Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asesora
M.Sc. LORENA OCAMPO CORREA
Ingeniera de Sistemas y Computación
______________________________
______________________________
______________________________
______________________________
______________________________
______________________________
Firma del presidente del jurado
______________________________
Firma Jurado
______________________________
Firma Jurado
pág.
INTRODUCCIÓN 22
1. JUSTIFICACIÓN 23
2. PROBLEMA DE INVESTIGACIÓN 24
3. OBJETIVOS 25
4. MARCO REFERENCIAL 26
5. DISEÑO METODOLOGICO 41
5.1 HIPOTESIS 42
5.2 VARIABLES 42
6. FASE 1 44
6.2.2 Categorías. 51
6.3 FASES EN LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD 57
7. FASE II 69
8. CONCLUSIONES 125
BIBLIOGRAFÍA 127
ANEXOS 129
LISTA DE FIGURAS
pág.
Figura 22. Buzón de correo de maquina cliente – evidencia de correo malicioso 118
pág.
pág.
pág.
ADWARE: son tipos de virus que se instalan en el sistema operativo. Tiene como
función desplegar avisos publicitarios a través de ventanas emergentes del
navegador.2
BACKDOOR: software o tipo de virus que se usan para obtener acceso a una red
o sistema mediante un bypass a todas las políticas de seguridad de la
organización.11
9 Ibid., p.6.
10 Ibid., p.6.
11 Ibid., p.5.
12 Ibid., p.5.
13 Ibid., p.5.
14 Ibid., p.6.
15 Ibid., p.7.
16 Ibid., p.7.
17 Ibid., p.7.
ser revelada a individuos, entidades o procesos no autorizados.18
CONTROL COMPENSATORIO: control que permite proporcionar un nivel de
seguridad similar (o superior) al del control original y se emplea bajo circunstancias
excepcionales.19
DoS (Denial of Service): también llamado ataque DoS (por su sigla en inglés), es
un ataque a un sistema de computadoras o red que causa que un servicio o recurso
18 Ibid., p.7.
19 Ibid., p.7.
20 Ibid., p.8.
21 Ibid., p.8.
22 Ibid., p.8.
23 Ibid., p.8.
24 Ibid., p.8.
25 Ibid., p.8.
26 Ibid., p.8.
27 Ibid., p.8.
sea inaccesible a los usuarios legítimos.28
FIREWALL: dispositivo de red que tiene como propósito principal el control del
acceso desde o hacia una red protegida.31
HASH: son algoritmos criptográficos de una vía que crean, a partir de una entrada
(ya sea un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica
de longitud normalmente fija que representa un resumen identificativo de toda la
información de entrada.35
28 Ibid., p.8.
29 Ibid., p.8.
30 Ibid., p.8.
31 Ibid., p.10.
32 Ibid., p.10.
33 Ibid., p.10.
34 Ibid., p.10.
35 Ibid., p.10.
36 Ibid., p.10.
máquina específica. Generalmente puede reconocerse como un agente IPS, un
software instalado para la prevención de intrusiones.37
IDS (Intrusion Detection System): sistemas o dispositivos que se encargan de
detectar accesos no autorizados a la red o a un sistema determinado.38
37 Ibid., p.11.
38 Ibid., p.11.
39 Ibid., p.11.
40 Ibid., p.11.
41 Ibid., p.11.
42 Ibid., p.11.
43 Ibid., p.11.
44 Ibid., p.11.
45 Ibid., p.11.
INTEGRIDAD: asegurar que un elemento, dispositivo o información no haya sido
cambiado en su manipulación. Puede asociarse a que sea la misma desde el origen
hasta su destino en un caso de transporte o transmisión.46
NIDS (Network Intrusion Detection System): dispositivo de red que cumple con
la detección de intrusos. Busca detectar anomalías que indican un riesgo potencial,
analizando el tráfico en la red. Usualmente es un dispositivo más dentro de la red.49
NIPS (Network Intrusion Prevention System): dispositivo de red que cumple con
la prevención de intrusos. Busca detectar anomalías que indican un riesgo potencial,
analizando el tráfico en la red. Usualmente es un dispositivo más dentro de la red.50
RIESGO: probabilidad de que las amenazas exploten los puntos débiles, causando
46 Ibid., p.12.
47 Ibid., p.12.
48 Ibid., p.12.
49 Ibid., p.12.
50 Ibid., p.12.
51 Ibid., p.12.
52 Ibid., p.12.
53 Ibid., p.12.
54 Ibid., p.12.
pérdidas o daños a los activos e impactando los objetivos de la organización.55
55 Ibid., p.12.
56 Ibid., p.14.
57 Ibid., p.14.
58 Ibid., p.14.
59 Ibid., p.14.
60 Ibid., p.14.
61 Ibid., p.14.
RESUMEN
En este sentido, la guía será una herramienta que recogerá las mejores prácticas
de estándares internacionales más usadas en gestión de incidentes, como es la
ISO/IEC 27035:2013 y la NIST 800-61. Estas metodologías abarcan las fases de un
incidente de ciberseguridad, por lo que la intencionalidad de dicha guía es aportar
a la madurez del Banco Popular frente a la gestión y manejo de incidentes que
puede estar expuesto o que suceden en el entorno financiero mediante la
formulación de escenarios que finalizan en la ejecución de un ejercicio controlado
que simule la afectación de un activo de información o servicio crítico.
