenezca) a mitigar los riesgos de los
incidentes, ofreciendo pautas prácticas para responder de manera eficaz y eficiente.
Por lo anterior, se enfoca puntualmente en como detectar, analizar, priorizar y
finalmente dar manejo al suceso.
Por otra parte, el estándar de la ISO/IEC 27035:2013 enfatiza que, la

implementación por sí sola de controles, no garantiza que la ausencia de nuevos
casos de amenazas que previamente no han sido identificados y esto, no
precisamente es por una inadecuada gestión de riesgo, sino porque eso hace parte
de la gestión de este y es posible que se presenten vulnerabilidades residuales. De
lo anterior, toma un enfoque determinante en lo que es detectar, reportar y evaluar
el incidente como parte de su primera fase; responder al mismo, donde incluya los
controles necesarios para la prevención, reducción y recuperación de los impactos
como parte de su segunda fase; informar las vulnerabilidades de seguridad de la
información que no se han explotado y que pueden ocasionar posibles incidentes
de seguridad como parte de la tercera fase; y por último, aprender de los incidentes,
instituir nuevos controles y hacer mejoras en los enfoques de la gestión como cuarta
fase.
Con las semejanzas que existe en la fase de preparación y planificación que se

plantean estos dos marcos, se pretende referenciar para crear un protocolo o guía
que establezcan los parámetros para fijar acciones y actividades a realizar en un
simulacro de gestión de incidentes que permitirá fortalecer habilidades,
conocimientos y destrezas de los responsables.
Cabe mencionar que, en el estado actual en el que se encuentra el Banco Popular,

se formularon algunas medidas necesarias para preparar y enfrentar un incidente
de seguridad o ciberseguridad, por eso, en esta fase en el desarrollo de la guía se
complementará añadiendo otras consideraciones relevantes que integre la idea y el
ejercicio de preparación de los responsables de llevar a cabo una gestión de
incidente (dentro de lo posible) sea completo.
6.3.1 Fase de planificación y preparación. La fase de planificación y preparación

es fundamental en la gestión de incidentes porque permitirá, en este caso al Banco
Popular, a estar preparado para responder de manera efectiva ante un incidente y
minimizar su impacto. Algunas de las razones por las que esta fase es importante
son:
• Identificación temprana de riesgos: Durante la fase de planificación, el Banco
57
puede identificar los riesgos a los que están expuestas y evaluar su probabilidad y
potencial impacto. Esto permite prepararse para los posibles escenarios y estar
listas para actuar en caso de que ocurran.
• Reducción del tiempo de respuesta: si el Banco se ha planificado y preparado

adecuadamente, puede responder más rápido a un incidente y tomar medidas para
minimizar su impacto. Esto puede ayudar a reducir el tiempo de recuperación y
limitar el daño que el incidente puede causar.
• Coordinación efectiva: La fase de planificación también permitirá al Banco

Popular establecer un marco de trabajo claro y definir los roles y responsabilidades
de cada miembro del equipo de respuesta a incidentes. Esto ayuda a garantizar una
coordinación efectiva entre los diferentes departamentos y áreas del Banco, así
como con otros organismos externos que puedan estar involucrados.
• Ahorro de costos: La preparación adecuada puede reducir los costos de

recuperación después de un incidente al minimizar su impacto y ayudar a restaurar
las operaciones normales de manera más rápida y eficiente.
• Cumplimiento normativo: Muchas regulaciones exigen que el Banco Popular

tengan un plan de respuesta a incidentes y estén preparadas para enfrentar
situaciones de emergencia. La fase de planificación y preparación ayuda al Banco
a cumplir con estas exigencias y a estar preparado para pasar las auditorías y
revisiones normativas.
A continuación, se va a usar el cuadro 3 “herramientas y recursos para el manejo

de incidentes” de la NIST SP 800-61, la cual menciona las herramientas y recursos
disponibles que se sugieren se debe tener previamente en dado caso que se
presente un incidente y durante el manejo de esta.
Cuadro 3. Herramientas y recursos para el manejo de incidentes

Herramienta / Recurso
Comunicaciones e instalaciones del controlador de incidentes
Información de contacto de los miembros del equipo y otras personas dentro y fuera de la
organización (contactos principales y de respaldo), como CSIRT del sector y otros equipos de respuesta
a incidentes; la información puede incluir números de teléfono, direcciones de correo electrónico, claves de
cifrado públicas (de acuerdo con el software de cifrado que se describe a continuación) e instrucciones para
verificar la identidad del contacto
Mecanismos de reporte de incidentes, como números de teléfono, direcciones de correo electrónico y

formularios en línea que los usuarios pueden usar para reportar incidentes sospechosos; al menos un
mecanismo debe permitir que las personas informen incidentes de forma anónima.
Teléfonos celulares que deben llevar los miembros del equipo para soporte fuera del horario laboral,
comunicaciones en el sitio.
Software de cifrado que se utilizará para las comunicaciones entre los miembros del equipo, dentro de
la organización y con partes externas.
58
Instalación de almacenamiento seguro para asegurar pruebas y otros materiales confidenciales.
Hardware y software de análisis de incidentes
Estaciones de trabajo informáticas forenses y/o dispositivos de copia de seguridad para crear
imágenes de disco, conservar archivos de registro y guardar otros datos de incidentes relevantes
Computadoras portátiles, que proporcionan estaciones de trabajo fáciles de transportar para actividades
como el análisis de datos, la detección de paquetes y la redacción de informes.
Estaciones de trabajo, servidores y equipos de red de repuesto, que pueden usarse para muchos
propósitos, como restaurar copias de seguridad y probar códigos maliciosos; si el equipo no puede justificar
el gasto de equipo adicional, tal vez se podría usar equipo en un laboratorio de pruebas existente, o se podría
establecer un laboratorio virtual usando software de emulación de sistema operativo (SO)
Medios extraíbles en blanco, como USB, Discos duros extraíbles, etc.

Impresora portátil para imprimir copias de archivos de registro y otras pruebas de sistemas que no están en
red
Rastreadores de paquetes y analizadores de protocolos para capturar y analizar el tráfico de red que
puede contener evidencia de un incidente
Herramienta / Recurso
Software informático forense para analizar imágenes de disco en busca de pruebas de un incidente
Medios extraíbles con versiones confiables de programas que se usarán para recopilar evidencia de los
sistemas
Comunicaciones e instalaciones del controlador de incidentes
Accesorios para la recopilación de pruebas, incluidos cuadernos de tapa dura, cámaras digitales,
grabadoras de audio, formularios de cadena de custodia, bolsas y etiquetas para el almacenamiento de
pruebas, y cinta para pruebas, a fin de preservar las pruebas para posibles acciones legales
Recursos de análisis de incidentes

Listas de puertos, incluidos los puertos de uso común y los puertos de caballos de Troya
Documentación para sistemas operativos, aplicaciones, protocolos y detección de intrusos y firmas antivirus
Diagramas de red y listas de activos críticos, como servidores web, de correo electrónico y de bases de
datos.
Líneas base de la actividad esperada de la red, el sistema y la aplicación
Hashes criptográficos de archivos críticos para acelerar el análisis, verificación y erradicación de
incidentes
Medios, incluidos discos de arranque del sistema operativo y CD-ROM, medios del sistema operativo y
medios de aplicaciones
Parches de seguridad de proveedores de aplicaciones y sistemas operativos
Imágenes de copia de seguridad del sistema operativo, las aplicaciones y los datos almacenados en medios
secundarios
Fuente: Elaboración propia a partir de datos obtenidos de NIST. National Institute of Standards
and Technology. Computer. Norma SP 800-61. Guía de manejo de incidentes de seguridad [en
línea]. USA: La Entidad [citado 3 de agosto de 2022]. Disponible en Internet: < URL:
En resumen, la fase de planificación y preparación es fundamental en la gestión de
59
incidentes porque ayuda a las organizaciones a identificar riesgos, reducir el tiempo
de respuesta, coordinar de manera efectiva, ahorrar costos y cumplir con las
normativas.
6.3.2 Fase de detección y análisis. La fase de detección es la fase operativa

dentro del sistema de gestión de incidentes de seguridad de la información, donde
se recopila información asociada y es donde se notifican eventos de seguridad y la
existencia de vulnerabilidades ya sea por medios humanos o automáticos mediante
herramientas de seguridad.
La identificación oportuna de la ocurrencia de una situación anómala en los sistemas

y redes evitarían mayores impactos adversos al normal funcionamiento en el Banco
Popular y, por ende, podría evitar pérdidas económicas, sanciones por entes
regulatorios y/o quejas por clientes que terminan afectando la reputación.
Según la ISO/IEC 27035:2013 propone que en la ejecución de esta fase respondan

por lo menos a las siguientes actividades claves:
• Actividad para detectar y reportar la ocurrencia de un incidente de ciberseguridad

o la existencia de una vulnerabilidad, ya sea por parte de un recurso humano o
automáticamente, con la ayuda de lo siguiente, por ejemplo:
- Alertas de sistemas de monitoreo de seguridad como IDS/IDP, programa

antivirus, honeypots y SIEM.
- Alertas de sistemas de monitoreo de red como firewalls, análisis de flujo de red,

filtrado web.
- Análisis de información de registro de dispositivos, servicios, hosts y varios

sistemas.
- Escaladas de eventos anómalos detectados por las TIC.
- Escaladas de eventos anómalos detectados por las mesas de ayuda.
- Informes de usuarios.
- Notificaciones externas provenientes de terceros tales como otros CSIRT,

servicios de seguridad de la información, ISP, proveedores de servicios de
telecomunicaciones, empresas de outsourcing, etc.
• Actividad para recopilar información sobre un incidente o vulnerabilidad.
60
• Actividad para asegurar que la evidencia digital se recopile y almacene de forma
segura, y que su preservación segura sea monitoreada continuamente, en caso de
que sea necesaria para acciones judiciales o disciplinarias internas.
• Actividad para asegurar que se mantenga el régimen de control de cambios que

cubre el seguimiento de eventos y vulnerabilidades de ciberseguridad y la
actualización de informes de eventos y vulnerabilidades, y así mantener actualizada
la base de datos de eventos/incidentes/ vulnerabilidades.
• Actividad para escalar, según sea necesario a lo largo de la fase, para una
revisión y/o decisiones adicionales.
• Actividad para registrarse en un Sistema de Seguimiento de Incidencias.
Asimismo, la NIST SP 800-61 indica que, para detectar y analizar un incidente de

seguridad, no es practico utilizar un procedimiento integral que formule un paso a
paso de actividades para manejar el acontecimiento. Lo más indicado es prepararse
de manera general para atender cualquier tipo de evento y, más específicamente,
sobre aquellos que son más comunes.
Para el Banco Popular habitualmente es un desafío detectar y evaluar con precisión

cuando están en medio de un incidente; teniendo en cuenta el nivel actual en la que
se encuentra en cuanto a preparación y gestión de incidentes, por lo tanto, la NIST
revela las señales o signos para detectar un incidente y se clasifican en dos
categorías: precursores e indicaciones. Un precursor es una señal de que un
incidente puede ocurrir en el futuro. Una indicación o indicador es una señal de
que un incidente puede haber ocurrido o puede estar ocurriendo en tiempo real.
Para efectos prácticos se relacionará tabla de fuentes comunes de precursores e

indicadores, según la NIST SP 800-61. Los precursores y los indicadores se
identifican utilizando muchas fuentes diferentes, siendo las más comunes las alertas
de software de seguridad informática, los registros, la información disponible
públicamente y el recurso humano, tal como se evidencia en el cuadro 4
Cuadro 4. Fuentes comunes de precursores e indicadores NIST SP 800-61

Precursor o
Descripción
Indicador Fuente
Los softwares de antivirus y antispyware están diseñados para detectar diversas
formas de código malicioso y evitar que infecten a los hosts. Cuando el software
antivirus o antispyware detecta un código malicioso, normalmente genera alertas.
Software antivirus, Los productos antivirus y antispyware actuales son efectivos para detectar y erradicar
antispyware y o aislar códigos maliciosos si sus firmas se mantienen actualizadas.
antispam
El software antivirus debe implementarse en al menos dos niveles:
En el perímetro de la red (p. ej., firewall, servidores de correo electrónico) y en el nivel
del host (p. ej., estaciones de trabajo, servidores de archivos, software de cliente).
61
Precursor o
Descripción
Indicador Fuente
Software antivirus, Se debe usar software antispyware si el software antivirus no tiene capacidades
antispyware y de detección de spyware lo suficientemente sólidas; si se utiliza, el software
antispam antispyware debe implementarse en los mismos niveles que el software antivirus.
Un software de verificación de integridad de archivos puede detectar dichos
cambios. Funciona mediante el uso de un algoritmo hash para obtener una suma
Software de de comprobación criptográfica para cada archivo designado. Si se modifica el
comprobación de archivo y se vuelve a calcular la suma de verificación, existe una probabilidad
integridad de extremadamente alta de que la nueva suma de verificación no coincida con la
archivos suma de verificación anterior. Al volver a calcular regularmente las sumas de
verificación y compararlas con valores anteriores, se pueden detectar cambios
en los archivos.
Actualmente el Banco Popular y en general el Gripo AVAL pagan a un tercero
para monitorear sus servicios de acceso público, como la Web, el Sistema de
Nombres de Dominio (DNS) y los servidores FTP e inclusive V.I.P.
Servicio de El tercero monitorea automáticamente a cada servicio en tiempo real 7/24. Si no

monitoreo de se puede acceder al servicio, el tercero alerta a las entidades del grupo mediante
terceros los canales definidos, como llamadas y correos electrónicos. Algunos servicios
de monitoreo también pueden detectar y alertar sobre cambios en ciertos
recursos, por ejemplo, una página web. Aunque un servicio de monitoreo es
principalmente útil desde un punto de vista operativo, también puede
proporcionar una indicación de un ataque DoS o compromiso del servidor.
Registros
Los registros de los sistemas operativos, los servicios y las aplicaciones
(particularmente los datos relacionados con auditorías) suelen ser de gran valor
cuando ocurre un incidente. Los registros pueden proporcionar una gran cantidad
de información, como a qué cuentas se accedió y qué acciones se realizaron.
Además, los registros pueden ayudar en la
agregación de eventos para determinar la cantidad de hosts escaneados en una
sola ocurrencia.
Todos los sistemas deben tener activada la auditoría y deben registrar los
Registros del eventos de auditoría, en particular la actividad a nivel administrativo. Todos los
sistema operativo, sistemas deben revisarse periódicamente para verificar que el registro funcione
servicios y correctamente y cumpla con los estándares de registro.
aplicaciones
Además, los registros deben rotarse y almacenarse correctamente. Mientras se
almacena, se debe realizar una verificación de integridad del archivo de registro
para garantizar que no se haya accedido a los registros ni se hayan modificado.
Los registros se pueden utilizar para el análisis mediante la correlación de
información de eventos. Dependiendo de la información del evento, se puede
generar una alerta para indicar un incidente.
Hay varios tipos de software de registro centralizado, como syslog, software de

información y eventos de seguridad, e IDPS basado en host.
Los registros de dispositivos de red, como firewalls y enrutadores, deben
utilizarse como fuente principal de precursores o indicaciones.
Registros de
dispositivos de red Pueden ser valiosos para identificar tendencias (por ejemplo, un número
significativamente mayor de intentos de acceder a un puerto en particular) y para
correlacionar eventos detectados por otros dispositivos.
62
Precursor o Descripción
Indicador Fuente
Información Disponible Públicamente
Mantenerse al día con las nuevas vulnerabilidades y exploits puede evitar que
Información sobre ocurran algunos incidentes y ayudar en la detección y el análisis de nuevos
nuevas ataques. La base de datos nacional de vulnerabilidades (NVD) contiene
vulnerabilidades y información sobre vulnerabilidades. Varias organizaciones, como US-CERT,
exploit CERT® /CC, brindan periódicamente información actualizada sobre amenazas a
través de sesiones informativas, publicaciones web y listas de correo.
Los informes de incidentes que han ocurrido en otras organizaciones pueden
proporcionar una gran cantidad de información. Hay sitios web y listas de correo
donde los equipos de respuesta a incidentes y los profesionales de seguridad
Información sobre
pueden compartir información sobre el reconocimiento y los ataques que han
incidencias en
visto, por ejemplo, fuentes del COLCERT y ASOBANCARIA
otras
organizaciones
Además, algunas organizaciones adquieren, consolidan y analizan registros y
alertas de detección de intrusos de
muchas otras organizaciones.
Personas
Los usuarios, administradores de sistemas, administradores de redes, personal
de seguridad y otras personas dentro de la Banco pueden informar señales de
incidentes. Existen canales definidos para reportar cualquier anomalía como
correo electrónico y la mesa de ayuda.
Es importante validar todos estos informes. Los usuarios generalmente no solo

Personas de
carecen del conocimiento para determinar si se está produciendo un incidente,
dentro de la
sino que incluso los expertos técnicos mejor capacitados cometen errores.
organización.
Un enfoque es preguntar a las personas que brindan dicha información qué tan
seguros están de la exactitud de la información. Registrar esta estimación junto
con la información proporcionada puede ayudar considerablemente durante el
análisis de incidentes, particularmente cuando se descubren datos
contradictorios.
Aunque pocos informes de incidentes se originarán en personas de otras
organizaciones, deben tomarse en serio. Un ejemplo clásico es un atacante que
identifica una vulnerabilidad grave en un sistema e informa a la organización
directamente o anuncia públicamente el problema.
Otra posibilidad es que una parte externa se ponga en contacto con la

organización alegando que alguien de la organización la está atacando. Los
Personas de otras usuarios externos también pueden reportar otras indicaciones, como una página
organizaciones web desfigurada o un servicio no disponible.
Otros equipos de respuesta a incidentes también pueden informar incidentes. Es

importante contar con mecanismos para que las partes externas
informen las indicaciones y para que el personal capacitado supervise esos
mecanismos cuidadosamente; esto puede ser tan simple como configurar un
número de teléfono y una dirección de correo electrónico, configurados para
reenviar mensajes a la mesa de ayuda.
Fuente: elaboración propia a partir de NIST. National Institute of Standards and Technology. Computer.
Norma SP 800-61. Guía de manejo de incidentes de seguridad [en línea]. USA: La Entidad [citado 14
de diciembre de 2022]. Disponible en Internet: < URL:
63
Asimismo, existen las siguientes recomendaciones para hacer el análisis de un
incidente, estas son tomadas de la NIST SP 800-61:
• Perfil de redes y sistemas: La elaboración de perfiles mide las características

de la actividad esperada para que los cambios en ella puedan identificarse más
fácilmente. Ejemplos de creación de perfiles son ejecutar software de verificación
de integridad de archivos en hosts para obtener sumas de verificación para archivos
críticos y monitorear el uso del ancho de banda de la red y el uso de recursos del
host para determinar cuáles son los niveles de uso promedio y pico en varios días
y horas. Si el proceso de creación de perfiles está automatizado, los cambios en la
actividad pueden detectarse e informarse rápidamente a los administradores. En la
práctica, es difícil detectar incidentes con precisión utilizando la mayoría de las
técnicas de elaboración de perfiles; las organizaciones deberían utilizar la
elaboración de perfiles como una de varias técnicas de detección y análisis.77
• Comprender los comportamientos normales: Los miembros del equipo de

respuesta a incidentes deben estudiar redes, sistemas y aplicaciones para obtener
una comprensión sólida de cuál es su comportamiento normal para que el
comportamiento anormal pueda reconocerse más fácilmente. Ningún gestor de
incidentes tendrá un conocimiento completo del comportamiento en todo el entorno,
pero los administradores deben saber qué expertos podrían llenar los vacíos. Una
forma de obtener este conocimiento es revisando las entradas de registro y las
alertas de seguridad. Esto puede resultar tedioso si no se utiliza el filtrado para
condensar los registros a un tamaño razonable. A medida que los controladores se
familiaricen con los registros y las alertas, deberían poder concentrarse en las
entradas sin explicación, que suelen ser más importantes para investigar y más
interesantes. La realización de revisiones frecuentes de registros debería mantener
el conocimiento actualizado y el analista debería poder notar tendencias y cambios
a lo largo del tiempo. Las revisiones también le dan al analista una indicación de la
confiabilidad de cada fuente. Revisión de registros e investigar entradas
interesantes también es una buena preparación para manejar incidentes, lo que
requiere estas habilidades.78
• Utilizar un registro centralizado y crear políticas de retención de registros:

La información sobre un incidente se puede registrar en varios lugares, como el
firewall, el enrutador, el IDPS y los registros de la aplicación. Las organizaciones
deben implementar uno o más servidores de registro centralizados y configurar
dispositivos de registro en toda la organización para enviar duplicados de sus
entradas de registro a los servidores de registro centralizados. Los administradores
de incidentes se benefician al tener todas las entradas de registro pertinentes
disponibles juntas. Esta consolidación también proporciona un almacenamiento
77 NIST. National Institute of Standards and Technology. Computer. Norma SP 800-61. Op, cit, p.11
78 Ibid., p.11.
64
seguro para los registros, lo que reduce el impacto de los atacantes que deshabilitan
el registro o modifican los registros en los hosts individuales que comprometen.
Además, la creación e implementación de una política de retención de registros que
especifique cuánto tiempo se deben mantener los datos de registro puede ser
extremadamente útil en el análisis porque las entradas de registro más antiguas
pueden mostrar actividad de reconocimiento o instancias anteriores de ataques
similares. Otra razón para conservar registros es que es posible que los incidentes
no se descubran hasta días, semanas o incluso meses después. El período de
tiempo para mantener los datos de registro depende de varios factores, incluidas
las políticas de retención de datos de la organización y el volumen de datos. En
general, los datos de registro deben conservarse durante al menos unas pocas
semanas, preferiblemente durante al menos unos meses.79
• Realizar correlación de eventos: La evidencia de un incidente se puede

capturar en varios registros. Cada registro puede contener diferentes tipos de datos
relacionados con el incidente: un registro de firewall puede tener la dirección IP de
origen que se utilizó, mientras que un registro de aplicación puede contener un
nombre de usuario. Un sensor de detección de intrusos en la red puede detectar
que se lanzó un ataque contra un host en particular, pero es posible que no sepa si
el ataque tuvo éxito. Es posible que el analista deba examinar los registros del host
para determinar esa información. La correlación de eventos entre múltiples fuentes
de indicación puede ser invaluable para validar si ocurrió un incidente en particular,
así como para consolidar rápidamente los datos. El uso del registro centralizado
hace que la correlación de eventos sea más fácil y rápida porque reúne datos de
redes, hosts, servicios, aplicaciones y dispositivos de seguridad.80
• Mantener todos los relojes de host sincronizados: Protocolos como el

Network Time Protocol (NTP) sincronizan relojes entre hosts. Esto es importante
para la respuesta a incidentes porque la correlación de eventos será más
complicada si los dispositivos que informan eventos tienen configuraciones de reloj
inconsistentes. Desde el punto de vista probatorio, es preferible tener marcas de
tiempo consistentes en los registros; por ejemplo, tener tres registros que muestren
que un ataque ocurrió a las 12:07:01 am, en lugar de registros que indiquen que el
ataque ocurrió a las 12:07:01, 12:10:35 y 11:07:06.81
• Mantener y utilizar una base de conocimientos de información: La base de

conocimientos debe incluir información que los manipuladores necesitan para
consultar rápidamente durante el análisis de incidentes. Aunque es posible construir
una base de conocimiento con una estructura compleja, un enfoque simple puede
ser efectivo. Los documentos de texto, las hojas de cálculo y las bases de datos
relativamente simples brindan mecanismos efectivos y flexibles para compartir
79 Ibid., p.11.
80 Ibid., p.11.
81 Ibid., p.11.
65
datos entre los miembros del equipo. La base de conocimientos también debe
contener otra información, incluida la siguiente:
- Enlaces a código malicioso e información engañosa; las fuentes más completas

y actualizadas suelen ser los principales proveedores de software antivirus.
- Enlaces a listas de dominios que han sido incluidos en la lista negra por enviar
spam.
- Explicaciones de la importancia y validez de los precursores e indicaciones, como

alertas de detección de intrusos, entradas de registro del sistema operativo y
códigos de error de aplicación.82
• Utilizar los motores de búsqueda de Internet para la investigación: Los

motores de búsqueda integrales de Internet, como Google y Yahoo, pueden ayudar
a los analistas a encontrar información sobre actividades inusuales, en particular, el
escaneo. Por ejemplo, un analista puede ver algunos escaneos inusuales dirigidos
al puerto 22912 del Protocolo de control de transmisión (TCP). Realizar una
búsqueda en los términos "TCP", "puerto" y "22912" puede arrojar algunos
resultados que contienen registros de actividad similar o incluso una explicación del
significado del número de puerto. Debido a que la mayoría de las listas de correo
públicas relacionadas con la respuesta a incidentes o la detección de intrusos tienen
archivos basados en la Web, los motores de búsqueda de Internet incluirán archivos
de listas en sus búsquedas. Los controladores pueden querer buscar listas de
correo privadas y foros a los que puedan acceder y contactar a otros CSIRT para
preguntarles si han visto tal actividad.83
• Ejecutar paquetes de Sniffers para recopilar datos adicionales: A veces, las

indicaciones no registran suficientes detalles para permitir que el manejador
entienda lo que está ocurriendo. Si ocurre un incidente en una red, la forma más
rápida de recopilar los datos necesarios puede ser tener un rastreador de paquetes
que capture el tráfico de la red. La configuración del sniffer para registrar el tráfico
que coincida con los criterios específicos debería mantener el volumen de datos
manejable y minimizar la captura involuntaria de otra información. Debido a
problemas de privacidad, algunas organizaciones pueden requerir que los
administradores de incidentes soliciten y reciban permiso antes de usar
rastreadores de paquetes. Los rastreadores pueden proporcionar los datos más
puros y completos sobre los ataques basados en la red. Algunas incidencias son
muy difíciles de resolver sin utilizar un sniffer.84
• Filtrar los datos: Cuando se presentan grandes volúmenes de datos, es parte
82 Ibid., p.13.
83 Ibid., p.14.
84 Ibid., p.14.
66
de la naturaleza humana sentirse abrumado y, en muchos casos, simplemente
ignorar los datos. Para promover la detección efectiva de incidentes, es necesario
superar esa reacción y garantizar que se investigue al menos la actividad más
sospechosa. Una estrategia efectiva es filtrar las indicaciones para que las
categorías de indicaciones que tienden a ser insignificantes no se muestren al
analista de indicaciones. Otra estrategia es filtrar las indicaciones para que solo se
muestren al analista las categorías de indicaciones que son de mayor importancia.
Sin embargo, este enfoque es arriesgado porque es posible que la nueva actividad
maliciosa no entre en una de las categorías de indicación elegidas. Sin embargo,
este enfoque es mejor que no revisar las indicaciones en absoluto.85
• Considere la experiencia como irremplazable: Por ejemplo, determinar la

intención de la actividad suele ser un desafío. Un administrador de SIEM, por
ejemplo, ve alguna actividad inusual que involucra un servidor DNS, no un ataque,
sino algunos patrones de tráfico y números de puerto inusuales. Entonces puede
cuestionarse: ¿Es este reconocimiento para un ataque inminente contra el servidor
DNS o contra otro servidor, utilizando el servidor DNS como intermediario? ¿O
podría ser tráfico benigno creado por un balanceador de carga? Hay varias
explicaciones posibles para los datos, y los administradores pueden carecer de
información suficientemente detallada para determinar de manera concluyente qué
explicación es la correcta. La mejor manera de determinar la intención de una
actividad sospechosa es obtener la mayor experiencia posible en el manejo de
incidentes. Un manejador experimentado puede revisar los datos y obtener
rápidamente una idea intuitiva de la importancia del incidente.86
• Crear una Matriz de Diagnóstico para el Personal con Menos Experiencia:

Tal matriz puede ser más útil para el personal de la mesa de ayuda, los
administradores de sistemas y otras personas que realizan su propio análisis de
precursores e indicaciones. También puede ser útil para los nuevos analistas de
detección de intrusos y miembros del equipo de respuesta a incidentes. Los
recuadros dentro de la matriz indican qué síntomas se asocian típicamente con cada
categoría de incidente y qué tan fuerte se asocia ese síntoma con la categoría. La
fuerza se puede enumerar de cualquier manera que sea útil, desde "sí" o "no" hasta
un porcentaje. La matriz proporciona consejos para los miembros del personal con
menos experiencia que pueden ver los síntomas, pero no pueden identificar la causa
subyacente probable. La matriz también se puede utilizar como herramienta de
formación. La matriz debería ser aún más valiosa si también tiene texto de apoyo,
como una breve justificación de cada entrada de la matriz y consejos sobre cómo
validar cada tipo de incidente.87
• Busque ayuda en otros: Ocasionalmente, el equipo no podrá determinar la
85 Ibid., p.15.
86 Ibid., p.15.
87 Ibid., p.16.
67
causa completa y la naturaleza de un incidente. Si el equipo carece de información
suficiente para contener y erradicar el incidente, debe consultar con recursos
internos (p. ej., personal de seguridad de la información) y recursos externos (p. ej.,
US-CERT, otros CSIRT, contratistas con experiencia en respuesta a incidentes)
para análisis, contención y asistencia para la erradicación. Es importante determinar
con precisión la causa de cada incidente para que pueda contenerse por completo
y las vulnerabilidades explotadas puedan mitigarse para evitar que ocurran
incidentes similares.88
Toda vez que se realice el proceso de identificación o detección y el proceso de

análisis, se debe realizar simultáneamente la documentación del incidente. Toda
información se vale para sustentar en un informe para detallar todo lo encontrado.
Cada paso tomado desde el momento en que se detectó el incidente hasta su
resolución final debe ser documentado y sellado con fecha y hora. Todos los
documentos relacionados con el incidente deben estar fechados y firmados por el
encargado del incidente.
6.3.3 Fase de contención, erradicación y recuperación. Esta fase es clave ya

que es donde los responsables de respuesta de incidentes deben actuar con el
objetivo de detener, eliminar y recuperarse del ataque materializado en el menor
tiempo, del mismo modo, con el menor impacto posible. Entrenar esas habilidades
es crucial ya que se pueden medir los posibles impactos y tiempos de recuperación
y se desarrollan las habilidades de respuesta en la resolución de eventos
materializados. Cuando se identifica y se analiza el incidente a como dé lugar es
importante contenerlo antes de que se extienda o se propague el incidente. Una
parte esencial de la contención es la toma de decisiones (por ejemplo, aislar un
equipo o servidor de la red afectada, apagar un sistema, desconectarlo de una red
cableada o inalámbrica, desconectar su cable de módem, desactivar ciertas
funciones, entre otras acciones). Tales decisiones son mucho más fáciles de tomar
si se han predeterminado estrategias y procedimientos para contener el incidente.
La NIST SP 800-61 facilita algunos criterios para determinar la estrategia adecuada,

ya que, las estrategias de contención varían según el tipo de incidente. Sin más
preámbulo, dichas estrategias incluyen lo siguiente:
• Posible daño y robo de recursos.

• Necesidad de preservación de evidencia.
• Disponibilidad del servicio (p. ej., conectividad de red, servicios proporcionados
a partes externas).
• Tiempo y recursos necesarios para implementar la estrategia.
• Eficacia de la estrategia (p. ej., contiene parcialmente el incidente, contiene
88 Ibid., p.16.
68
completamente el incidente).
• Duración de la solución (p. ej., solución alternativa de emergencia que se

eliminará en cuatro horas, solución temporal que se eliminará en dos semanas,
solución permanente).
Para erradicar y recuperar del todo del incidente, será necesario tener una
recopilación y manejo de pruebas ya que durante la gestión del incidente las
evidencias recolectadas resolverán el evento materializado. En tales casos, es
importante documentar claramente cómo se han conservado todas las pruebas,
incluidos los sistemas comprometidos. Las pruebas deben justificarse en todo
momento; siempre que se transfiera evidencia de persona a persona, los formularios
de cadena de custodia deben detallar la transferencia e incluir la firma de cada parte.
Por lo general, es deseable obtener evidencia de un sistema de interés tan pronto
como se sospecha que puede haber ocurrido un incidente.
69
7. FASE II
7.1 GUÍA PARA EL DISEÑO DE SIMULACROS DE INCIDENTES DE

CIBERSEGURIDAD EN EJERCICIOS DE MESA Y FUNCIONALES
7.1.1 Preámbulos y consideraciones. La creación de la guía para diseñar

simulacros de incidentes de ciberseguridad se enfoca principalmente en el "qué
hacer" en lugar del "cómo hacerlo". La intención de esta guía es proporcionar una
estructura clara y paso a paso para la planificación y ejecución de los simulacros,
brindando instrucciones concretas sobre los pasos a seguir. Sin embargo, se
reconoce que la implementación de los simulacros puede variar según las
necesidades y recursos del Banco. La guía establece los objetivos, las fases y los
aspectos clave a considerar, dejando espacio para la adaptación y flexibilidad en la
forma en que se desarrollan los simulacros. Esto permite que el Banco ajuste la guía
a su contexto específico y utilicen enfoques y técnicas adecuados para su propio
entorno de ciberseguridad, sin perder de vista los objetivos y principios
fundamentales establecidos en la guía.
También se debe precisar que planes de contingencia y respuesta ante incidentes,

son planes que per se deben tener el Banco como estrategia y la guía es un
complemento de mejora, para entrenar capacidades de respuesta. En contexto, la
NIST SP 800-84 ofrece una estrategia para llevar a cabo de una manera eficaz y
efectiva un programa de prueba, entrenamiento y ejercicio (TT&E por sus siglas
en inglés).
Este programa describe la hoja de ruta con el que se desarrollará para el Banco
Popular la guía para el diseño de simulacros de gestión de incidentes. Para
establecer esta guía, se hace necesario determinar qué tipo de plan se desea llevar
a cabo. Los tipos de planes o eventos, según la NIST SP 800-8489, son las
siguientes:
• Prueba: Las pruebas son herramientas de evaluación que utilizan métricas

cuantificables para validar la operatividad de un sistema de TI o un componente del
sistema en un entorno operativo especificado en un plan de TI. Por ejemplo, el
Banco podría probar que la aspersión de pagos de nómina de sus clientes se puede
ejecutar dentro de los límites de tiempo prescritos; otra prueba sería desconectar la
energía de un sistema o componente del sistema.
Una prueba se lleva a cabo lo más cerca posible de un entorno operativo; si es
89NIST. National Institute of Standards and Technology. Norma NIST SP 800-84. Guía de prueba,
capacitación y programas de ejercicios para TI planes y capacidades. USA. 2013.p. 37.
70
factible, se debe utilizar una prueba real de los componentes o sistemas utilizados
para realizar las operaciones diarias de la organización. El alcance de las pruebas
puede variar desde sistemas o componentes de sistemas individuales hasta
pruebas exhaustivas de todos los sistemas y componentes que respaldan un plan
de TI. Las pruebas a menudo se centran en las operaciones de recuperación y copia
de seguridad; sin embargo, las pruebas varían según el objetivo de la prueba y su
relación con un plan de TI específico.
• Entrenamiento: El entrenamiento se refiere únicamente a informar al