Por otra parte, este proyecto de investigación deja ver los beneficios que conlleva
establecer una guía que entrene y fortalezca las capacidades de respuesta y gestión
de los responsables de atender incidentes de ciberseguridad, así como también de
los administradores de activos críticos expuesto al ciberespacio. Este trabajo se
centrará en aportar y ofrecer al Banco Popular, una práctica única de conocimiento
en la elaboración de ejercicios vigilados de un ataque cibernético.
22
1. JUSTIFICACIÓN
Adicional a lo anterior, con la guía se planteará una nueva estrategia para el diseño
de simulacros; en primer lugar, porque recoge las recomendaciones y buenas
prácticas de estándares como ISO/IEC 27035 y NIST 800-61 y, en segundo lugar,
porque abarca la posibilidad de emular cualquier tipo de incidente de ciberseguridad
haciendo de este un documento integral y completo.
23
2. PROBLEMA DE INVESTIGACIÓN
24
3. OBJETIVOS
• Definir qué es un ejercicio de mesa y funcional y los pasos a seguir en la guía del
diseño de simulacros de incidentes de ciberseguridad.
25
4. MARCO REFERENCIAL
26
Entre estos estándares se destacan ISO/IEC 27035, NIST SP 800-61 y NIST SP
800-84, los cuales establecen pautas para la planificación, diseño, ejecución y
evaluación de los simulacros de incidentes de ciberseguridad.
62 MARSAL GIMÉNEZ, María y MONGES OLMEDO, Mario. Modelo teórico de gestión de incidentes
de seguridad de la información, para entidades financieras, basado en ISO 27035:2011. En: Revista
Científica- Estudios e Investigaciones. [en línea]. Bogotá, 2016. vol.7, nro. 55. p. 33-46. [Consultado:
13 de febrero de 2023]. Disponible en http://revista.unibe.edu.py/index.php/rcei/article/view/278
63 CUTA BENITES, Edward. Diseño de un plan de recuperación ante desastres basado en la norma
NIST SP 800-34 rev1 para un proveedor de servicios de telecomunicaciones en el Perú. [en línea].
Perú: UPC [citado 3 de marzo de 2023]. Disponible en Internet: < URL:
https://repositorioacademico.upc.edu.pe/handle/10757/652120>
64 NIST. National Institute of Standards and Technology. Computer. Norma SP 800-61. Guía de
27
respuesta a incidentes de seguridad informática se ha convertido en un componente
importante de los programas de tecnología de la información (TI). Las amenazas
relacionadas con la seguridad se han vuelto no solo más numerosas y diversas,
sino también más dañinas y perturbadoras. Con frecuencia surgen nuevos tipos de
incidentes relacionados con la seguridad. Las actividades preventivas basadas en
los resultados de las evaluaciones de riesgos pueden reducir el número de éstos,
pero no todos los incidentes se pueden prevenir. Por lo tanto, es necesaria una
capacidad de respuesta a estos sucesos a fin de detectarlos rápidamente, minimizar
pérdidas y destrucción, mitigar las debilidades que fueron explotadas y restaurar los
servicios informáticos.
Ahora bien, realizar una respuesta a incidentes de manera efectiva es una tarea
compleja, al igual que establecer una capacidad de respuesta exitosa requiere una
planificación y recursos sustanciales; es por ello por lo que es esencial monitorear
continuamente las amenazas a través de los sistemas de prevención y detección de
intrusos (IDPS) y otros mecanismos. Adicional a lo anterior, es fundamental
establecer procedimientos claros para evaluar el impacto comercial actual y
potencial de los incidentes, al igual que implementar métodos efectivos para
recopilar, analizar y reportar datos. La construcción de relaciones y el
establecimiento de medios adecuados de comunicación con otros grupos internos
(p. ej., recursos humanos, legal) y con grupos externos (p. ej., otros equipos de
respuesta a incidentes, aplicación de la ley) también son vitales.
manejo de incidentes de seguridad [en línea]. USA: La Entidad [citado 14 de diciembre de 2022].