personal de sus roles y responsabilidades dentro de un plan de TI en particular
y enseñarles habilidades relacionadas con esos roles y responsabilidades,
preparándolos así para participar en ejercicios, pruebas y situaciones de
emergencia reales relacionadas con el plan de TI. La capacitación del personal
sobre sus funciones y responsabilidades antes de un ejercicio o evento de prueba
generalmente se divide entre una presentación sobre sus funciones y
responsabilidades y actividades que permiten al personal demostrar su
comprensión del tema.
• Ejercicio: Un ejercicio es una simulación de una emergencia diseñada para

validar la viabilidad de uno o más aspectos de un plan de TI. En un ejercicio, el
personal con funciones y responsabilidades en un plan de TI en particular se reúne
para validar el contenido de un plan mediante la discusión de sus funciones y sus
respuestas a situaciones de emergencia, la ejecución de respuestas en un entorno
operativo simulado u otros medios de validación de respuestas que no implica el
uso del entorno operativo real. Los ejercicios se basan en escenarios, como la
afectación de un servicio o activo critico a causa de un ataque cibernético y, a
menudo, se presentan situaciones adicionales durante el curso de un ejercicio. Hay
varios tipos de ejercicios, sin embargo, se mencionarán puntualmente dos que son
de interés para el presente proyecto:
- Ejercicios de mesa: Estos tipos ejercicios son basados en debates en los que
el personal se reúne en un aula, en espacios pequeños o sesiones virtuales para
analizar sus funciones durante una emergencia y sus respuestas a una situación de
emergencia particular. Un facilitador presenta un escenario y hace preguntas a los
participantes del ejercicio relacionadas con el escenario, lo que inicia una discusión
entre los participantes sobre roles, responsabilidades, coordinación y toma de
decisiones. Un ejercicio de simulación se basa únicamente en debates y no implica
el despliegue de equipos u otros recursos.
- Ejercicios funcionales: Este tipo ejercicios de permiten al personal validar su

preparación operativa para emergencias mediante el desempeño de sus
funciones en un entorno operativo simulado. Los ejercicios funcionales están
diseñados para ejercitar las funciones y responsabilidades de miembros del equipo,
procedimientos y activos específicos involucrados en uno o más aspectos
71
funcionales de un plan. Los ejercicios funcionales varían en complejidad y alcance,
desde la validación de aspectos específicos de un plan hasta ejercicios a gran
escala que abordan todos los elementos del plan. Los ejercicios funcionales
permiten al personal ejecutar sus funciones y responsabilidades como lo harían en
una situación de emergencia real, pero de manera simulada.
Se mencionan estos ejercicios (mesa y funcionales) ya que son estos los tipos de
simulacros que requiere el Banco Popular para entrenar las capacidades de
respuesta ante incidentes real de ciberseguridad, por ende, según las necesidades,
el Banco podrá escoger qué ejercicio realizar. Por lo anterior, la guía o paso a paso
para el diseño de simulacros estará fundamentados a estos tipos de ejercicios.
Si el Banco popular desea formalizar una guía que diseñe simulacros, se deben
desarrollar un plan de TT&E que describa los pasos a seguir para garantizar que el
personal esté capacitado en sus roles y responsabilidades del plan de TI, los planes
de TI se ejercen para validar su viabilidad; y los componentes o sistemas de TI se
prueban para validar su operatividad en el contexto de un plan de TI. El plan de
TT&E debe describir todos los elementos del programa y garantizar que la
información que rodea al programa esté documentada. Además de crear el plan
TT&E, otros pasos importantes para crear un programa TT&E son los siguientes:
Identificar las funciones y responsabilidades. El programa TT&E debe ser

administrado por una persona o equipo con responsabilidad directa sobre la
capacidad de planificación de TI de la organización. El programa debe tener un
coordinador del plan que sea responsable de todos los aspectos de la planificación
de TI, incluido el elemento TT&E de mantener los planes de TI. El coordinador del
plan tiene la responsabilidad general del plan TT&E, incluido el desarrollo, la
implementación y el mantenimiento. El coordinador del plan debe identificar un
coordinador del programa TT&E, quien es responsable de desarrollar un plan TT&E
y coordinar eventos. Según el tipo de evento realizado, el Equipo Organizador
trabaja con uno o más equipos de diseño.
Establecer el cronograma general de TT&E. El plan TT&E debe documentar el

cronograma proyectado de actividades que se realizarán dentro del programa
TT&E. Si bien los eventos deben realizarse según sea necesario, el Banco Popular
deben evaluar la frecuencia requerida de sus eventos y documentar la frecuencia
de cada evento en un cronograma de TT&E.
Documentar la Metodología del evento de TT&E. Como parte de la creación de

un programa de TT&E, el Banco Popular debe seleccionar y documentar una
metodología de alto nivel para planificar y realizar eventos de TT&E. Aunque los
detalles de cada fase suelen variar según el tipo de evento realizado, se deben
utilizar las mismas fases para cada evento. Una metodología comúnmente utilizada
tiene las siguientes fases:
72
• Diseñar el evento: El Equipo Organizador trabaja en el plan para determinar el
tema y el alcance del evento de TT&E en función de las necesidades actuales
Banco. A continuación, el Equipo Organizador identifica los objetivos según el tema
y el alcance, y el personal que debe participar en el evento. Luego, se identifica un
equipo de diseño de eventos, que puede estar formado por una persona o un grupo
de personas, según los requisitos del evento. El equipo Organizador también
supervisa la logística del evento.
• Desarrollar la documentación del evento: Al finalizar la fase de diseño, el Equipo

Organizador trabaja con el equipo de diseño en el desarrollo de la documentación
que se utilizará antes, durante y después del evento. Los tipos de documentación
varían para cada tipo de evento, pero los ejemplos incluyen materiales informativos,
manuales para participantes, guías para instructores y facilitadores, planes y
guiones de prueba, y criterios de evaluación.
• Llevar a cabo el evento: En esta fase, se lleva a cabo realmente el evento (el
entrenamiento, el ejercicio o la prueba). Los detalles de esto varían mucho según el
tipo de evento y el alcance.
• Evaluar lecciones aprendidas del evento: La fase de evaluación se utiliza para

analizar el evento e identificar lecciones aprendidas, tanto para mejorar los planes
de TI y su ejecución, como para mejorar el proceso de TT&E. La evaluación se
realiza de forma algo diferente según el tipo de evento, de la siguiente manera:
- Capacitación/Entrenamiento: Los participantes normalmente completan un

formulario de evaluación/crítica sobre el éxito del evento y las áreas donde se
pueden realizar mejoras en términos del conocimiento del personal sobre el tema
capacitado. Los comentarios se analizan y documentan en un informe de análisis
de capacitación, y las sesiones futuras se modifican según sea necesario.
- Ejercicio o prueba: los participantes generalmente participan en un informe

facilitado, también llamado lavado en caliente, para analizar las áreas que
funcionaron particularmente bien y las áreas donde se pueden realizar mejoras en
términos de los contenidos del plan y/o los sistemas probados. Los hallazgos
discutidos durante el informe, las observaciones realizadas durante el transcurso
del evento y las consideraciones para la mejora se documentan en un informe
posterior a la acción. La metodología descrita se sintetiza en la figura 4.
73
Figura 3. Metodología de eventos de TT&E
Fuente: Conseguido de NIST. National Institute of Standards and Technology. Norma NIST SP 800-84. Guía de
prueba, capacitación y programas de ejercicios para TI planes y capacidades. USA. 2013.p.17.
7.2 INSTRUCCIONES PARA REALIZAR UN EJERCICIOS DE MESA –

SIMULACRO DE CIBERSEGURIDAD
Los ejercicios de mesa son eventos basados en debates en los que el personal
con funciones y responsabilidades en un plan de TI en particular. En el Banco
Popular, por ejemplo, se pueden realizar mediante sesiones virtuales o en grupos
pequeños presenciales para analizar sus funciones durante una emergencia y sus
respuestas a una situación de emergencia particular.
Se debe tener en cuenta que los ejercicios de mesa se llevan a cabo en un ambiente
informal, con un facilitador que guía a los participantes a través de una discusión
diseñada para alcanzar objetivos predefinidos. Se pueden discutir uno o más
escenarios durante un solo ejercicio. La duración de un ejercicio de mesa
(típicamente de dos a ocho horas) varía según la audiencia, el tema que se esté
debatiendo y los objetivos del ejercicio.
A continuación, se exponen los pasos claves a considerar antes, durante y después

de realizar un ejercicio de mesa para simular y debatir un incidente de
ciberseguridad, considerando la NIST SP 800-84.
Paso 1: Evaluar la necesidad de un ejercicio de simulación y crear un

cronograma. Como parte del programa TT&E, el Equipo Organizador debe
determinar de manera habitual la necesidad de realizar un ejercicio de mesa para
74
un plan de TI en particular al considerar los objetivos generales del Banco Popular
para realizar un ejercicio mesa y responder preguntas como las siguientes:
• ¿Se ha capacitado al personal Banco que participaría en el ejercicio de mesa
sobre sus funciones y responsabilidades dentro del plan? Si la respuesta que el
personal aún no ha sido capacitado, el Equipo Organizador debe considerar realizar
un evento de capacitación antes del ejercicio para que el personal pueda participar
más efectivamente en el ejercicio, aumentando sus beneficios.
• ¿Cuándo fue la última vez que el Banco realizó un ejercicio mesa?
• ¿Se han realizado cambios en el Banco recientemente que podrían afectar el

contenido del plan?
• ¿Se ha emitido una nueva guía de TT&E que podría afectar el contenido del plan?
Las preguntas anteriormente expuestas, tienen la finalidad de cuestionar la

periodicidad de ejecución de dichos ejercicios de mesa o simulación. Por lo que esta
guía recomienda realizar estos ejercicios de manera recurrente, por ejemplo, una
(1) o dos (2) veces por semestre, cuando existan cambios organizacionales,
actualizaciones de infraestructura TI o se cree un nuevo plan o procedimiento de TI.
El cronograma de ejercicios de mesa debe coordinarse estrechamente con los

cronogramas de los otros eventos del programa TT&E.
Los ejercicios de mesa se deben programar mínimo un mes después de un evento

de capacitación para que el personal que participa en el ejercicio esté apto en sus
funciones y responsabilidades. Es importante que cuando se programe un ejercicio,
se notifique a su jefe o jefes inmediatos y se obtenga su aprobación.
Paso 2: Diseñar el ejercicio de mesa. Una vez que se ha establecido la necesidad

de realizar un ejercicio de mesa, el equipo Organizador debe trabajar con el
equipo de diseño del ejercicio para diseñar el evento. La fase de diseño suele ser
la fase que consume más tiempo en la planificación del ejercicio. Por lo general, la
planificación se inicia al menos tres meses antes de la fecha de realización para
ejercicios grandes y complejos y al menos un mes antes para ejercicios menos
complejos. A continuación, describen las consideraciones en el proceso de diseño
de eventos:
- Determinar el tema: El equipo de diseño debe determinar el tema del ejercicio en

función del enfoque del plan que se está ejercitando. Los temas generales pueden
incluir planificación de contingencias y respuesta a incidentes; los temas específicos
van desde el mantenimiento de funciones esenciales hasta la gestión y el informe
de incidentes de seguridad de TI.
75
- Determinar el alcance: El alcance del ejercicio de simulación debe determinarse
en función de la audiencia objetivo. Todo el personal con responsabilidades bajo el
plan de TI debe participar en los ejercicios; sin embargo, los equipos de alto nivel y
los equipos de nivel operativo deben participar inicialmente en ejercicios teóricos
separados debido a sus diferentes niveles de responsabilidad. Una vez que estos
dos grupos hayan sido ejercitados individualmente, ambos grupos deben participar
en un ejercicio combinado para validar la coordinación entre los grupos.
- Escoger el activo a afectar y entender su arquitectura: este paso es una etapa

importante en el diseño de un ejercicio de mesa. Este paso implica seleccionar un
activo específico que será el foco principal del ejercicio y comprender su arquitectura
y funcionamiento. A continuación, se explica en qué consiste este paso:
• Identificar el activo a afectar: En primer lugar, se debe determinar el activo o

sistema que será objeto de evaluación durante el ejercicio. Este activo puede ser un
sistema informático crítico, una aplicación, una red, una base de datos u otro
componente relevante desde el punto de vista de la ciberseguridad. La elección del
activo dependerá de los objetivos del ejercicio y de los aspectos que se deseen
evaluar.
• Comprender la arquitectura del activo: Una vez seleccionado el activo, es

fundamental comprender su arquitectura y funcionamiento en detalle. Esto implica
analizar cómo se estructura, cómo se comunica con otros sistemas, qué
componentes lo integran y cuáles son sus puntos de vulnerabilidad y exposición.
Este conocimiento permitirá diseñar escenarios realistas y desafiantes que pongan
a prueba la ciberseguridad del activo y el personal responsable de su protección.
• Analizar las interdependencias: Además de entender la arquitectura del activo en

sí, es necesario identificar y comprender las interdependencias con otros activos o
sistemas. Muchos activos están conectados a redes, dependen de servicios
externos o interactúan con otros componentes. Estas interdependencias deben ser
consideradas en el ejercicio para evaluar la capacidad de respuesta y coordinación
en situaciones de amenaza o incidente.
• Evaluar riesgos y amenazas: Una vez que se comprende la arquitectura del

activo, se deben identificar los riesgos y amenazas potenciales que podrían
afectarlo. Esto implica considerar posibles vulnerabilidades, ataques cibernéticos
conocidos, escenarios de amenaza relevantes y cualquier otra situación que pueda
poner en riesgo la seguridad del activo. Esta evaluación ayudará a diseñar
escenarios y desafíos específicos que permitan evaluar la capacidad de respuesta
y la efectividad de las medidas de seguridad.
El ejercicio debe aplicarse a las funciones y responsabilidades del personal dentro

del plan de TI que se está ejercitando y centrarse en validar que las funciones,
76
responsabilidades e interdependencias documentadas sean precisas y actuales.
Los tipos de preguntas formuladas a los participantes durante el transcurso del
ejercicio deben adaptarse al nivel del personal ejercitado.
Los ejercicios de mesa de alto nivel suelen oscilar entre dos y cuatro horas, mientras
que los de nivel operativo oscilan entre dos y ocho horas. Para asegurarse de que
el conocimiento de las funciones y responsabilidades identificadas en el plan que
se está ejerciendo esté actualizado, a menudo es efectivo realizar una sesión de
capacitación junto con cualquier ejercicio teórico que dure más de cuatro horas.
Paso 3. Identificar el objetivo del ejercicio: el objetivo de cualquier ejercicio de

mesa debería ser validar el contenido del plan de TI, sus políticas y los
procedimientos relacionados, validar las funciones y responsabilidades de los
participantes según lo documentado en el plan y validar las interdependencias
documentadas en el plan. Un objetivo adicional para algunos ejercicios es cumplir
con los requisitos reglamentarios y otros relacionados con los planes de ejercicio.
Paso 4: Identificar a los participantes: De acuerdo con el tema escogido, el

alcance y los objetivos del ejercicio, el equipo de diseño determina quién debe
participar en el evento. Los participantes deben estar compuestos por el personal
con funciones y responsabilidades identificadas en el plan para ayudar a garantizar
que el ejercicio cumpla con los objetivos establecidos.
Por ejemplo, se debe invitar a participar al personal de alto nivel, como la junta
directiva, si el objetivo principal del ejercicio es validar los procesos de toma de
decisiones y supervisión dentro del plan.
Si el objetivo principal es validar los procedimientos operativos, se debe invitar al

ejercicio al personal de nivel operativo.
Si ambos grupos han participado en ejercicios teóricos previos por separado, es

apropiado realizar una sesión combinada, en la que el personal de nivel superior y
operativo analice las funciones y responsabilidades individuales y de equipo y los
requisitos de coordinación. Una vez que se haya identificado a los participantes
apropiados, estos deben recibir una invitación por escrito o un anuncio del ejercicio
lo antes posible.
Paso 5: Identificar el personal de ejercicio de mesa: El equipo de diseño suele

designar un facilitador del ejercicio, que dirige la discusión entre los participantes
del ejercicio, y un recopilador de datos, que registra información sobre las acciones
que ocurren durante el ejercicio.
El facilitador y el recopilador de datos deben estar completamente familiarizados

con el contenido del plan de TI que se está ejercitando y con los objetivos del
ejercicio. El facilitador y el recolector de datos deben reunirse antes del evento para
77
discutir los detalles del ejercicio, incluidos su alcance y objetivos. En este momento,
el facilitador y el recolector de datos revisan los resultados de los ejercicios de
simulación anteriores, si corresponde, para aumentar su conciencia sobre los
posibles problemas antes del evento.
Paso 6: Coordinar la logística: Por lo general, una persona del equipo de diseño
debe ser responsable de coordinar la logística del evento del ejercicio. El
coordinador de logística generalmente comienza a hacer esto al menos un mes
antes de la realización del ejercicio teórico. El coordinador o responsable de la
logística puede utilizar la lista de verificación como punto de partida para garantizar
que se completen las tareas necesarias.
A continuación, el cuadro 5 es un ejemplo de la NIST SP 800-81:
Cuadro 5. Ejemplo de lista de verificación de logística de ejercicios de mesa*