Disponible en Internet: < URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-
61r2.pdf>
28
• Reconocer qué personal adicional puede ser llamado para participar en la
respuesta a incidentes.
• Acceso no autorizado: una persona obtiene acceso lógico o físico sin permiso a
una red, sistema, aplicación, datos u otro recurso de TI.
• Uso inapropiado: una persona viola el uso aceptable de cualquier política de red
o computadora.
• Componente múltiple: un solo incidente que abarca dos o más; por ejemplo, una
infección de código malicioso conduce al acceso no autorizado a un host que luego
se utiliza para obtener acceso no autorizado a host adicionales.
De acuerdo con la gravedad del incidente, la organización puede actuar para mitigar
el impacto, conteniéndolo y, en última instancia, recuperándose de él. Una vez que
el incidente se maneja adecuadamente la organización emite un informe que detalla
la causa y el costo de éste y los pasos que la organización debe tomar para
prevenirlos.
29
se describen en detalle a lo largo de esta sección. La figura 1 ilustra el ciclo de vida
de la respuesta a incidentes.
Fuente: Conseguido de la NIST. National Institute of Standards and Technology. Computer. Norma
SP 800-61. Guía de manejo de incidentes de seguridad [en línea]. USA: La Entidad [citado 14 de
diciembre de 2022]. Disponible en Internet: < URL:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf>
30
El objetivo principal de la norma ISO/IEC 27035:2011 es ayudar a las
organizaciones a responder de manera rápida y efectiva a los incidentes de
seguridad de la información y minimizar su impacto en la confidencialidad, integridad
y disponibilidad de la información. Por lo tanto, es esencial para cualquier
organización que se tome en serio la seguridad de la información deba tener un
enfoque estructurado y planificado para:
31
procesos y rutinas descritos en la guía, siempre dependiendo de su tamaño y tipo
de negocio en relación con la situación de riesgo de seguridad de la información.
También proporciona orientación para organizaciones externas que brindan
servicios de gestión de incidentes de seguridad de la información.
Si bien es importante contar con planes para ayudar a una organización a responder
y administrar diversas situaciones relacionadas con la tecnología de la información
(TI), es igualmente importante mantener estos planes en un estado de preparación.
Esto incluye tener personal de TI capacitado para cumplir con sus roles y
responsabilidades; tener planes ejercidos para validar sus políticas y
66NIST. National Institute of Standards and Technology. Norma NIST SP 800-81. Guía de prueba,
capacitación y programas de ejercicios para TI planes y capacidades. USA. 2013.P. 37.
32
procedimientos; y tener sistemas probados para asegurar su operatividad. Estos
tres tipos de eventos se pueden llevar a cabo de manera eficiente y efectiva a través
del desarrollo e implementación de un programa de prueba, entrenamiento y
ejercicio (TT&E por sus siglas en inglés).
La guía tiene como base la norma ISO 27001:2013, la cual establece los requisitos
para la implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI). Esta norma proporciona un marco de trabajo para establecer, implementar,
mantener y mejorar la seguridad de la información en una organización.
33
afectación a la imagen de las organizaciones.
34
De acuerdo con los resultados obtenidos por la empresa consultora, con el resultado
del análisis GAP realizado en el Ministerio, se inicia un proceso para poder
establecer, implementar, mantener y mejorar un SGSI en la entidad.
ciberseguridad que articule la gestión de riesgos, continuidad, crisis y resiliencia que se pueda
integrar a la respuesta corporativa. [en línea]. Bogotá: El Autor [citado 11, marzo de 2023].
Disponible en Internet: < URL: http://hdl.handle.net/20.500.12622/5197>
35
incidentes de Ciberseguridad que se articula e integra a las actividades claves de la
gestión de riesgos, continuidad del negocio, gestión de crisis y resiliencia con la
respuesta corporativa de acuerdo con el nivel de escalamiento que un incidente de
ciberseguridad pueda requerir para el restablecimiento de la disponibilidad de los
posibles servicios afectados y que son soportados por las tecnologías de la
operación (TO), dicho proyecto fue enfocado a las organizaciones del sector
energético. Dicho procedimiento para la gestión de incidentes tiene en cuenta los
requerimientos mínimos que una empresa de energía debe cumplir para ofrecer
dicho servicio, con lo cual, ante un evento de seguridad, se propone una respuesta
articulada, validando que la disponibilidad del servicio de energía cumpla con dichos
requerimientos. Para lograr el resultado esperado fue necesario; 1) definir una ficha
técnica con los criterios mínimos de disponibilidad para la prestación del servicio de
energía, 2) realizar un comparativo de los referentes relacionados con el tema de
investigación para determinar las actividades claves de gestión de riesgos, gestión
de crisis, continuidad y resiliencia, 3) identificar los componentes para diseñar un
procedimiento de gestión de incidentes de ciberseguridad que se ajuste al sector y
4) validar con un caso de estudio que se pruebe su coherencia, efectividad y
articulación con la respuesta corporativa para la atención de los incidentes de
ciberseguridad. El resultado obtenido es un procedimiento ante eventos de
ciberseguridad que comprenda una gestión integral, en especial en los sistemas de
control industrial donde el nivel de madurez en el manejo de este tipo de incidentes
es bajo.
36
Angulo LTDA., a través de la Sociedad Popular Investments S.A., se convierte en el
mayor accionista del Banco.
70BANCO POPULAR. Historia de la entidad. [en línea]. Bogotá: La entidad [citado 3, febrero de
2023]. Disponible en Internet: < URL: https://acortar.link/Tqek9p >
37
y normativas relacionadas con la seguridad de la información. Estas regulaciones
incluyen leyes de privacidad, estándares de seguridad de la información y requisitos
de cumplimiento normativo.
Misión. Es ser una empresa sostenible que crea experiencias que transforman
positivamente la vida de la gente.71
En este sentido, el Banco Popular, como entidad financiera líder en Colombia, busca
desarrollar una guía para el diseño de simulacros de incidentes de ciberseguridad,
que le permita estar preparado y actuar de manera oportuna ante una posible
brecha de seguridad. Es importante que esta guía esté en línea con las regulaciones
y normativas establecidas a nivel nacional, para garantizar una gestión efectiva de
los incidentes y la protección de los datos y activos del banco y de sus clientes.
Además, se deben tener en cuenta las leyes y regulaciones locales, como la Ley de
Protección de Datos Personales en Colombia y las regulaciones de la
Superintendencia Financiera de Colombia. El marco legal del siguiente trabajo de
71 BANCO POPULAR. Información Institucional [en línea]. Bogotá: La entidad [citado 3, febrero de
2023]. Disponible en Internet: < URL: https://acortar.link/qoqjiU]
72 Ibid., p.2.
38
investigación se fundamenta en las siguientes políticas públicas:
Ley 1581 de 201274. La presente ley tiene por objeto el cumplir con el derecho que
tienen todos los ciudadanos de disponer los principios de conocer, actualizar y
rectificar los datos personales registrados en cualquier base de datos o archivos de
las empresas. Estos principios sobre la protección de los datos serán aplicables a
todas las bases de datos, cuando estos datos vayan a ser suministrados a terceros
se debe de manera previa, informar al titular y solicitar su autorización. En este caso
los responsables y encargados de las bases de datos, archivos el cual quedan
sujeto a las disposiciones contenidas en la presente ley.
73 COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 1273. (5, enero, 2009) por medio de la cual
se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección
de la información y de los datos" y se preservan integralmente los sistemas que utilicen las
tecnologías de la información y las comunicaciones, entre otras disposiciones. Bogotá, 2009.p.2.
74 COLOMBIA. CONGRESO DE LA REPUBLICA. Ley 1581. (5, enero, 2009). Por la cual se dictan
39
Circular Externa 007 DE 2018 de la Superintendencia Financiera de
Colombia75. La Superintendencia Financiera de Colombia impartió nuevas
instrucciones para la gestión del riesgo de ciberseguridad en las entidades vigiladas
y estándares de seguridad para las pasarelas de pago con el fin de fortalecer la
protección de la información de los consumidores financieros.
Así, la entidad vigilada deberá informar a los consumidores financieros sobre los
incidentes cibernéticos que se hayan presentado y en los que se vieran afectadas
la confidencialidad o integridad de su información, al igual que las medidas
adoptadas para solucionar la situación.
Dentro de los requerimientos que deberán cumplir las entidades vigiladas en materia
de ciberseguridad también está la conformación de una unidad que gestione los
riesgos de seguridad de la información y la ciberseguridad.
40
5. DISEÑO METODOLÓGICO
Fase I
Fase II
Fase III
41
El diseño metodológico descrito anteriormente permitirá desarrollar una guía para
el diseño de simulacros de gestión de incidentes de ciberseguridad efectivos para
el Banco Popular que permitirá mejorar su capacidad para enfrentar y manejar
posibles incidentes de seguridad cibernética.
5.1 HIPÓTESIS
5.2 VARIABLES
• Guía de simulacros
• Gestión de incidentes
• Capacidades de respuesta
• Atención de incidentes
• Responsables y dueños de procesos
42
gestión de incidentes de ciberseguridad. Sin embargo, la intención del presente
trabajo se no limita solamente a que sea aplicado sobre activos críticos del Banco
que se encuentren expuestos al ciberespacio, puede aplicar también en la ejecución
de ejercicios de mesa o funcionales para el desarrollo de destrezas en la toma de
decisiones de personal ejecutivo en donde se deseen evaluar a la junta directiva en
momentos de crisis.