Logística Fecha objetivo Terminado
Seleccione una fecha para realizar el ejercicio
Reserve una sala de conferencias que acomode a
todos los participantes o por el contrario realizar una
citación para una sesión virtual
Determinar la necesidad de equipo audiovisual, si
corresponde.
Reserve equipo audiovisual, si corresponde
Identificar al facilitador y al recopilador de datos
Identificar participantes
Invitar a los participantes
Coordinar el desarrollo de la guía del facilitador y las
guías de los participantes.
Asegúrese de que la sala de conferencias esté
disponible con tiempo suficiente antes del ejercicio
para realizar la configuración, si corresponde
Organizar refrigerios, si corresponde.
Fuente: Construcción propia a partir de datos obtenidos de NIST. National Institute of
Standards and Technology. Norma NIST SP 800-84. Guía de prueba, capacitación y
programas de ejercicios para TI planes y capacidades. USA. 2013.p.23.
*Cabe mencionar que el cuadro 7 es un ejemplo tomado del marco de trabajo NIST
SP 800-84 y que este puede ser adaptado de acuerdo con el ejercicio de mesa que
se lleve a cabo y, por ende, puede variar su lista de chequeo.
Paso 7: Desarrollar el material del ejercicio de mesa. Una vez que se diseña el
evento, el equipo de diseño debe asignar roles y responsabilidades a sus miembros
para desarrollar el material del ejercicio de simulación. Los ejercicios de mesa
78
pueden incluir la siguiente documentación:
• Instrucciones: Se crea un briefing para los participantes; incluye agenda e

información logística.
• Guía del facilitador: La guía del facilitador incluye lo siguiente:
- El propósito de realizar el ejercicio.
- Alcance y objetivos del ejercicio.
- El escenario del ejercicio, que es un relato narrativo secuencial de un incidente

hipotético para el ejercicio y tiene por objeto introducir situaciones que inspirarán
respuestas y, por lo tanto, permitirán la demostración de los objetivos del ejercicio.
- Una lista de preguntas sobre el escenario que abordan los objetivos del ejercicio.
- Una copia del plan de TI en ejercicio.
• Guía del participante: La guía del participante incluye la misma información que
la guía del facilitador sin la lista de preguntas. Las guías para participantes contienen
una lista de preguntas modificada y más corta para orientar a los participantes sobre
los tipos de temas que se pueden discutir durante el ejercicio.
• Informe posterior a la acción: Se desarrolla un informe posterior a la acción

después del evento de ejercicio; contiene información basada en criterios de
evaluación preidentificados. Los criterios deben desarrollarse antes del ejercicio
para garantizar que los recolectores de datos sepan qué tipo de información
capturar durante el ejercicio y, en última instancia, documentar en el informe
posterior a la acción. Los criterios de evaluación se basan en los objetivos del
ejercicio y proporcionan un medio para evaluar qué tan bien se cumplieron los
objetivos del ejercicio e identificar áreas donde podrían ser necesarios ejercicios
adicionales.
Paso 8: Ejecución del ejercicio de mesa: Los ejercicios de mesa generalmente

se llevan a cabo en un salón (si se hará de manera presencial) o una sesión virtual
(cualquier herramienta aplicación de colaboración de comunicaciones). Esto
permite que el facilitador se dirija a cada individuo o a los participantes como grupo
mientras se debate el ejercicio. Esto es particularmente importante si los
participantes y los equipos trabajan en diferentes áreas operativas del Banco
Popular. Se debe tener presente preparar y separar el espacio donde se vaya a
realizar.
Al comienzo del ejercicio, el facilitador da la bienvenida a los participantes al evento
79
y solicita que los participantes se presenten por su nombre y den una descripción
general de sus roles dentro de la organización. Luego, el facilitador proyecta la
sesión informativa y analiza el alcance del ejercicio. Luego, el facilitador guía a los
participantes a través del escenario y comienza la discusión con una de las
preguntas de discusión documentadas en la guía del facilitador, diseñada para
impulsar la toma de decisiones o la coordinación entre los participantes. Después
del inicio del ejercicio, la discusión ocurre naturalmente entre los participantes en
función del escenario y los objetivos. El facilitador puede inyectar preguntas
periódicas de la guía del facilitador.
Si la discusión no ocurre naturalmente, el facilitador debe iniciar la discusión

haciendo preguntas adicionales de la guía del facilitador hasta que se cumplan
todos los objetivos.
Durante el transcurso del ejercicio, el recolector de datos debe registrar las

observaciones para incluirlas en el informe posterior a la acción. Inmediatamente
después de la discusión, el facilitador y el recopilador de datos deben realizar un
informe del ejercicio, a menudo denominado lavado en caliente. Durante la sesión
informativa, el facilitador pregunta a los participantes en qué áreas sintieron que
sobresalieron, en qué áreas podrían usar capacitación adicional y qué áreas del
plan deberían actualizarse.
Paso 9: Evaluar el ejercicio de mesa. Los comentarios que surgen durante el

informe, junto con las lecciones aprendidas documentadas por el recopilador de
datos durante el ejercicio, deben capturarse en el informe posterior a la acción. La
introducción al informe posterior a la acción debe describir los antecedentes del
ejercicio, como el propósito, los objetivos, los participantes y el escenario. El informe
posterior a la acción también debe contener observaciones documentadas
realizadas por el facilitador y el recopilador de datos durante el ejercicio y
recomendaciones para mejorar el plan de TI que se ejercitó.
Después del desarrollo del informe posterior a la acción, el coordinador del plan
podría asignar elementos de acción para seleccionar personal para actualizar el
plan de TI que se está ejerciendo. El coordinador del plan luego debe actualizar el
plan, si corresponde, implementando las recomendaciones hechas en el informe
posterior a la acción. También puede ser necesario informar a ciertos gerentes
sobre los resultados del ejercicio, actualizar otros documentos relacionados con la
seguridad y realizar otras acciones basadas en el ejercicio.
7.3 INSTRUCCIONES PARA REALIZAR UN EJERCICIO FUNCIONAL -

SIMULACRO DE CIBERSEGURIDAD
Los ejercicios funcionales permiten al personal con responsabilidades operativas
80
validar sus planes de TI y su preparación operativa ante emergencias mediante el
desempeño de sus funciones en un entorno operativo simulado. Los ejercicios
funcionales están diseñados para ejercitar al recurso humano, procedimientos y
activos específicos de las áreas involucradas en uno o más aspectos funcionales
de un plan de TI.
Los ejercicios funcionales varían en complejidad y alcance, desde la validación de

aspectos específicos de un plan hasta ejercicios a gran escala que abordan todos
los elementos del plan. La duración de los ejercicios funcionales suele durar entre
varias horas e inclusive varios días según los objetivos del evento y la complejidad
del plan que se está ejercitando.
A continuación, se exponen los elementos claves a considerar antes, durante y

después de realizar un ejercicio funcional Según la NIST SP 800-84.
Paso 1: Evaluar la necesidad de llevar acabo un ejercicio funcional y crear un

cronograma. Como parte del programa TT&E, el Equipo Organizador debe
determinar de manera habitual la necesidad de un ejercicio funcional para un plan
de TI en particular considerando los objetivos generales para realizar un ejercicio
funcional respondiendo a las siguientes preguntas:
• ¿El personal del Banco Popular que participará en el ejercicio funcional ha sido
capacitado sobre sus roles y responsabilidades dentro del plan? ¿Se han realizado
ejercicios de mesa sobre los cuales se podrían desarrollar ejercicios funcionales
potenciales? Si el personal que va a participar en el ejercicio aún no ha recibido
capacitación o no ha participado en ejercicios de mesa iniciales, el Equipo
Organizador debe considerar realizar primero un evento de capacitación y un
ejercicio teórico antes del ejercicio funcional para que el personal pueda participar
de manera más efectiva en el ejercicio funcional.
• ¿Cuándo fue la última vez que el Banco Popular realizó un ejercicio funcional
para el plan?
• ¿Los cambios organizacionales o de infraestructura recientes en el Banco

Popular han afectado el contenido del plan?
• ¿Se ha emitido una nueva guía de TT&E que podría afectar el contenido del plan?
Igual que los ejercicios de mesas, las interrogaciones tienen la finalidad de

determinar con qué frecuencia se han realizado ejercicios funcionales, ya que estos
deben hacerse con recurrente periodicidad recomendable una (1) vez al año o
cuando haya cambios significativos o cuando existan numerosos ejercicios de
escritorio, de tal manera que exista una evidencia de una adecuada preparación.
81
En resumen, es conveniente asegurarse de que se haya realizado una capacitación
adecuada del personal y ejercicios de simulación previos a realizar un ejercicio
funcional. El cronograma de ejercicios funcionales debe coordinarse estrictamente
con los tiempos de los otros eventos del programa TT&E. El Equipo Organizador
debe asegurar de que los ejercicios funcionales se programen dentro de un plazo
mínimo de cuatro (4) o seis (6) meses después de un evento de ejercicios de
mesa. Es importante que cuando se programe este ejercicio, se notifique a la junta
directiva y se obtenga su aprobación.
Paso 2: Diseñar el ejercicio funcional. Una vez que se ha establecido la

necesidad de realizar un ejercicio funcional, el Equipo Organizador debe trabajar en
el diseño del ejercicio funcional para esbozar el evento del ejercicio funcional junto
con un equipo de trabajo. El equipo debe estar compuesto por un personal que está
familiarizado con el contenido del plan y puede facilitar el proceso de diseño del
ejercicio. La fase de diseño de un ejercicio funcional suele iniciarse al menos unos
meses antes de la fecha de realización deseada, dependiendo de la complejidad
del ejercicio.
A continuación, la NIST SP 800-84 describe los pasos principales en el proceso de

diseño del evento:
Determinar el tema: El equipo de diseño debe determinar los objetivos generales

para ejecutar el plan de TI. Estos objetivos amplios representan las áreas temáticas
que se abordarán en el ejercicio. Las áreas temáticas elegidas dependerán de si el
ejercicio abordará el plan completo o aspectos específicos del plan. Las áreas
temáticas que abordan el plan completo podrían incluir (pero no se limitan) la
validación de los procedimientos del plan, la evaluación de la capacidad del Banco
Popular, para implementar el plan y la evaluación de las interdependencias y el
personal responsable de llevar a cabo el plan. Va a entenderse áreas temáticas
desde punto de vista de esta guía, como el entorno en donde se busca establecer
y precisar las actividades para llevar a cabo el plan o ejercicio funcional.
Determinar el alcance: El alcance del ejercicio funcional debe determinarse en

función de qué partes del plan de TI (o todo) deben ejercerse. Si solo se van a
ejecutar partes del plan, el equipo de diseño debe considerar examinar una fase
específica de la implementación del plan, como activación, operación o
reconstitución, o funciones específicas.
Al determinar el alcance de un ejercicio funcional, el equipo de diseño debe

identificar claramente el o los elementos específicos del plan de TI que se evaluarán
y considerar los tipos de participantes necesarios para llevar a cabo el ejercicio. En
última instancia, un programa sólido de TT&E garantiza que se ejerzan todos los
elementos de un plan; sin embargo, el énfasis de los ejercicios funcionales iniciales
a menudo se pone en las funciones y responsabilidades del equipo a nivel operativo.
82
A medida que vaya madurando el programa TT&E en el Banco Popular, los
participantes de alto nivel (alta dirección o junta directiva) también pueden participar
en ejercicios funcionales para validar completamente los aspectos de toma de
decisiones del plan.
Escoger el activo a afectar y entender su arquitectura: este paso en un ejercicio

funcional de ciberseguridad se debe realizar en un entorno simulado. Previamente
a esto, implica seleccionar un activo específico dentro de la infraestructura que se
piensa afectar y entrenar para comprender su arquitectura y funcionamiento. Aquí
se explica en qué consiste este paso:
• Identificar el activo a afectar: En un ejercicio funcional, se simulan diversos

activos como servidores, aplicaciones, redes, bases de datos, entre otros, dentro
del entorno virtualizado. En este paso, se debe elegir uno de esos activos como
objetivo del ejercicio. La elección se basa en los objetivos del ejercicio y en los
aspectos específicos de ciberseguridad que se desean evaluar o poner a prueba.
• Comprender la arquitectura del activo: Una vez seleccionado el activo objetivo,

es fundamental comprender su arquitectura y funcionamiento para ejecutarlo en un
entorno virtualizado. Esto implica analizar cómo se estructura el activo, cómo se
comunica con otros componentes, qué protocolos de red utiliza y cuáles son sus
puntos de vulnerabilidad potenciales. La comprensión de la arquitectura ayudará a
diseñar escenarios realistas y desafiantes que evalúen la ciberseguridad del activo
y las medidas de protección implementadas.
• Analizar las interdependencias: Además de entender la arquitectura del activo

objetivo, es necesario identificar y comprender las interdependencias que tiene con
otros activos simulados en la infraestructura. Estos activos pueden estar conectados
en red, compartir recursos o depender de servicios externos. Analizar estas
interdependencias permitirá simular situaciones más complejas y evaluar la
capacidad de respuesta y coordinación en un entorno realista.
• Evaluar riesgos y amenazas a simular: Una vez que se comprende la arquitectura

del activo objetivo y sus interdependencias virtuales, se deben identificar y evaluar
los riesgos y amenazas simuladas que podrían afectarlo. Esto implica considerar
posibles vulnerabilidades específicas del entorno virtualizado, ataques cibernéticos
conocidos, escenarios de amenazas relevantes y cualquier otra situación que pueda
poner en peligro la seguridad del activo simulado. Esta evaluación ayudará a diseñar
escenarios y desafíos específicos que permitan evaluar la efectividad de las
medidas de seguridad implementadas y las capacidades de detección y respuesta.
Paso 3: Identificar los objetivos: Los objetivos de cualquier ejercicio funcional

deben ser validar el contenido del plan de TI, validar las funciones y
responsabilidades de los participantes según lo documentado en el plan, validar las
83
interdependencias documentadas en el plan y brindar una oportunidad para que los
participantes adquieran práctica en la ejecución sus funciones.
Un objetivo adicional para algunos ejercicios es cumplir con los requisitos

reglamentarios y otros relacionados con los planes de ejercicio, los objetivos
específicos deben documentarse y articularse claramente para los participantes del
ejercicio.
Paso 4: Identificar a los participantes: Según el tema, el alcance y los objetivos

del ejercicio, el equipo de diseño determina quién debe participar en el evento. En
este paso se habla de áreas y dependencias a participar. Los participantes deben
estar compuestos por el personal con roles y responsabilidades bajo el plan que
será necesario para ayudar a garantizar que el ejercicio cumpla con los objetivos
establecidos. Por ejemplo, se debe invitar a participar al personal de alto nivel si el
objetivo principal del ejercicio es validar los procesos de toma de decisiones y
supervisión dentro del plan.
Si el objetivo principal es validar los procedimientos operativos, se debe invitar al

ejercicio al personal de nivel operativo. Finalmente, si el objetivo principal es validar
la preparación a gran escala de un plan, debe participar tanto el personal de nivel
superior como el personal de nivel operativo.
Una vez que se haya identificado a los participantes apropiados, estos deben recibir
una invitación por escrito o un anuncio del ejercicio lo antes posible. Esto
generalmente se logra en forma de correo electrónico por parte de un miembro del
equipo de diseño del ejercicio funcional.
Paso 5: Identificar el personal de ejercicio funcional: El equipo de diseño suele

designar a un director del ejercicio, que es responsable de todos los aspectos del
ejercicio, incluida la dotación de personal, el desarrollo, la conducción y la logística.
El director del ejercicio designa uno o más controladores, quienes monitorean,

administran y controlan la actividad del ejercicio; recolectores de datos, quienes
registran información sobre las acciones que ocurren durante el ejercicio; y
simuladores, que simulan o representan de otro modo a personas y organizaciones
no participantes cuyo aporte es necesario para el desarrollo del ejercicio. Los
controladores, recolectores de datos y simuladores deben estar completamente
familiarizados con el contenido del plan de TI que se está ejercitando y con los
objetivos del ejercicio.
El director del ejercicio, los controladores, los recolectores de datos y los

simuladores deben reunirse antes del evento para analizar los detalles relacionados
con el ejercicio, incluido su alcance y objetivos. En este momento, el director del
ejercicio, los controladores, los recolectores de datos y los simuladores revisan los
resultados de los ejercicios prácticos y funcionales anteriores, si corresponde, para
84
aumentar su conciencia sobre los posibles problemas antes del evento.
Paso 6: Coordinar la Logística: Por lo general, uno o más miembros del equipo
de diseño deben ser responsables de coordinar la logística del evento del ejercicio.
El coordinador quien es el responsable de la logística puede utilizar una lista de
verificación como punto de partida para garantizar que se completen las tareas
necesarias. A continuación, el cuadro 6, es un ejemplo de listado de verificación que
de la NIST 800-84, para la validación de tareas en la coordinación de logística de
un ejercicio funcional:
Cuadro 6. Ejemplo de listado de verificación de logística de ejercicio funcional

Logística Fecha objetivo Terminado
Seleccione una fecha y hora para realizar el
ejercicio
Crear una sesión virtual vía Team u otra
herramienta corporativa oficial para realizar una
sesión previa al ejercicio
Crear una sesión virtual vía Team u otra
herramienta corporativa oficial para realizar el
ejercicio
Invitar a los participantes
Ejecutar la sesión previa y dar una breve
explicación de los objetivos del ejercicio y las
responsabilidades de cada participante
Asegúrese de que el equipo apropiado esté
disponible y configurado correctamente para
funcionar en el sitio.
Cree un cronograma del ejercicio: establezca los
tiempos de ejecución para cada fase.
Diseñar la topología red del ejercicio y la
estrategia de respuesta de gestión de incidente
sugerida
Ejecutar la sesión del ejercicio, dando
cumplimiento a los objetivos propuestos.
Fuente: Construcción propia a partir de datos obtenidos de NIST. National Institute of
Standards and Technology. Norma NIST SP 800-84. Guía de prueba, capacitación y
programas de ejercicios para TI planes y capacidades. USA. 2013.p.38.
Cabe mencionar que el cuadro 6 es un ejemplo adaptado tomado del marco de

trabajo NIST SP 800-84 y que este puede ser adaptado de acuerdo con el ejercicio
funcional que se lleve a cabo y, por ende, puede variar su lista de chequeo.
Paso 7: Desarrollar el material del ejercicio funcional. Una vez que se diseña el
evento, el director del ejercicio debe asignar roles y responsabilidades al equipo
para desarrollar el material funcional del ejercicio. Los ejercicios funcionales suelen
85
incluir la siguiente documentación:
• Sesiones informativas: Por lo general, se crean sesiones informativas y para

los participantes y el personal del ejercicio; las sesiones informativas pueden
llevarse a cabo en persona o mediante sesiones virtuales. Dependiendo de la
naturaleza del ejercicio, se puede presentar una sola sesión informativa
aproximadamente una semana antes del ejercicio, o se pueden presentar varias
sesiones informativas en las semanas y meses anteriores al ejercicio, y la sesión
informativa final suele realizarse una semana o más antes del ejercicio. Los informes
documentan cualquier información relacionada con el alcance y los objetivos del
ejercicio, las reglas de participación y los aspectos administrativos del evento.
Además, se llevan a cabo sesiones informativas para proporcionar al personal del
ejercicio información relacionada con los aspectos de gestión del evento, el nivel de
actividades que se simulan y el nivel de actividades que son dirigidas por la acción
del jugador.
• Realizar un guion El escenario está diseñado para agregar realismo al ejercicio

al proporcionar a los participantes, situaciones que inspirarán respuestas que
ayudarán a los participantes a lograr los objetivos del ejercicio. El escenario elegido
debe diseñarse para abordar adecuadamente las áreas temáticas generales y los
objetivos específicos seleccionados en la fase de diseño. Además, los
desarrolladores del ejercicio deben asegurarse de que el escenario no se salga del
alcance del ejercicio. Los escenarios de ejercicio pueden diseñarse para explorar
las peores situaciones; sin embargo, a menudo es útil desarrollar escenarios que
hagan que los participantes respondan a temas de actualidad que pueden encontrar
en el mundo real. Se documenta un escenario narrativo y normalmente se distribuye
a los participantes a través de folletos o una presentación oral el día del ejercicio.
Paso 8: Realizar montaje ambiente virtualizado. Algo que no contempla la NIST

SP 800-84 es que para llevar a cabo el ejercicio funcional se debe tener el ambiente
simulado para trabajar el ejercicio. Por ende, se sugiere tener presente este
apartado porque puede esto incurrir a un presupuesto un poco mayor, desde el
punto de vista económico y operacional.
Se debe considerar, por ejemplo, la arquitectura de red que se necesita para montar
máquinas virtuales (VMs, por sus siglas en inglés) que dependerá del uso previsto
de esas VMs, de los objetivos del ejercicio funcional y del entorno en el que se
implementarán.
A continuación, se presentan algunas consideraciones generales que pueden

ayudar a diseñar una arquitectura de red adecuada:
• Capacidad de la red: Es importante asegurarse de que la red tenga suficiente

ancho de banda para soportar las necesidades de las VMs. Se debe considerar la
86
cantidad de tráfico que se espera entre las VMs y hacia/desde el mundo exterior.
• Seguridad: Se deben implementar medidas de seguridad adecuadas, como

firewalls, para proteger las VMs de posibles amenazas externas.
• Topología de red: La topología de la red puede variar dependiendo de las

necesidades específicas. Por ejemplo, se puede optar por una topología de red
plana o jerárquica, o utilizar VLANs (Virtual Local Area Networks) para segmentar
el tráfico.
• Conectividad: Las VMs deben tener acceso a la red, ya sea a través de

adaptadores de red virtuales o interfaces de red físicas en el host.
• Escalabilidad: Se debe tener en cuenta la posibilidad de agregar más VMs en el

futuro y asegurarse de que la arquitectura de red pueda escalar adecuadamente.
Asimismo, los requisitos y capacidades de un servidor para poder instalar máquinas

virtuales pueden variar según el sistema operativo y aplicaciones que se ejecuten
en las máquinas virtuales, así como según la carga de trabajo esperada. A
continuación, se presentan algunas recomendaciones generales:
• Procesador: Se recomienda un procesador de al menos 4 núcleos y una

velocidad de 2 GHz o superior para manejar el tráfico de red y la carga de trabajo
de las máquinas virtuales. Los procesadores de servidores modernos con
tecnología Intel Xeon o AMD EPYC suelen cumplir con estos requisitos.
• Memoria RAM: Se recomienda al menos 16 GB de RAM para un buen

rendimiento, y se puede aumentar según las necesidades de las aplicaciones que
se ejecuten en las máquinas virtuales. Cada una de ellas debería tener asignada un
mínimo de 1 GB de RAM, lo que sumaría un total de 10 GB de RAM para las
máquinas virtuales más 6 GB adicionales para el sistema operativo y las
aplicaciones del servidor host.
• Almacenamiento: Se recomienda tener suficiente espacio de almacenamiento

para el sistema operativo y las aplicaciones en cada máquina virtual, además de
espacio adicional para almacenamiento compartido. Se puede utilizar una unidad
de estado sólido (SSD) para mejorar el rendimiento. Se recomienda tener al menos
500 GB de almacenamiento disponible para el sistema operativo y las aplicaciones
de las máquinas virtuales, lo que sumaría un total de 5 TB de almacenamiento para
las máquinas virtuales más espacio adicional para almacenamiento compartido.
• Red: Se recomienda tener al menos una tarjeta de red Gigabit Ethernet para
conectividad de red rápida y confiable.
87
• Software de virtualización: Se debe tener instalado un software de virtualización
en el servidor, como VMware ESXi, Hyper-V o KVM.
Paso 9: Llevar a cabo el ejercicio funcional. Los ejercicios funcionales

generalmente se llevan a cabo en tiempo real o casi real y animan a los participantes
a desempeñar sus funciones y responsabilidades de la manera más realista posible.
El ejercicio funcional, se puede iniciar mediante una llamada telefónica, correo
electrónico u otro canal autorizado utilizado en el Banco Popular, alertando al
personal seleccionado de la implementación o activación de un plan de TI
específico.
Esta alerta solicita una notificación adicional de todo el personal que sería notificado
a través de los medios identificados en el plan. Una vez que se completa el proceso
de notificación, se espera que los participantes lleven a cabo actividades operativas
o de toma de decisiones documentadas en el plan.
Según el alcance del ejercicio, las actividades podrían variar desde la

implementación de procedimientos de notificación hasta el despliegue en un sitio
alternativo y la movilización de recursos, incluido el personal y el equipo. El alcance
del ejercicio dicta si los despliegues o movilizaciones son simulados o si realmente
ocurren. Independientemente del lugar, los participantes deben realizar las
actividades como lo harían de acuerdo con el plan que se está ejercitando. Los
participantes deben ser informados de cualquier ejercicio artificial durante la sesión
informativa del participante.
Los controladores, recolectores de datos y simuladores deben colocarse

previamente en el lugar donde se lleva a cabo el ejercicio. Los controladores forman
una celda de control, una ubicación central para la coordinación del ejercicio,
generalmente en un área separada de los participantes del ejercicio, desde la cual
los controladores presentan el escenario y el mensaje inyectado a los participantes.
Los recolectores de datos observan directamente las acciones de los participantes

durante el ejercicio. Se refieren a los criterios de evaluación y cualquier otro
formulario de evaluación que el equipo de recopilación de datos pueda crear para
ayudar en sus esfuerzos. Los simuladores asumen los roles de varias entidades
internas y externas que no participan en el evento, como otras organizaciones
gubernamentales, ciudadanos privados o fuerzas del orden. Durante el transcurso
del ejercicio, el director del ejercicio, los controladores, los recolectores de datos y
los simuladores deben permanecer en contacto constante entre sí para garantizar
que el ejercicio permanezca coordinado y dentro del cronograma.
El Equipo Organizador anuncia cuando concluye el ejercicio. Por lo general, esto
ocurre cuando finaliza el tiempo asignado para el ejercicio, o antes si se cumplieron
todos los objetivos. En los casos en que ocurra una emergencia del mundo real, por
ejemplo, un sismo, tormentas eléctricas y/o demás desastres naturales, es
88
responsabilidad del director del ejercicio poner fin de inmediato al evento.
Después de la conclusión del ejercicio, el Equipo Organizador, los controladores y

los recopiladores de datos deben realizar un informe del ejercicio con los
participantes. El director del ejercicio solicita comentarios de los participantes,
controladores, simuladores y recolectores de datos. Inmediatamente después del
ejercicio, se debe pedir a los controladores, recolectores de datos, simuladores y
participantes que proporcionen al director del ejercicio sus notas o cualquier
formulario completado durante el transcurso del ejercicio.
Paso 10: Evaluar el ejercicio funcional. Durante esta fase de evaluación se debe
desarrollar el informe posterior a la acción que documenta los hallazgos y las
recomendaciones del ejercicio funcional. Las notas de ejercicio, los formularios y
otros materiales creados durante el transcurso del ejercicio y durante el lavado en
caliente son la base del informe posterior a la acción. La introducción al informe
posterior a la acción debe documentar información de antecedentes sobre el
ejercicio, como el alcance, los objetivos y el escenario.
El informe posterior a la acción también debe documentar las observaciones hechas

por el personal y los participantes del ejercicio durante el ejercicio y las
recomendaciones para mejorar el plan de TI que se ejerció. El informe posterior a
la acción también debe incluir una lista de los participantes del ejercicio y puede
proporcionar información de las encuestas de los participantes que se distribuyeron
durante el lavado en caliente para solicitar comentarios.
Después del desarrollo del informe posterior a la acción, el coordinador del plan
podría asignar elementos de acción para seleccionar personal en un esfuerzo por
actualizar el plan de TI que se está ejerciendo. El coordinador del plan luego debe
actualizar el plan, si corresponde, implementando las recomendaciones hechas en
el informe posterior a la acción. También puede ser necesario informar a ciertos
gerentes sobre los resultados del ejercicio, actualizar otros documentos
relacionados con la seguridad y realizar otras acciones basadas en el ejercicio.
7.4 PRUEBA A LA GUÍA PARA EL DISEÑO DE SIMULACROS: PLANEACIÓN Y

DESARROLLO DE UN EJERCICIO FUNCIONAL
Como parte del proyecto se ha planteado realizar un ejercicio funcional para probar
la guía de diseño de simulacros que fomenta el entrenamiento al personal de
respuesta ante posibles incidentes de ciberseguridad. Este ejercicio es parte de la
estrategia del Banco Popular para mejorar la gestión de la seguridad de la
información y minimizar los riesgos asociados con los incidentes de ciberseguridad.
El ejercicio funcional simulará un incidente de ciberseguridad y entrenará la
89
capacidad del equipo para detectar, analizar y responder adecuadamente. También
se valorará la eficacia de las medidas contingencia y los procedimientos
establecidos para la gestión de incidentes de seguridad al interior del Banco
Popular.
El objetivo principal del ejercicio es identificar y corregir cualquier debilidad y/o

desconocimiento en los procesos y procedimientos de gestión de incidentes de
ciberseguridad. Se espera que el ejercicio proporcione información valiosa sobre las
fortalezas y debilidades del equipo, así como sobre la efectividad de las políticas y
procedimientos actuales.
Al finalizar el ejercicio, se realizará una revisión exhaustiva de los resultados y se

identificarán las áreas que necesitan mejoras.
Esto permitirá al Banco Popular realizar mejoras en sus políticas, procesos y

procedimientos para garantizar una respuesta rápida y efectiva ante futuros
incidentes de ciberseguridad. De acuerdo con la guía para el diseño de simulacros
se establecieron los siguientes pasos o lineamientos que se desarrollarán a
continuación:
Paso 1: Establecer la necesidad de ejecutar un ejercicio funcional y crear un

cronograma.
En contexto, el Banco Popular realizó dos (2) ejercicios de mesa en el año 2022. El
primer ejercicio de mesa fue realizado el 17 de junio dando lugar a un escenario en
donde el objetivo consistió en la afectación del directorio activo y Azure Active
Directory mediante un ataque cibernético que borrara o eliminara registros de
usuarios y esta situación activara un plan de emergencia que permitiera operar el
negocio a pesar de la contingencia; y el segundo ejercicio de mesa, fue realizado el
24 de noviembre con el fin de afectar el sistema operativo de un servidor critico
encargado de operar las transacciones en cajeros automáticos y oficinas, y pagos
por la plataforma Pagos Seguros en línea (PSE), este también, producto de un
ataque cibernético.
Los resultados esperados de cada ejercicio tuvieron las siguientes conclusiones:
• Que todos los equipos involucrados desplegaran una estrategia o plan de

recuperación frente a un incidente de seguridad relacionado con un ciberataque.
• Evaluar la efectividad del árbol de comunicación frente a ataques cibernéticos.

Figura 5.
• Evaluar la gestión de incidente ideal del modelo 1-10-60 (detectar el tipo de

incidente en el primer minuto, comprender la amenaza en los siguientes 10 minutos
90
y recuperar los servicios en los próximos 60 minutos).
• Evaluar el rendimiento del equipo del CSIRT interno.
Lo anterior se evidencia en la figura 5
Figura 4. Árbol de Comunicación CSIRT
Fuente: Tomado del Banco Popular
Después de este último ejercicio de mesa, se estableció como reto para el año 2023
de dar un paso siguiente en la ejecución de pruebas y es en la elaboración de un
ejercicio de mayor complejidad que experimente las destrezas y habilidades del
equipo en un escenario mucho más real.
De lo anterior, será necesario llevar a cabo un ejercicio funcional en el Banco

Popular porque, aunque los ejercicios de mesa son útiles para evaluar los planes y
procedimientos teóricos de respuesta a incidentes de ciberseguridad, no simulan
completamente las condiciones y complejidades del mundo real.
Un ejercicio funcional proporciona una simulación más realista de un incidente de

ciberseguridad y permite evaluar la capacidad de respuesta del equipo en un
91
entorno más cercano a la realidad. Además, un ejercicio funcional también permite
identificar debilidades y áreas de mejora en la capacidad de respuesta del equipo,
los procesos y los procedimientos establecidos.
Por lo tanto, llevar a cabo un ejercicio funcional después de dos ejercicios de mesa
es una medida prudente para garantizar que el Banco Popular esté preparado para
responder adecuadamente a posibles incidentes de ciberseguridad. De esta
manera, se pueden identificar y abordar posibles brechas en la seguridad, fortalecer
la capacidad de respuesta del equipo y mejorar la eficacia de los procedimientos de
gestión de incidentes de ciberseguridad.
Para ello, bajo la Jefatura de ciberseguridad el cual pertenece a la Gerencia de

Privacidad, Ciberseguridad y Seguridad de la información junto con la Dirección de
Ciberinteligencia y Gestión de Amenaza el cual pertenece a la Gerencia TI de
Gestión de Ciberseguridad, quienes en adelante se denominarán Equipo
Organizador de Ciberejercicio (EOC), establecen un Comité de Expertos de
Ciberseguridad (CoE) en donde se planeará y se preparará el plan para llevar a
cabo la ejecución de un ejercicio funcional.
A continuación, se establece un cronograma de actividades:
• 13 de enero de 2023: Establecimiento del CoE, adicional, se fijan reuniones cada

dos (2) semanas, cada viernes a partir de la fecha.
• 27 de enero de 2023: segunda reunión entre el comité, se espera tratar temas en

común entre las dos (2) áreas en aras de aportar mejores estrategias de seguridad
a los activos del Banco.
• 10 de febrero de 2023: planteamiento de realizar un ejercicio funcional.
• 24 de febrero de 2023: prediseño del ejercicio funcional.
• 10 de marzo de 2023: acuerdo y definición del ejercicio funcional, asignación de

roles y responsabilidades.
• 13 de marzo 2023: reunión previa al ejercicio funcional.
• 17 de marzo: ejecución de prueba funcional.
Paso 2: Diseñar el ejercicio funcional. En el interior del Banco Popular es

importante enfatizar que en la gestión de los incidentes es de vital reducir al máximo
la indisponibilidad de los servicios. Toda vez que el equipo organizador encargado
planteó la necesidad de llevar a cabo un ejercicio funcional que aporte a las
92
destrezas y habilidades de los gestores de incidentes, surgieron las siguientes
inquietudes:
1. Identificar el objetivo del ejercicio: ¿Qué se quiere lograr con el ejercicio? Por
ejemplo, mejorar la capacidad de detección y respuesta a un ataque informático.
2. Seleccionar el tipo de ejercicio: En función del objetivo, se seleccionará el tipo de

ejercicio más adecuado, por ejemplo, simulación de un ataque de phishing o un
ataque de Ransomware.
3. Determinar los participantes y sus roles: Se debe determinar quiénes serán los
participantes del ejercicio y qué roles desempeñarán. Por ejemplo, el equipo de
seguridad informática y los empleados de la empresa.
4. Establecer las reglas del ejercicio: Se deben establecer las reglas del ejercicio,
incluyendo el alcance del ejercicio, las restricciones y las medidas de seguridad
necesarias para evitar consecuencias no deseadas.
5. Desarrollar el escenario del ejercicio: Se debe desarrollar el escenario del

ejercicio, incluyendo el tipo de ataque, los vectores de ataque y los posibles puntos
de vulnerabilidad.
6. Implementar el ejercicio: Se debe implementar el ejercicio y evaluar los

resultados para identificar posibles áreas de mejora.
De lo anterior, el equipo organizador del ejercicio funcional obtuvo los siguientes

escenarios propuestos:
• Que exista una evidencia de exfiltración de información.
• Que la amenaza a identificar, contener y erradicar se trate de un malware tipo