El presente instrumento no examina que sea aplicado sobre activos que sean
dispositivos móviles u otros dispositivos a los cuales el Banco Popular no tiene
expuesto a internet. Se pretende fortalecer esas habilidades sobre aquellos activos
críticos del negocio a partir de pruebas, capacitaciones o ejercicios.
43
6. FASE 1
44
0-20 puntos: No implementado o sin empezar.
21-40 puntos: Se encuentra en estado inicial o por empezar a implementar.
41-60 puntos: Implementado por debajo de lo esperado o en niveles bajos.
61-80 puntos: Implementado parcialmente sobre lo esperado o niveles medios.
81-99 puntos: Implementado de manera madura/semicompleto.
100 puntos: Totalmente implementado/completo.
45
Cuadro 1. (Continuación)
Categoría Control - ¿contiene o implementa? %
Plan de Continuidad de Negocio (BCP) 80
Planes Plan de Recuperación de Desastres (DRP) 90
Plan de Respuesta a Incidentes (IRP) 70
Procedimiento para el reporte de eventos, incidentes o comportamientos
10
inusuales (físicos y lógicos)
Procedimiento para realizar copias de seguridad de la información 70
Procedimientos
Procedimiento para restauración de copias de seguridad de la información 70
Procedimiento para la recolección de evidencia digital (cadena de custodia) 100
Procedimiento para el Control de Cambios 0
Documentación de los diagramas de red (direccionamiento, segmentación,
80
Identificación y VLANs, FW, IPS, IDS, etc.)
documentación de la Inventario de los activos más importantes (activos críticos) 100
infraestructura de TI Identificación y registro de puertos, servicios y recursos compartidos en la
70
red
Contar con copias de seguridad de los activos críticos (limpias, aisladas y
80
Copias de seguridad y sin conectividad con otros sistemas de la misma infraestructura)
respaldo de Respaldo de configuraciones de activos críticos 80
información Realizar pruebas de restauración (para comprobar su integridad y tiempos
50
de recuperación, considerando los SLA respectivos si corresponde)
Si los usuarios almacenan información crítica en sus equipos de trabajo,
debe existir un procedimiento con instrucciones claras para realizar copias 0
de seguridad de manera habitual.
Sistemas Operativos 90
Gestión de
vulnerabilidades y Base de Datos 90
actualizaciones de Aplicaciones 90
seguridad Dispositivos de Seguridad (FW, IDS, IPS, Consola AV, etc.) 90
No utilizar las cuentas por defecto "admin", "root" o similares, en ningún
dispositivo o servicio, en su lugar crear cuentas asociadas a personas con
80
los privilegios necesarios (permite realizar trazabilidad frente a un incidente
o auditorías)
Registro de actividades de las cuentas de usuarios con privilegios de
70
administrador (permite realizar trazabilidad frente a un incidente o auditorías)
Listado de cuentas de usuarios con sus perfiles y privilegios (permite realizar
Usuarios: cuentas, 80
trazabilidad frente a un incidente o auditorías)
privilegios,
sensibilización y Utilizar el principio del mínimo privilegio 90
entrenamiento
Conocer y aplicar, las políticas de seguridad y procedimientos existentes
relacionados con el uso apropiado de recursos informáticos (equipos, redes, 0
sistemas, aplicaciones, correo corporativo, etc.).
Conocer y aplicar el procedimiento para el reporte de incidentes (Phishing,
0
SPAM, Malware, etc.)
Capacitación o procedimientos para las personas encargadas de la
80
protección de datos (Custodios)
46
Cuadro 1. (Continuación)
Categoría Control - ¿contiene o implementa? %
Educación y formación en la seguridad de la información
80
(entrenamiento, campañas de concientización, etc.)
Políticas de contraseñas seguras (mínimo 14 caracteres
80
alfanuméricos)
Políticas o solución DLP 80
Políticas de Seguridad para bloqueo de cuentas de usuarios por
70
intentos fallidos
Soluciones de seguridad (FW, IDS, IPS, WAF, etc.) 90
Monitoreo de eventos a través de un SIEM o similar 90
Gestión de Eventos reportados 80
Reglas de filtros WEB/URL/IP maliciosas 80
Reglas de enrutamiento y servicios (ACLs) 100
Segmentación de redes y servicios (VLANs) 100
Auditoría de reglas en Firewall, Reuters, IDS, IPS, consola AV, etc.
80
Seguridad en redes (periodicidad)
Actualizaciones de seguridad de IDS, IPS, FW, etc. (estatus de
80
versiones de firmware, base de datos, etc.)