Ransomware.
• Finalmente, que haya una afectación de aplicaciones.
Estos escenarios delimitan el alcance y el nivel de participación de todos los

integrantes del ejercicio final. El nivel de participación ideal para este escenario es
que se incluyan personas con habilidades técnicas y tácticas y, adicionalmente,
personal con funciones operacionales.
Habilidades técnicas. Los participantes que participarán en el ejercicio funcional

deben tener conocimientos técnicos específicos para poder realizar la prueba de
manera efectiva. A continuación, se describen algunos de los conocimientos
técnicos que deben tener los participantes:
93
• Conocimientos en sistemas operativos: Los participantes deben tener un
conocimiento detallado de los sistemas operativos que se están probando, ya que
esto les permitirá identificar vulnerabilidades y problemas de configuración.
• Conocimientos de redes: Los participantes deben tener un conocimiento sólido

de las redes, incluyendo cómo funcionan los protocolos de red y cómo se configuran
los dispositivos de red. Esto les permitirá identificar problemas de seguridad en la
red y en los dispositivos de red.
• Conocimientos de programación: Los participantes deben tener habilidades de

programación, ya que esto les permitirá crear herramientas personalizadas para la
prueba de seguridad. También les permitirá identificar vulnerabilidades en el código
fuente y en las aplicaciones.
• Conocimientos de seguridad informática: Los participantes deben tener un

conocimiento profundo de las técnicas y herramientas utilizadas en la seguridad
informática, incluyendo la detección de malware, la ingeniería inversa, el análisis de
paquetes y la explotación de vulnerabilidades.
• Conocimientos de pruebas de penetración: Los participantes deben tener

experiencia en la realización de pruebas de penetración, incluyendo el uso de
herramientas de pruebas de penetración, la identificación de vulnerabilidades y la
explotación de estas.
• Conocimientos de análisis forense: Los participantes deben tener habilidades de

análisis forense, incluyendo la identificación de pruebas digitales, la recopilación de
pruebas y la documentación de los hallazgos.
Habilidades tácticas. Además de los conocimientos técnicos, los participantes del

ejercicio funcional de también deben tener habilidades tácticas específicas para
poder realizar la prueba de manera efectiva. A continuación, se describen algunos
de los conocimientos tácticos que deben tener los participantes:
• Planificación de pruebas: Los participantes deben tener habilidades para
planificar y diseñar pruebas efectivas de seguridad que aborden los objetivos
específicos de la prueba y cubran todos los aspectos relevantes del sistema.
• Habilidades de análisis: Los participantes deben tener habilidades de análisis

para poder identificar y evaluar las vulnerabilidades y debilidades de seguridad en
el sistema.
• Técnicas de explotación: Los participantes deben tener habilidades para explotar

las vulnerabilidades y debilidades de seguridad identificadas en el sistema para
probar su efectividad y evaluar la magnitud del riesgo.
94
• Habilidades de defensa: Los participantes deben tener habilidades para defender
el sistema de los ataques y amenazas, y deben ser capaces de desarrollar
soluciones efectivas de seguridad para prevenir futuros ataques.
• Técnicas de ingeniería social: Los participantes deben tener habilidades para

utilizar técnicas de ingeniería social para obtener información y acceder al sistema
de manera efectiva.
• Habilidades de comunicación: Los participantes deben tener habilidades para
comunicar de manera efectiva los resultados de la prueba de seguridad, las
vulnerabilidades y debilidades identificadas, así como las soluciones de seguridad
recomendadas a los equipos de seguridad y otros interesados.
• Habilidades de trabajo en equipo: Los participantes deben tener habilidades para

trabajar en equipo y colaborar con otros participantes en la prueba de seguridad
para lograr los objetivos de la prueba.
Habilidades Operativas. A continuación, se describen algunos de los

conocimientos operacionales que deben tener los participantes:
• Conocimientos de gestión de proyectos: Los participantes deben tener

habilidades de gestión de proyectos para coordinar y colaborar eficazmente con
otros miembros del equipo y para garantizar que la prueba se realice de manera
efectiva y se cumplan los plazos establecidos.
• Conocimientos de cumplimiento normativo: Los participantes deben estar al tanto

de las regulaciones y normas de cumplimiento aplicables para asegurarse de que
la prueba se realice de manera ética y legal.
• Conocimientos de gestión de incidentes: Los participantes deben tener

habilidades para identificar y responder rápidamente a los incidentes de seguridad
durante la prueba, incluyendo la comunicación de incidentes y la documentación
adecuada de los mismos.
• Habilidades de análisis de datos: Los participantes deben tener habilidades para

analizar grandes cantidades de datos de prueba y para sintetizar los hallazgos de
la prueba de seguridad en informes claros y concisos.
• Habilidades de gestión de la información: Los participantes deben tener

habilidades para manejar grandes cantidades de información durante la prueba,
incluyendo la recopilación, organización y documentación de los hallazgos de la
prueba.
• Habilidades de comunicación: Los participantes deben tener habilidades para
95
comunicar de manera efectiva los resultados de la prueba de seguridad, las
vulnerabilidades y debilidades identificadas, así como las soluciones de seguridad
recomendadas a los equipos de seguridad y otros interesados.
En general, los participantes deben tener una comprensión profunda de los

procesos y prácticas operacionales que se utilizan en las pruebas de seguridad y
deben ser capaces de aplicar estas habilidades de manera efectiva para garantizar
que la prueba se realice de manera efectiva y se cumplan los plazos establecidos.
También deben ser capaces de comunicar los hallazgos de manera efectiva y
gestionar la información de manera adecuada para garantizar que se tomen las
medidas necesarias para prevenir futuros ataques. Con esto, el equipo organizador
propuso el objetivo en contexto para el ejercicio funcional con las siguientes
características:
Paso 3: Objetivo del ejercicio funcional en el Banco Popular. Llevar a cabo un

ejercicio de simulación coordinado de un incidente de ciberseguridad, que permita
evaluar la capacidad de respuesta y recuperación del Banco Popular, con el
propósito de medir la resiliencia cibernética y promover un entorno de cooperación
entre los diferentes actores.
Características
• Simulación en laboratorio basado en incidentes reales y adaptados al sector y/o

región.
• Involucra la toma de decisiones activa bajo escenarios simulados y/o acordados
Fases por evaluar
• Identificación
- Detectar el incidente: ya sea a través de una alerta automática o de un aviso del
personal de seguridad.
- Recopilar información: obtener toda la información relevante sobre el incidente,
incluyendo el tipo de ataque, los sistemas afectados y los datos comprometidos.
- Notificar a los interesados: informar a los equipos de seguridad relevantes, a los

propietarios de los datos y a otras partes interesadas.
• Contención
- Aislar los sistemas afectados: desconectar los sistemas afectados de la red y

evitar que el malware se propague a otros sistemas.
- Aplicar contramedidas: implementar contramedidas inmediatas para detener el
96
ataque, como parches de seguridad, cambios de contraseñas, etc.
- Identificar el alcance del incidente: determinar el alcance del incidente y evaluar

los riesgos.
• Erradicación
- Eliminar el malware: identificar y eliminar todo el malware y otras amenazas del

sistema afectado.
- Restaurar los sistemas: restaurar los sistemas afectados a un estado seguro y

limpio.
- Verificar la seguridad: asegurarse de que los sistemas estén protegidos contra

futuros ataques similares.
• Recuperación
- Restaurar los datos: recuperar y restaurar los datos perdidos o dañados.
- Monitorear la red: monitorear la red para detectar cualquier actividad sospechosa

después del incidente.
- Realizar un análisis post-incidente: revisar y analizar el incidente para identificar

los errores y oportunidades de mejora.
Paso 4 y 5: Participantes y personal en el ejercicio funcional. A continuación,

en el cuadro 7, se listará el personal que va a participar en la ejecución del ejercicio
funcional con el respectivo rol que deberá asumir:
Cuadro 7. Lista de participantes de ejercicio funcional

Nombre del Colaborador ¿Qué rol llevará a cabo?
Ernesto Olier Valencia Soto
Coordinador de Respuesta Incidentes –
Damián Orlando Colorado
Asesor de incidentes
Wilmer Adrián Torrez Bohórquez
Joaquín Sierra Nieto Investigación Digital – Primer Respondiente
Cesar Augusto Cristancho Corredor (Forense)
Carlos Alberto Cubillos Martín Analista de Malware (Reversing,
Robert Jaime de la Rosa Desarrollo, Análisis de Comportamiento
Juan Pablo Cristiano Rodríguez Host y Red, Código, ETC)
97
Edwin Rincón Administrador de UTM
Gloria Stephani Ruiz Herrera Administración Anti-Malware
Jhonatan David Peña Administrador de VPN
Neil camilo Cubillos Morales
Análisis de Eventos SIEM
Ivone Andrea Dorado Ovalle
Fuente: Creación propia datos obtenidos del Banco Popular
El Banco Popular va a hacer uso de la empresa Nordstern Technologies, contratada

por el Banco y, en general por el grupo AVAL, por un servicio corporativo de
monitoreo y Ciberinteligencia para alertas tempranas, para el Ejercicio Funcional
tendrán una responsabilidad de observadores y posteriormente serán los
encargados de entregar un informe final de manera imparcial y objetiva del resultado
del ejercicio. A continuación, en el cuadro 8, se dan a conocer los nombres de los
participantes:
Cuadro 8. Lista de observadores por parte del Nordstern

Nombre del colaborador ¿Qué rol llevará a cabo?
Dra. Laura Requena Líder - Threat Intelligence para LATAM
Ing Omar Ochoa Líder del equipo de SOC-SIEM
Ing Carlos Abraham Mora Analista de Ciberinteligencia
Fuente: Creación propia datos obtenidos del Banco Popular
A continuación, se va a describir cada una de las funciones de los participantes:
Coordinador de Respuesta Incidentes – Asesor de incidentes: Será una figura

importante en un ejercicio funcional de ciberseguridad, algunas de las funciones
generales que se esperan de los coordinadores son:
• Preparación y planificación: Deben asegurarse de que se establezcan los

objetivos del ejercicio, se definan los roles y responsabilidades de los participantes,
se asignen los recursos necesarios y se establezcan los criterios de evaluación del
ejercicio.
• Coordinación y comunicación: Deben asegurarse de que todos los participantes

estén informados y coordinados, y de que se establezcan canales de comunicación
claros y eficaces para compartir información sobre el ejercicio simulado.
• Monitoreo y seguimiento: Deben supervisar el progreso del ejercicio, identificar y
registrar los incidentes simulados, y asegurarse de que se lleven a cabo las
acciones de respuesta apropiadas.
• Evaluación y retroalimentación: Deben llevar a cabo una evaluación detallada del
98
ejercicio después de su finalización, identificar las fortalezas y debilidades del
equipo y del plan de respuesta a incidentes, y proporcionar retroalimentación a los
participantes para mejorar la preparación y respuesta futuras.
• Documentación y presentación de informes: Deben documentar y registrar todas

las actividades y resultados del ejercicio, y presentar un informe completo al equipo
de gestión y otros interesados relevantes para fines de revisión y seguimiento.
Investigación Digital – Primer Respondiente (Forense): Es un miembro clave del

equipo de respuesta a incidentes de ciberseguridad y tiene como función principal
investigar y analizar el incidente para determinar la causa raíz y proporcionar
información útil para la respuesta y la mitigación. Dicho esto, algunas de las
funciones que se esperan del investigador digital son las siguientes:
• Recopilación y análisis de datos: Deben recopilar y analizar datos relevantes del

sistema afectado y los registros de actividad para identificar el alcance del incidente,
la forma en que se llevó a cabo y los datos comprometidos.
• Identificación de la causa raíz: Deben investigar los sistemas y el software para

determinar la causa raíz del incidente de ciberseguridad. Esto puede incluir la
identificación de vulnerabilidades en el software o sistemas, la identificación de
comportamientos anómalos y la determinación del método utilizado por el atacante
para acceder a la red.
• Identificación de la naturaleza del ataque: Deben investigar la naturaleza del

ataque y determinar si se trató de un ataque interno o externo, un ataque dirigido o
un ataque generalizado.
• Análisis forense: Deben realizar análisis forenses de los sistemas afectados para
determinar si los datos han sido robados, alterados o destruidos.
• Desarrollo de recomendaciones de mitigación: Deben proporcionar

recomendaciones para la mitigación del incidente y para prevenir futuros incidentes
similares. Esto puede incluir la aplicación de parches de seguridad, la actualización
de los sistemas y el software, la mejora de los procesos de seguridad y la formación
del personal.
Por otra parte, el primer respondiente es la primera persona que toma medidas en
respuesta a un incidente de ciberseguridad. Las funciones que se esperan de un
primer respondiente son las siguientes:
• Detección y notificación: Debe ser capaz de detectar posibles incidentes de
ciberseguridad y notificar de inmediato al equipo de respuesta a incidentes o al
supervisor.
99
• Evaluación preliminar: Debe realizar una evaluación preliminar del incidente,
incluyendo la identificación de las posibles causas y el alcance del daño o del
impacto.
• Contención: Deben tomar medidas para contener el incidente y evitar que se

propague. Esto puede incluir la desconexión del dispositivo afectado de la red o el
bloqueo del acceso a recursos críticos.
• Recopilación de información: Deben recopilar y documentar información

relevante sobre el incidente, incluyendo el momento en que se detectó, el tipo de
ataque, las direcciones IP y los registros de actividad.
• Colaboración con el equipo de respuesta a incidentes: Debe colaborar con el

equipo de respuesta para proporcionar información y asistencia en la gestión del
incidente y en la implementación de las medidas de respuesta adecuadas.
Analista de Malware: El analista de malware es el experto en ciberseguridad que

se encarga de analizar el malware que se ha utilizado en un ataque y determinar su
funcionalidad, su origen y los posibles métodos de mitigación. Algunas de las
funciones que se esperan de un analista de malware son las siguientes:
• Análisis de malware: El analista debe analizar el malware utilizado en el ataque

y determinar su funcionalidad y comportamiento. Esto puede incluir la identificación
de los vectores de ataque, la identificación de la carga útil del malware y la
identificación de los objetivos del malware.
• Identificación de amenazas: El analista debe identificar las amenazas asociadas

con el malware y determinar el impacto potencial en la organización. Esto puede
incluir la identificación de vulnerabilidades en la red, la identificación de datos
comprometidos y la identificación de sistemas críticos que puedan ser afectados.
• Desarrollo de firmas de detección: El analista debe desarrollar firmas de

detección para identificar el malware y prevenir futuros ataques similares.
• Investigación de tendencias de malware: El analista debe realizar una

investigación continua de las tendencias de malware para mantenerse actualizado
sobre las nuevas amenazas y las mejores prácticas de mitigación.
Administrador de UTM: El administrador de UTM (unified threat management) es

el encargado de gestionar y mantener la seguridad de los sistemas de red de una
organización mediante el uso de soluciones, que proporcionan una gestión unificada
de las amenazas de seguridad en la red. Algunas de las funciones que se esperan
son las siguientes:
100
• Configuración y mantenimiento de la solución UTM: Debe configurar y mantener
la solución UTM de la organización para garantizar la protección contra las
amenazas de seguridad.
• Gestión de políticas de seguridad: Debe establecer políticas de seguridad en la

solución UTM para garantizar que se apliquen en toda la red de la organización.
• Monitorización de la red: Debe monitorizar la red de la organización utilizando la

solución UTM para identificar posibles amenazas de seguridad y responder
rápidamente a los incidentes de seguridad.
• Análisis de tráfico de red: Debe analizar el tráfico de red para identificar posibles
amenazas de seguridad, como tráfico sospechoso o patrones de ataque.
• Investigación y análisis de incidentes: Debe investigar y analizar los incidentes

de seguridad que se produzcan en la red de la organización para identificar la causa
raíz y determinar la mejor forma de mitigar el incidente y prevenir futuros ataques
similares.
Administrador de Anti-malware: El administrador anti-malware es el encargado
de gestionar y mantener la seguridad de los sistemas de una organización mediante
el uso de soluciones anti-malware.
En concreto, será el responsable de gestionar y mantener la seguridad de los

sistemas mediante el uso de soluciones anti-malware, y debe realizar funciones
como configuración y mantenimiento, gestión de políticas de seguridad,
actualización de la base de datos de malware, monitorización de la actividad de
malware, análisis de los informes de malware, investigación y análisis de incidentes
de malware, mantenimiento de registros de seguridad y desarrollo de
recomendaciones de mitigación.
Administrador de VPN: Es responsable de configurar y mantener la VPN. Esto

implica la selección de la tecnología VPN adecuada, la implementación de políticas
de seguridad, la gestión de usuarios y contraseñas, la actualización de software, la
configuración de firewalls y la supervisión del rendimiento de la VPN. también es
responsable de la seguridad de la red. Esto incluye la gestión de los sistemas de
detección y prevención de intrusiones, la implementación de políticas de seguridad
para los usuarios de la VPN, la gestión de las políticas de acceso remoto y la
monitorización del tráfico de la red.
Analistas de Eventos SIEM: Son responsables de la monitorización constante de

la seguridad de la red y los sistemas de la empresa. Esto implica la revisión de los
registros de eventos de seguridad, la monitorización de las alertas de seguridad y
la identificación de patrones o tendencias de actividad sospechosa. Los analistas
de eventos de SIEM deben investigarla para determinar si se trata de una amenaza
101
real. Esto implica la revisión de los registros de eventos, la identificación de los
sistemas afectados y la determinación del alcance de la amenaza.
Si se confirma que se ha producido un incidente de seguridad, los analistas de

eventos de SIEM deben responder de manera rápida y efectiva para minimizar los
daños y restaurar la seguridad de la red. esto puede implicar la realización de una
investigación más detallada, la eliminación de la amenaza, la restauración de los
sistemas afectados y la notificación a los responsables de la seguridad.
Paso 6: Coordinar la logística. El Banco Popular está preparado para llevar a cabo
el ejercicio funcional, teniendo ya definidos los participantes con sus respectivos
roles y responsabilidades, de lo anterior, Por lo anterior se realiza la citación de los
participantes vía Microsoft Teams, tal como se ve en la figura 6:
Figura 5. Citación de participantes para el Ejercicio Funcional
Paso 7 y 8. Desarrollar el Material del Ejercicio Funcional. El desarrollo del

Ejercicio Funcional para el Banco Popular comprende un gran desafío ya que será
el primer ejercicio que se llevará a cabo al interior de este haciendo uso de una guía
102
para el diseño de simulacros de incidentes de ciberseguridad. Para ello, antes de la
ejecución del ejercicio funcional, se debe realizar una sesión previa informativa que
dará a conocer los preámbulos y consideraciones para el orden del plan y el
cumplimiento de los objetivos. Dicha sesión previa fue realizada el día 13 de marzo
de 2023.
El Banco Popular junto con Equipo Organizador de Ciberejercicio diseñó la

topología de red (figura 7) que va a ser usado en usado en el ejercicio funcional.
Esta topología pretende ser mostrada en la reunión previa para dar contexto y
entendimiento al ejercicio que ayudará a los participantes a llevar a cabo el
entrenamiento en cada una de las fases de gestión de incidente.
103
Figura 6. Topología de red del ejercicio funcional
104
Conocer la topología de red es esencial antes de ejecutar un ejercicio funcional
porque permite comprender cómo están conectados los dispositivos, los sistemas y
las aplicaciones dentro de la red. Esto ayuda a los participantes a identificar y
evaluar los posibles riesgos de seguridad y las vulnerabilidades en la red y contener
de forma rápida y efectiva.
Al conocer la topología de red, se puede identificar qué dispositivos y sistemas son

críticos para el funcionamiento de la red y, por lo tanto, requieren una protección
especial. También pueden identificar los puntos débiles y las áreas vulnerables de
la red que pueden ser explotados por el atacante.
Además, la topología de red también puede influir en la elección de herramientas y

técnicas de ciberseguridad para realizar el ejercicio. En resumen, conocer la
topología de red es un paso importante para la ciberseguridad efectiva. Ayuda a los
profesionales de la ciberseguridad a identificar los riesgos y las vulnerabilidades en
la red, a proteger los dispositivos y sistemas críticos, y a elegir las herramientas y
técnicas adecuadas para realizar un ejercicio funcional de ciberseguridad.
De acuerdo con la figura 5, el escenario contempla un servidor de aplicaciones Core,

un servidor de directorio activo y una consola de antivirus integrado al SIEM, un
servidor de credenciales de administración local, un firewall y un servicio de VPN.
Estrategia de Respuesta Sugerida. El ejercicio funcional en el Banco Popular

debe contar con una estrategia de respuesta efectiva ante incidentes de
ciberseguridad. Esta estrategia puede incluir un enfoque integral que abarque las
fases de acción del ciclo de vida de gestión de incidentes, es decir desde la
identificación hasta la recuperación. En un ejercicio funcional de ciberseguridad, se
puede implementar una estrategia de respuesta sugerida que involucre la
identificación temprana de incidentes, la activación inmediata de un equipo de
respuesta, la contención del incidente y la recuperación rápida de los sistemas
afectados. Al contar con una estrategia de respuesta bien estructurada del ejercicio,
el Banco Popular puede garantizar la seguridad de su información, proteger a sus
clientes y mantener la confianza en su marca en un incidente real. A continuación,
se plantea en el cuadro 9 la estrategia de repuesta sugerida que el Banco Popular
espera de sus colaboradores en el ejercicio funcional:
Cuadro 9. Estrategia sugerida para el ejercicio funcional

Fase Acción de respuesta
Identificar sistemas comprometidos
Validar en SIEM
Recolectar evidencias
Identificación
identificar acción realizada por el control
Análisis de la evidencia del host
Identificación y recolección de IoC
105
Fase Acción de respuesta
identificación si el equipo tiene los agentes de seguridad
actualizados
Validar actualizaciones de seguridad en el activo
Identificar origen de información extraído del activo
Reconocimiento de la fuente de la alerta
identificación de vector de ataque
Identificar información técnica de la amenaza
Identificar IoC en Sandbox
Verificar el nivel de actualización de las herramientas de seguridad
Aislar aplicativo, activo o segmento de red
Bloqueo de IoC identificados
Bajar o bloquear servicios expuestos
Actualizar firmas en herramientas de seguridad
Contención
Distribución de contramedidas en herramientas de seguridad
Despliegue de actualizaciones de seguridad
Identificación y recolección de IoC
Modificar privilegios
Bloque de IoC identificados
Actualizar firmas en herramientas de seguridad
Eliminación de software malicioso
Cambio de contraseñas de cuentas comprometidas
Despliegue de actualizaciones de seguridad
Erradicación Solicitar eliminar información alojada en repositorios no
autorizados
Validar la efectividad de la solución implementada
Eliminar binario
Modificar privilegios
Descifrar Ransomware
Confirmar la no existencia de archivos maliciosos
Confirmar controles de seguridad
Recuperación Restaurar activos/servicios
Eliminar medidas de contención temporales
Crear casos de uso de taxonomía de ataque
Fuente: Creación propia datos obtenidos del Banco Popular.
Duración del ejercicio funcional y guion. Se contempla que la duración del

ejercicio funcional cuente con una duración aproximada de (5) cinco horas a partir
de las 8:00 a.m. del día 17 de marzo de 2023, asignándole como máximo 60 minutos
a cada fase de las actividades de gestión de incidente. De acuerdo con la naturaleza
del incidente, se pueden ejecutar tareas en paralelo, por lo tanto, se organiza de la
manera que se muestra en el cuadro 10.
106
Cuadro 10. Duración del ejercicio funcional
Actividad Hora de inicio Duración en minutos
Configuración de acceso al
8:00:00 a. m. 30
laboratorio
Actividades de identificación 8:30:00 a. m. 60
Actividades de contención 9:30:00 a. m. 60
Break 10:30:00 a. m. 20
Actividades de erradicación 10:50:00 a. m. 60
Actividades de recuperación 11:50:00 a. m. 60
Cierre del ejercicio funcional 12:50:00 p. m. 10
Fuente: creación propia tomado del Banco Popular
Consideraciones o guion
• Es un escenario simulado en un ambiente de prueba aislado (máquina virtual) de

la red y de servicios expuestos a internet del Banco Popular.
• El acceso al ambiente de prueba será restringido a los participantes del ejercicio,

por lo tanto, no será accesible desde internet.
• La información utilizada en el ejercicio es convencional y solo es con fines de

recrear el ejercicio, por protección a la información confidencial restringida del
Banco Popular.
• Enlaces de la Deep Web (.onion) estarán activos únicamente en los momentos

de ejecución del ciberejercicio.
• Las imágenes que se utilizan en la gestión del incidente son de uso didácticos y
únicamente para el presente trabajo de grado y las cuales no se encuentran
expuestas en canales públicos y solo podrá ser usado por las personas involucradas
en el ejercicio funcional.
• Las personas involucradas están informadas que los recursos utilizados para
fines del presente trabajo de grado y ejercicio funcional al interior del Banco Popular
y su divulgación o exposición está expresamente prohibido.
• No se contemplan plataformas de prevención de fuga de datos en la gestión del

incidente.
• No se contemplan equipos de comunicaciones (Switches, Routers, etc.) en la

gestión de incidentes.
• No existe una ruta ideal para la gestión de incidente, las diferentes actividades
107
que se ejecuten pueden ser validadas.
• El ejercicio contempla fases técnicas, tácticas y operativas, como resultado del

ejercicio se generará un informe el cual servirá como insumo para un ejercicio
estratégico.
• Se asume que la información comprometida es información de clientes reales del

Banco Popular.
• No se contempla la intervención de actores externos, medios de comunicaciones

ni entes legales.
• Las maquinas cuentan con una USB, la cual se puede mover entre estas, con el
fin de transferir información en caso de que alguna se encuentre aislada.
• Cada maquina tiene una imagen ISO cargada con diferentes herramientas para
el apoyo del ejercicio.
• Debido a que el ejercicio se desarrollará en un ambiente virtualizado, es posible

desconectar las máquinas de la red sin perder su gestión.
• Nordstern Technologies empresa contratada por el Banco Popular y, en general,

por todo el Grupo AVAL, para el monitoreo de activos expuestos al ciberespacio y
demás activos críticos, será invitado como ente observador. Esta entidad no
participará en ningún momento del ejercicio y solo tendrá la función de observar las
acciones y actividades que realizan los participantes. Al final del ejercicio, la
empresa tercera provisionará al Banco de un informe de resultados de una manera
objetiva e imparcial.
• El escenario del incidente inicia desde un evento ocurrido el 16 de marzo de 2023

a las 6:00 am (un día antes del ejercicio funcional) en la recepción de un video
extorsivo y el equipo organizado y demás participantes actúan desde el 17 de marzo
(día de ejecución del ejercicio funcional).
Paso 9: Llevar a cabo el ejercicio funcional. La ejecución del ejercicio funcional

empezó con la reproducción de un video extorsivo de 37 (figura 8) segundos que
procede de un grupo cibercriminal enviado vía correo electrónico, donde asegura
poseer más de 100 GB de información financiera y que a su vez, producto de un
malware tipo Ransomware que infectó la infraestructura interna, exfiltrando y
cifrando archivos y demás información importante del Banco Popular.
Este grupo cibercriminal, espera en un plazo no mayor de 48 horas a partir de la

recepción de esta notificación, un pago por la liberación y la no divulgación de la
información en internet. La figura 8, enseña la introducción o inicio del incidente de
108
ciberseguridad en la que todos los participantes se enteran de lo ocurrido. La
apertura de un ejercicio funcional de ciberseguridad en este escenario podría
empezar con la siguiente manera:
La primera tarea es determinar la naturaleza y alcance del ataque cibernético. Esto

implicaría examinar el correo electrónico extorsivo y cualquier otro indicio para
determinar la validez de la amenaza y la cantidad de datos comprometidos. Sería
importante evaluar si la información comprometida incluye información personal
identificable de los clientes y cuánto daño podría hacerse si la información se hace
pública. Para esto, los Coordinadores de Respuesta Incidentes – Asesores de
incidentes, deben proponer, liderar y comunicar ante los demás participantes las
medidas a tomar para contener el incidente.
Figura 7. Muestra de video extorsivo
El equipo de trabajo de analistas de malware identifica que en el servidor web,

encuentra que todos los archivos alojados se encuentran cifrados y además hay un
archivo .txt que podría ser la nota de rescate del Ransomware. (ver figura 9)
109
Figura 8. Evidencia de cifrado de archivos
La nota de rescate (ver figura 10) trae consigo información sobre el origen del
malware que se trata del Ransomware Hive por el sitio expuesto en la red Tor en la
Deep Web.
<hxxp://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/>
donde se solicita que sea comprado el software descifrador en la siguiente ruta que
pertenece al departamento de compras de este grupo en la siguiente ruta
<hxxp://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/>.
Figura 9. Evidencia de nota de rescate
110
Posteriormente se hace reconocimiento del SIEM para identificar alertas previas
antes de ocurrir el incidente, como se aprecia en la figura 11
Figura 10. Monitoreo de SIEM

Como parte del análisis, para identificar si el agente de antivirus actuó ante la
amenaza, se trató de ingresar a la cónsula de antivirus observando que el servidor
era inaccesible, como se evidencia en la figura 12 y 13
Figura 11. Evidencia de falla de consola de antivirus
111
Figura 12. Servicios de Symantec de antivirus deshabilitados
Los participantes continúan en la búsqueda de componentes maliciosos e

identifican que en la máquina del cliente se evidencia una descarga desde sitios
como “Mega Download”. (ver figura 14 y 15)-
Figura 13. Evidencia de descarga de archivos en máquina cliente
112
Figura 14. Muestra de descarga en maquina cliente
En la carpeta de descarga en la máquina del cliente, se evidencia que existe un

archivo comprimido que posteriormente se descomprimió, como se aprecia en la
figura 16:
Figura 15. Evidencia de carpeta de descarga en maquina cliente
El equipo participante revisa el buzón de correo de la maquina cliente y encuentra

el correo malicioso en donde se encuentra el enlace malicioso que encaminó al
ataque. Después de reiniciar los servicios de antivirus, se logró tener acceso a la
consola, como se aprecia en la figura 17
113
Figura 16. Consola de antivirus
Toda vez que se obtuvo acceso a la consola se realizó un filtro por ataques de última
semana en los logs de eventos (ver figura 18)
Figura 17. Filtro por ataques de la última semana
El filtro arroja que el antivirus bloqueó un ataque por medio del IPS incorporado en
la herramienta (ver figura 19)
114
Figura 18. Muestra de ataques
Conjuntamente los participantes aportaban a la identificación de la amenaza y en la

máquina del cliente sobre la ruta
C:\User\dorisparsons\Downloads\ATACANTE\X3\xxx.exe. Este ejecutable se
inquirió el hash para luego buscarlo en fuentes reconocedoras de malware, como
por ejemplo virus total. En la figura 20, se evidencia cuando un participante
comparte en el chat de la reunión el HASH:
CBB568DE98D3BE3385CFAEBB0EE9E637482D2E580DF646CDFC1FB89689B
C0FE2. (Ver figura 20)
115
Figura 19. Muestra de ataque detectado por antivirus
La identificación de este HASH acerca cada vez a la identificación del origen del
ataque. Por lo tanto, la acción a realizar es buscar ese HASH en virustotal90 y
observar si contiene alguna actividad maliciosa (ver figura 21)
90 VIRUS TOTAL. [en línea]. Bogotá: El sitio [citado 3 de abril, 2013]. Disponible en Internet: < URL:
https://www.virustotal.com/gui/home/upload>
116
Figura 20. Envío de HASH sobre archivo xxx.exe encontrado
Toda vez de consultar en virus total se confirma que se trata del Ransomware Hive,
tal como se evidencia en la figura 22 y 23
Figura 21. Muestra de consulta de HASH en virustotal
117
Figura 22. Buzón de correo de maquina cliente – evidencia de correo malicioso
Se logra identificar la carpeta donde estaba ubicado el malware. Este archivo es el

poseedor del Ransomware que el atacante logró ejecutar infectando la maquina
cliente y el controlador de dominio (ver figura 24).
Figura 23. Evidencia de existencia del malware
El atacante por medio del malware logró tomar control de la maquina y en el

controlador de dominio creo una unidad organizacional y movió los usuarios que allí
118
contenía, como se ve en la figura 24
Posteriormente a ello, modificó la política de dominio por defecto y generó dos

tareas programadas como muestra la figura 25 y al observar las propiedades de
dicha tarea se evidencia que cada cinco (5) minutos ejecutaba un script como se ve
en las figuras 26 y 27 para que los equipos de la red trataran de conectarse y
ejecutar el malware.
Figura 24. Evidencia de usuarios creados en nueva unidad organizacional
119
Figura 25. Evidencia de creación de tareas programadas
Figura 26. Tarea programada de ejecución de Script
Hasta esta instancia se puede decir que la fase de detección y análisis los
participantes han contribuido a la identificación de un incidente de ciberseguridad.
120
La fase de análisis y detección en el ejercicio funcional de ciberseguridad en el
Banco Popular ha llegado a su fin. Esta etapa ha sido crucial para evaluar la
seguridad de los sistemas y redes del banco y para identificar posibles amenazas y
vulnerabilidades.
Durante esta fase, se han realizado análisis exhaustivos de los registros y logs de
seguridad, pruebas de penetración y auditorías de seguridad para identificar y
documentar los riesgos y vulnerabilidades potenciales. Además, se han evaluado
los riesgos y se han definido medidas recomendadas para mitigar los riesgos
identificados.
Gracias a estas actividades, se han obtenido valiosos conocimientos sobre la

seguridad del Banco Popular y se han establecido medidas de seguridad para
garantizar la protección de los sistemas y datos del banco. La finalización de esta
fase es un paso importante en el proceso de mejorar la ciberseguridad del banco y
garantizar la protección de sus clientes y activos.
Acciones ejecutadas realizadas en simultaneo y que fueron mencionados por

los participantes durante el ejercicio funcional:
• Se aisló máquina de servidor web de la red, debido a que se evidenció que se

encontraba afectada por el malware.
• Se aisló de la red la maquina cliente por ser el paciente cero del incidente de
ciberseguridad.
• Se bloquearon en firewall el enlace por donde fue descargado el malware en la

maquina cliente.
• Se añadió a las herramientas de seguridad el HASH

CBB568DE98D3BE3385CFAEBB0EE9E637482D2E580DF646CDFC1FB89689B
C0FE2 como Indicador de Compromiso IoC
• Se tomaron como indicar de compromiso las IP 54.242.180.183, 23.1.33.68,