Sincronización correcta de dispositivos de seguridad (fecha y hora) 100
Registro de las actividades de Administradores y operadores de
0
sistemas
Política de implementación y uso de dispositivos WIFI 0
Repositorio o Servidor de Syslog (para consultas históricas o
0
auditorías)
Políticas de almacenamiento y respaldo de logs, periodos de
0
rotación, protección y registro de accesos
Políticas de seguridad para accesos remotos (RDP, SSH, VPN) 10
Políticas de seguridad en puntos de red (port security o similar) 80
Soluciones de seguridad AV, EDR, HIDS, IPS, IDS, etc., vigentes y
80
actualizados
Servidores y Estaciones de trabajo con una solución de seguridad,
80
vigente y actualizada
Prevención de Contar con una política de seguridad para impedir la ejecución de
código malicioso archivos desde directorios comúnmente utilizados por malware (App 0
Data, Local App Data, etc.).
Mostrar extensiones para tipos de archivos conocidos, con el fin de
identificar posibles archivos ejecutables que pudieren hacerse pasar 100
por otro tipo de archivo
Reglas Antispam 70
Reglas de bloqueo (listas negras) para dominios o URL
Políticas de filtro de 70
maliciosas/sospechosas/reputación
correo
Reglas para archivos adjuntos y sus extensiones (.zip, .exe, .bat, .rar,
70
etc.) (IN - OUT)
Contar con una política de comunicación sobre los incidentes de
seguridad que pueden o no ser comunicado a los medios y quiénes
Políticas de 10
lo realizarán (evitar que los usuarios realicen publicaciones no
comunicación
autorizadas a través de redes sociales, prensa, etc.)
Tener preparar un comunicado tipo para dar a conocer el incidente 0
Listado de proveedores de servicios externos con su respectiva
Proveedores 100
información de contacto (considerar SLA)
47
Cuadro 1. (Continuación)
Categoría Control - ¿contiene o implementa? %
Política de seguridad de la información para las relaciones con los
proveedores (acuerdos de confidencialidad en el intercambio de 80
información - NDA)
Promedio porcentual de cumplimiento % 57
Fuente: Elaboración propia
Incumplimiento
43% Cumplmiento
57%
Cumplmiento Incumplimiento
48
27035:2013 y el Framework NIST SP 800-61.
49
Agentes de amenaza. Considerado como el elemento causante del incidente. Se
le atribuyen las acciones que llevan a la materialización. Ellos son, por ejemplo:
• Herramientas físicas, que son dispositivos diseñados para proteger los sistemas
informáticos y los datos y los agentes de amenaza usan para sus delitos.
• Agentes autónomos, que son programas de software que pueden realizar tareas
de seguridad de forma autónoma y sin la intervención humana.
• Herramienta distribuida que son herramientas de seguridad que utilizan múltiples
dispositivos en una red distribuida (red de computadoras interconectadas que
comparten recursos, datos y servicios entre sí) y los agentes de amenaza usan para
sus delitos.
Activos. A qué elemento fue dirigido el ataque que concluyó con la materialización
del incidente. No se tiene una lista definida, pero es posible identificarlo como:
• Un servicio
76MITRE ATT&CK. Matriz empresarial. [en línea]. Bogotá: La Empresa [citado 12 de enero de 2023].
Disponible en Internet: < URL: https://attack.mitre.org/matrices/enterprise/>
50
• Un proceso
• Información
• Componente de TI
• Estación(es) de Trabajo
• Una o varias redes
• Otro, por ejemplo, recurso humano.
Propósito. Es posible que los agentes de amenaza tengan un fin a cumplir. Este
elemento podrá brindar una clara identificación del incidente. Aunque algunas veces
no sea fácil determinarlo de manera inmediata, este se puede identificar durante la
gestión del incidente. Se tienen como propósitos los siguientes:
• Desafío
• Asuntos políticos
• Pánico
• Ganancia financiera
• Daño
• Espionaje
51
En segundo lugar, la taxonomía de incidentes es una herramienta importante para
evaluar la efectividad de los simulacros de incidentes. Al diseñar simulacros
basados en la taxonomía, se pueden evaluar de manera efectiva los procedimientos
de respuesta ante los diferentes tipos de amenazas y ajustarlos según sea
necesario.
52
Otra ventaja de incorporar la taxonomía única de incidentes en una guía para el
diseño de simulacros de ciberseguridad es que permite una evaluación más precisa
y efectiva de las capacidades de respuesta en el banco Popular. Al considerar una
amplia gama de incidentes, el Banco puede identificar sus fortalezas y debilidades
en la respuesta a situaciones de ciberseguridad, lo que a su vez le permite mejorar
sus procesos y procedimientos de seguridad tal como se aprecia en el cuadro 2.