181.54.160.154
• Se bloqueó el usuario \dorisparsons, por identificarse que es un usuario

comprometido.
• Por medio de consola antivirus se solicitó bloquear la consola de PowerShell para

que no se sigan ejecutando procesos.
121
• Se hizo cambio de contraseña de administradores de dominio para lograr que el
atacante perdiera acceso al sistema.
• Se detuvieron los procesos de snapshots de servidores para no generar
imágenes infectadas.
• De acuerdo con el tiempo del ejercicio funcional, por las tareas elaboradas para
identificar, analizar y contener, no fue posible llevar a cabo un proceso forense.
• De igual manera, no se pudo llegar a tiempo a la etapa de erradicación y

recuperación durante el tiempo establecido en el ejercicio funcional.
7.5 RESULTADOS OBTENIDOS DEL EJERCICIO FUNCIONAL
Los resultados obtenidos del ejercicio funcional en el Banco Popular indican que el
nivel de preparación del equipo evaluado fue alto, con un puntaje de 4,3 en la fase
de Preparación. Sin embargo, se observa que, en la fase de Identificación y
Contención, el puntaje obtenido fue medio, con valores de 2,6 y 2,9,
respectivamente. En la fase de Erradicación, el nivel de desempeño fue bajo, con
un puntaje de 2,1. No obstante, en la fase de Lecciones Aprendidas, el equipo
obtuvo un puntaje alto de 4,0. (ver Anexo A)
Para mejorar en el siguiente ejercicio funcional que el Banco Popular a futuro

pretenda hacer haciendo uso de la Guía Para el Diseño de Simulacros de Incidentes
de Ciberseguridad, se recomienda lo siguiente:
• Fortalecer la fase de Identificación: el equipo debería dedicar más tiempo y

recursos para identificar de manera temprana las situaciones problemáticas y
evaluar sus posibles impactos.
• Mejorar la fase de Contención: el equipo debe desarrollar mejores estrategias

para contener situaciones problemáticas y minimizar sus efectos en la organización.
• Reforzar la fase de Erradicación: el equipo debe trabajar en mejorar su capacidad

para erradicar situaciones problemáticas y desarrollar planes de acción más
efectivos.
• Continuar con la fase de Lecciones Aprendidas: el equipo debe continuar con

esta fase y evaluar los resultados del ejercicio funcional para aprender de la
experiencia y mejorar en futuras situaciones similares.
• Capacitación y entrenamiento: el equipo debería recibir capacitación y

entrenamiento constante en técnicas y habilidades necesarias para manejar
122
situaciones problemáticas de manera efectiva.
En resumen, el Banco Popular debe enfocar sus esfuerzos en mejorar las fases de
Identificación, Contención y Erradicación. La capacitación y el entrenamiento
constante en técnicas y habilidades necesarias también serán fundamentales para
mejorar el desempeño del equipo en futuros ejercicios funcionales.
7.6 LECCIONES APRENDIDAS
Lecciones aprendidas que el Banco Popular debe tener en cuenta para un próximo
ejercicio funcional de ciberseguridad:
• Fortalecer la fase de Erradicación: Durante el ejercicio funcional se identificó que

la fase de Erradicación presentó algunos desafíos para el equipo. Por lo tanto, es
importante fortalecer esta fase en futuros ejercicios para mejorar la capacidad de la
organización para enfrentar situaciones problemáticas de ciberseguridad.
• Actualizar y revisar regularmente el plan de acción: Es importante que el plan de

acción para enfrentar situaciones de ciberseguridad sea actualizado y revisado
regularmente para asegurarse de que está alineado con los cambios en la
organización y las nuevas amenazas en el mundo de la ciberseguridad.
• Capacitación y entrenamiento constante del equipo: El equipo debe recibir

capacitación y entrenamiento constante en ciberseguridad para mejorar su
capacidad de respuesta ante situaciones problemáticas de ciberseguridad.
• Reforzar la colaboración y la comunicación: Durante el ejercicio funcional se

identificó que la colaboración y la comunicación entre los miembros del equipo
fueron clave para el éxito del ejercicio. Por lo tanto, es importante reforzar la
colaboración y la comunicación entre los diferentes departamentos y miembros del
equipo.
• Establecer roles y responsabilidades claros: Es importante que todos los

miembros del equipo tengan roles y responsabilidades claros en caso de una
situación de ciberseguridad para evitar confusiones y mejorar la capacidad de
respuesta.
• Monitorear constantemente la red y los sistemas: La organización debe contar

con herramientas y soluciones de monitoreo constante de la red y los sistemas para
identificar posibles amenazas y responder rápidamente ante ellas.
• Realizar ejercicios funcionales de manera regular: Es importante realizar
123
ejercicios funcionales de ciberseguridad de manera regular para mantener al equipo
preparado y actualizado ante posibles situaciones problemáticas de ciberseguridad.
• Evaluar y mejorar constantemente el plan de acción: Después de cada ejercicio

funcional es importante evaluar y mejorar el plan de acción para enfrentar
situaciones problemáticas de ciberseguridad, teniendo en cuenta las lecciones
aprendidas y las áreas de oportunidad identificadas.
• Contar con un equipo de respuesta a incidentes de ciberseguridad: Es importante

contar con un equipo especializado en respuesta a incidentes de ciberseguridad
para enfrentar situaciones de manera más efectiva y rápida.
• Mantener la confidencialidad: Durante el ejercicio funcional se trabajó con

información confidencial de la organización, por lo que es importante mantener la
confidencialidad de la información y asegurarse de que los miembros del equipo la
traten de manera adecuada.
124
8. CONCLUSIONES
Los resultados obtenidos en el ejercicio funcional no dependen estrictamente de la

creación de la guía, puesto que, por el contrario, la guía pretendía pautar una
estrategia para que se puedan diseñar cualquier tipo ejercicio bajo cualquier tipo de
incidente en un entorno sujeto a elección, de acuerdo a la necesidad de entrenar
alguna capacidad de respuesta y/o decisión, esto además, con un equipo que
participe activamente y se ejecutara una serie de acciones y actividades para medir
y evaluar capacidades de respuesta y resiliencia cibernética del Banco.
Al seguir los pasos, lineamientos y pautas de la guía, el equipo pudo llevar a cabo
un ejercicio funcional que permitió entrenar la capacidad de la organización para
enfrentar situaciones problemáticas de ciberseguridad.
Entre las conclusiones más relevantes se encuentran:
• Conocer el estado actual del Banco Popular frente a la gestión de incidentes de

ciberseguridad proporciona una base sólida para comprender las fortalezas y
debilidades existentes en la organización. Esta evaluación inicial permitirá identificar
áreas de mejora y establecer metas realistas para fortalecer la respuesta ante
posibles incidentes.
• La comprensión de la taxonomía de clasificación de Ciberincidentes según

Asobancaria, ColCERT y la Superintendencia Financiera de Colombia es
fundamental para establecer una base común de terminología y clasificación de
incidentes. Esto facilitará la comunicación efectiva y la colaboración con otras
entidades relacionadas con la seguridad cibernética.
• El enfoque en las fases de gestión de incidentes según las directrices de la

ISO/IEC 27035 y NIST SP 800-61 proporciona un marco estructurado y reconocido
internacionalmente para abordar los incidentes de ciberseguridad. Esto garantiza
que se sigan los pasos adecuados, desde la identificación inicial hasta la
recuperación y el aprendizaje posterior al incidente.
• La definición de un ejercicio de mesa y funcional, junto con los pasos a seguir en

la guía de diseño, establece un enfoque claro para la realización de simulacros.
Estos ejercicios son esenciales para probar la capacidad de respuesta y mejorar la
preparación del Banco Popular ante situaciones reales de ciberseguridad. La guía
125
proporcionará un marco práctico y estructurado para la planificación y ejecución de
estos ejercicios.
• La realización de un ejercicio funcional que simule la afectación de un servicio

crítico en el Banco Popular permitirá evaluar la efectividad de las medidas de
seguridad existentes y la capacidad de respuesta de la organización. Documentar
las evidencias y resultados de este ejercicio proporcionará información valiosa para
la identificación de áreas de mejora y el fortalecimiento de la resiliencia ante posibles
ataques cibernéticos.
• Presentar las lecciones aprendidas del ejercicio funcional fomentará un ambiente

de cooperación al interior del Banco Popular en lo que respecta a la gestión de
incidentes de ciberseguridad. Estas lecciones identificarán tanto los aspectos
positivos como las áreas que necesitan mejorar, promoviendo la colaboración entre
los equipos de seguridad, TI y gestión de riesgos. Esto permitirá implementar
cambios efectivos y fortalecer continuamente la postura de seguridad de la
organización.
En resumen, la guía diseñada para la simulación de incidentes de ciberseguridad

permitió al equipo del Banco Popular contar con un plan estructurado y detallado
para enfrentar situaciones problemáticas de ciberseguridad. El equipo demostró un
buen nivel de preparación y capacidad para identificar y contener el incidente. La
fase de Erradicación presentó algunos desafíos para el equipo, sin embargo, la fase
de Lecciones Aprendidas permitió al equipo reflexionar sobre la experiencia y
aprender de ella para mejorar en futuros ejercicios funcionales.
126
BIBLIOGRAFÍA
ARENÍZ, Gabriel. Diseño de un modelo para la gestión de incidentes en

ciberseguridad basado en la Norma ISO 27002:2013 para la Empresa Proyectos de
Inversión Vial Andino S.A.S. [en línea]. Bogotá: El Autor [citado 3, febrero de 2023].
Disponible en Internet: < URL: https://repository.unad.edu.co/handle/10596/52511>
BANCO POPULAR. Historia de la entidad. [en línea]. Bogotá: La entidad [citado 3,

febrero de 2023]. Disponible en Internet: < URL: https://acortar.link/Tqek9p >
BANCO POPULAR. Información Institucional [en línea]. Bogotá: La entidad [citado

3, febrero de 2023]. Disponible en Internet: < URL: https://acortar.link/qoqjiU]
COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 1273. (5, enero, 2009) por

medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado
- denominado "de la protección de la información y de los datos" y se preservan
integralmente los sistemas que utilicen las tecnologías de la información y las
comunicaciones, entre otras disposiciones. Bogotá, 2009.p.2.
_ _ _ _ _ _ _ _, _ _ _ _ _ _ _. Ley 1581. (5, enero, 2009). Por la cual se dictan

disposiciones generales para la protección de datos personales. Bogotá, 2012.p.2.
CUTA BENITES, Edward. Diseño de un plan de recuperación ante desastres

basado en la norma NIST SP 800-34 rev1 para un proveedor de servicios de
telecomunicaciones en el Perú. [en línea]. Perú: UPC [citado 3 de marzo de 2023].
Disponible en Internet: < URL:
https://repositorioacademico.upc.edu.pe/handle/10757/652120>
GÓMEZ, F y VALENCIA, H. Diseño de un procedimiento de gestión de incidentes

de ciberseguridad que articule la gestión de riesgos, continuidad, crisis y resiliencia
que se pueda integrar a la respuesta corporativa. [en línea]. Bogotá: El Autor [citado
11, marzo de 2023]. Disponible en Internet: < URL:
http://hdl.handle.net/20.500.12622/5197>
GONZÁLEZ, Jorge y PARRADO, Víctor. Guía de gestión de incidentes de seguridad

de la información para la oficina de tecnología de la información y la comunicación
– OTIC del Ministerio de Salud y Protección Social, tomando como base la norma
ISO 27001:2013. [en línea]. Bogotá: Universidad Piloto de Colombia [citado 3,
febrero de 2023]. Disponible en Internet: < URL:
http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2659/Trabajo%20
de%20grado.pdf?sequence=1&isAllowed=y
ICONTEC. Instituto Colombiano de Normas Técnicas y Certificación. Guía Técnica

Colombiana GTC-ISO/IEC 27035. Tecnología de la Información. Técnicas de
seguridad. Gestión de Incidentes de Seguridad de la Información. Bogotá: Icontec,
127
2011.p.9.
MARSAL GIMÉNEZ, María y MONGES OLMEDO, Mario. Modelo teórico de gestión

de incidentes de seguridad de la información, para entidades financieras, basado
en ISO 27035:2011. En: Revista Científica- Estudios e Investigaciones. [en línea].
Bogotá, 2016. vol.7, nro. 55. p. 33-46. [Consultado: 13 de febrero de 2023].
Disponible en http://revista.unibe.edu.py/index.php/rcei/article/view/278
MITRE ATT&CK. Matriz empresarial. [en línea]. Bogotá: La Empresa [citado 12 de

enero de 2023]. Disponible en Internet: < URL:
https://attack.mitre.org/matrices/enterprise/>
NIST. National Institute of Standards and Technology. Computer. Norma SP 800-

61. Guía de manejo de incidentes de seguridad [en línea]. USA: La Entidad [citado
14 de diciembre de 2022]. Disponible en Internet: < URL:
NIST. National Institute of Standards and Technology. Computer. Norma SP 800-

61. Op, cit, p.11
NIST. National Institute of Standards and Technology. Norma NIST SP 800-81. Guía
de prueba, capacitación y programas de ejercicios para TI planes y capacidades.
USA. 2013.P. 37.
NIST. National Institute of Standards and Technology. Norma NIST SP 800-84. Guía
de prueba, capacitación y programas de ejercicios para TI planes y capacidades.
USA. 2013.p. 37.
SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Circular Externa No.7.

Institucional [en línea]. Bogotá: La entidad [citado 3, febrero de 2023]. Disponible en
Internet: < URL:
https://www.superfinanciera.gov.co/jsp/Publicaciones/publicaciones/loadContenido
Publicacion/id/10097769/f/0/c/00>
_ _ _ _ _ _ _ _, _ _ _ _ _ _ _Taxonomía Única Incidentes Cibernéticos – TUIC. Guía

Para la Clasificación de Incidentes cibernéticos – Proyecto TUIC. Bogotá: La
superintendencia, 2020.p.2.
VIRUS TOTAL. [en línea]. Bogotá: El sitio [citado 3 de abril, 2013]. Disponible en
Internet: < URL: https://www.virustotal.com/gui/home/upload>
128
ANEXOS
ANEXO A. INFORME CIBEREJERCICIO NORDSTERN - BANCO POPULAR
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143

Guía para El Diseño de Simulacros de Incidentes de Ciberseguridad A Través de La Adaptación de Estándares y Metodologías Como Iso Iec 27035, Nist SP 800-61 y N

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guía para El Diseño de Simulacros de Incidentes de Ciberseguridad A Través de La Adaptación de Estándares y Metodologías Como Iso Iec 27035, Nist SP 800-61 y N

Cargado por

Copyright:

Formatos disponibles

GUÍA PARA EL DISEÑO DE SIMULACROS DE INCIDENTES DE

CIBERSEGURIDAD A TRAVÉS DE LA ADAPTACIÓN DE ESTÁNDARES Y

ERNESTO OLIER VALENCIA SOTO

UNIVERSIDAD PILOTO DE COLOMBIA

ERNESTO OLIER VALENCIA SOTO

Proyecto de grado presentado para optar por el título de

UNIVERSIDAD PILOTO DE COLOMBIA

Bogotá D.C., 22 de junio 2023

Ernesto Olier Valencia Soto.

Quiero expresar mi más sincero agradecimiento por permitirme utilizar su nombre e

Además, me gustaría agradecer de todo corazón a mis padres, hermanos, mi hija y

Asimismo, quiero expresar mi profundo agradecimiento a la Ingeniera Lorena

2.1 PLANTEAMIENTO DEL PROBLEMA 24

2.2 FORMULACIÓN DEL PROBLEMA 24

3.1 OBJETIVO GENERAL 25

3.2 OBJETIVOS ESPECIFICOS 25

4.1 MARCO TEÓRICO 26

4.2 MARCO NORMATIVO 27

4.2.1 NIST SP-800-61: Guía de Gestión de Incidentes de Seguridad 27

4.2.2 ISO/IEC 27035:2011: Tecnología de la información — Técnicas de seguridad

4.2.3 NIST SP 800-84: Guía de prueba, capacitación y programas de ejercicios para

4.2.4 Guía de gestión de incidentes de seguridad de la información para la oficina de

4.2.6 Diseño de un procedimiento de gestión de incidentes de ciberseguridad que

4.3 MARCO CONTEXTUAL 36

4.4 MARCO LEGAL 38

5.1.1 Hipótesis de investigación 42

5.1.2 Hipótesis nula. 42

5.2.1 Variables independentes 42

5.2.2 Variables dependientes 42

5.3 DEFINICIÓN DE ALCANCE 42

6.1 ESTADO ACTUAL ANTE LA PREPARACIÓN DE GESTIÓN DE INCIDENTES

6.2 TAXONOMÍA DE CLASIFICACIÓN DE CIBERINCIDENTES 49

6.2.1 Elementos de un Incidente 49

6.3.1 Fase de planificación y preparación. 57

6.3.2 Fase de detección y análisis 59

6.3.3 Fase de contención, erradicación y recuperación 68

7.1 GUIA PARA EL DISEÑO DE SIMULACROS de incidentes de ciberseguridad EN

7.1.1 Preámbulos y consideraciones 69

7.2 INSTRUCCIONES PARA REALIZAR UN EJERCICIOS DE MESA – SIMULACRO

7.3 INSTRUCCIONES PARA REALIZAR UN EJERCICIO FUNCIONAL -

7.4 prueba a LA GUíA PARA EL DISEÑO DE SIMULACROS: PLANEACIÓN Y

7.5 resultados obtenidos del ejercicio funcional 122

7.6 LECCIONES APRENDIDAS 123

Figura 1. Ciclo de vida de respuesta a incidentes 30

Figura 2. Taxonomía de incidentes 52

Figura 3. Metodología de eventos de TT&E 74

Figura 4. Árbol de Comunicación CSIRT 91

Figura 5. Citación de participantes para el Ejercicio Funcional 102

Figura 6. Topología de red del ejercicio funcional 104

Figura 7. Muestra de video extorsivo 109

Figura 8. Evidencia de cifrado de archivos 110

Figura 9. Evidencia de nota de rescate 110

Figura 10. Monitoreo de SEIM 111

Figura 11. Evidencia de falla de consola de antivirus 111

Figura 12. Servicios de Symantec de antivirus deshabilitados 112

Figura 13. Evidencia de descarga de archivos en máquina cliente 112

Figura 14. Muestra de descarga en maquina cliente 113

Figura 15. Evidencia de carpeta de descarga en maquina cliente 113

Figura 16. Consola de antivirus 114

Figura 17. Filtro por ataques de la última semana 114

Figura 18. Muestra de ataques 115

Figura 19. Muestra de ataque detectado por antivirus 116

Figura 20. Envío de HASH sobre archivo xxx.exe encontrado 117