53
Cuadro 2. Definición de Taxonomía de Incidentes
Taxonomía
Clasificación Definición Tipo de incidente Descripción
Contenido abusivo Ataques destinados a dañar la Correo electrónico masivo no solicitado. El receptor del contenido no ha
imagen de la organización o utilizar Spam otorgado autorización válida para recibir un
los recursos mensaje compartido.
electrónicos para usos ilícitos (como Delito de odio Contenido difamatorio o discriminatorio. Ej.: Ciberacoso, racismo,
publicidad, extorsión o amenazas a una persona o dirigidas contra colectivos o grupos.
ciberdelincuencia en general) Materiales de abuso/explotación Material que represente de manera visual contenido relacionado con
sexual infantil, contenido sexual o pornografía infantil, apología de la violencia, etc.
Violento inadecuado
Contenido dañino Incidentes relacionados con Sistema infectado Sistema infectado con malware.
actividades maliciosas, aplicaciones Ej.: Sistema, computador, dispositivos móviles infectado con un rootkit
y archivos dañinos para obtener Servidor C&C (Comando y Conexión con servidor de Comando y Control (C&C) mediante malware
acceso no autorizado al sistema Control) o sistemas infectados.
para sustraer, exfiltrar, eliminar, Distribución de malware Recurso usado para distribución de malware.
modificar su información privada El: Recurso de una organización empleado para distribuir malware.
que pretenden acceder a sus datos Configuración de malware Recurso que aloje archivos de configuración de
u. malware
ej.: Ataque de webinjects para troyano.
Obtención de Incidentes relacionados Escaneo de redes (scanning) Envío de peticiones a un sistema para descubrir posibles debilidades.
información con la identificación y Se incluyen también procesos de comprobación o testeo para recopilar
recopilación de información de información de alojamientos, servicios y cuentas.
personas, infraestructura ej.: Peticiones DNS, ICMP, SMTP y escaneo de puertos.
tecnológica y activos de información Análisis de paquetes Observación y grabación del tráfico de redes.
de una organización a través de (sniffing)
técnicas no autorizadas con fines Ingeniería social Recopilación de información personal sin el uso de la tecnología. ej.:
delictivos. Mentiras, trucos, sobornos, amenazas.
54
Cuadro 2. (Continuación)
Clasificación Definición Tipo de incidente Descripción
Intento de Incidentes relacionados Explotación de Intento de compromiso de un sistema o de interrupción de un servicio mediante
intrusión con la utilización de técnicas vulnerabilidades la explotación de vulnerabilidades con un identificador estandarizado (véase
que intentan atacar una conocidas CVE). ej.: Desbordamiento de buffer, puertas traseras y Cross site scripting
infraestructura tecnológica o un (XSS).
activo Intento de acceso con Múltiples intentos de vulnerar credenciales. ej.: Intentos de
de información vulneración de ruptura de contraseñas, ataque por fuerza bruta.
aprovechándose de una credenciales
vulnerabilidad para obtener el control Ataque desconocido Ataque empleando exploit desconocido
y privilegios administrativos o de
ejecución.
Intrusión Ataques que aprovechar las Compromiso de cuenta Compromiso de un sistema en el que el atacante ha adquirido privilegios.
vulnerabilidades de diseño, con privilegios
funcionamiento o configuración de Compromiso de cuenta Compromiso de un sistema empleando cuentas sin
las diferentes tecnologías, para sin privilegios privilegios.
entrar de forma fraudulenta a los Compromiso de Compromiso de una aplicación mediante la explotación de
sistemas de una organización aplicaciones vulnerabilidades del software. ej.: Inyección SQL y
defacement.
Robo Intrusión física. ej.: acceso no autorizado a Centro de Procesamiento de Datos.
Disponibilidad Interrupción de la capacidad de DoS (Denegación de Ataque de denegación de servicio. ej.: Envío de peticiones a una aplicación web
procesamiento y respuesta de los Servicio) que provoca la interrupción o ralentización en la prestación del servicio.
sistemas y redes para dejarlos DDoS Ataque de Denegación Distribuida de Servicio. ej.: Inundación de paquetes
inoperativos Denegación SYN, ataques de reflexión y amplificación utilizando servicios basados en
Acción premeditada para dañar Distribuida de UDP.
un sistema, interrumpir un Servicio)
proceso, cambiar o borrar Mala configuración Configuración incorrecta del software que provoca problemas
información. de disponibilidad en el servicio. ej.: Servidor DNS con el KSK de la zona
raíz de DNSSEC obsoleto.
Sabotaje Sabotaje físico. ej.: Cortes de cableados de equipos, desconexión de equipos o
incendios provocados
Interrupciones Interrupciones por causas ajenas. ej.: Desastre
natural.
Incidentes relacionados con Acceso no Acceso no autorizado a información. ej.: Robo de credenciales de acceso
el acceso, filtraciones autorizado a mediante interceptación de tráfico o mediante el acceso a documentos físicos.
(confidencialidad), la información
modificación o el borrado Modificación no Modificación no autorizada de información. ej.: Modificación
Compromiso de (integridad) de información. autorizada de por un atacante empleando
Información información credenciales sustraídas de un sistema o aplicación o encriptado de
datos mediante Ransomware.
55
Cuadro 2. (Continuación)
Clasificación Definición Tipo de incidente Descripción
Pérdida de datos Pérdida de información ej.: Pérdida por fallo de disco duro o robo físico.
Fraude Incidentes relacionados Uso no autorizado de Uso de recursos para propósitos inadecuados,
con la pérdida de bienes recursos incluyendo acciones con ánimo de lucro. ej.: uso de correo electrónico para
causada con intención fraudulenta o participar en estafas piramidales.
deshonesta en procura de un Derechos de autor Ofrecimiento o instalación de software carente de licencia u otro material
beneficio económico para sí mismo, protegido por derechos de autor. ej.: Warez
para otra persona o empresa Suplantación Tipo de ataque en el que una entidad suplanta a otra para obtener beneficios
ilegítimos.
Phishing Suplantación de otra entidad con la finalidad de convencer al usuario
para que revele sus credenciales privadas.
Vulnerable Incidentes relacionados con Criptografía débil Servicios accesibles públicamente que puedan presentar criptografía débil.
la identificación del ej.: Servidores web susceptibles de ataques
grado de debilidad inherente en un POODLE/FREAK.
sistema de hardware o software Amplificador DDoS Servicios accesibles públicamente que puedan ser empleados para la
que permitan a un atacante reflexión o amplificación de ataques DDoS. ej.: DNS open-resolvers o
realizar Servidores NTP con monitorización monlist.
actividades no autorizadas a la Servicios con acceso ej.: Telnet, RDP o VNC.
misma organización o en contra de potencial no deseado
otra.
Revelación de Acceso público a servicios en los que potencialmente pueda relevarse
información información sensible. ej.: SNMP o Redis.
Sistema vulnerable Sistema vulnerable. ej.: mala configuración de proxy en cliente (WPAD),
versiones desfasadas de sistema.
Otros Incidentes no clasificados en la Incidente no Incidentes que no se ajustan a la clasificación existente, actuando como
taxonomía existente o amenazas clasificado indicador para la actualización de la clasificación.
persistentes avanzadas
APT Ataques dirigidos contra organizaciones concretas, sustentados en
mecanismos muy sofisticados de ocultación, anonimato
y persistencia. Esta amenaza habitualmente emplea técnicas de ingeniería
social para conseguir sus objetivos junto con el uso de procedimientos de
ataque conocidos o genuinos.
Fuente: Construcción propia a partir de datos obtenidos de COLCERT - Taxonomía Clasificación Ciberincidentes [en línea]. Bogotá: Ministerio de tecnologías de la
información y las comunicaciones [citado 3, febrero de 2023]. Disponible en Internet: < URL: https://www.colcert.gov.co/800/articles-198656_taxonomia.pdf>
56
6.3 FASES EN LA GESTIÓN DE INCIDENTES DE CIBERSEGURIDAD
57
puede identificar los riesgos a los que están expuestas y evaluar su probabilidad y
potencial impacto. Esto permite prepararse para los posibles escenarios y estar
listas para actuar en caso de que ocurran.
Teléfonos celulares que deben llevar los miembros del equipo para soporte fuera del horario laboral,
comunicaciones en el sitio.
Software de cifrado que se utilizará para las comunicaciones entre los miembros del equipo, dentro de
la organización y con partes externas.
58
Cuadro 3. (Continuación)
Instalación de almacenamiento seguro para asegurar pruebas y otros materiales confidenciales.
Hardware y software de análisis de incidentes
Estaciones de trabajo informáticas forenses y/o dispositivos de copia de seguridad para crear
imágenes de disco, conservar archivos de registro y guardar otros datos de incidentes relevantes
Computadoras portátiles, que proporcionan estaciones de trabajo fáciles de transportar para actividades
como el análisis de datos, la detección de paquetes y la redacción de informes.
Estaciones de trabajo, servidores y equipos de red de repuesto, que pueden usarse para muchos
propósitos, como restaurar copias de seguridad y probar códigos maliciosos; si el equipo no puede justificar
el gasto de equipo adicional, tal vez se podría usar equipo en un laboratorio de pruebas existente, o se podría
establecer un laboratorio virtual usando software de emulación de sistema operativo (SO)
Accesorios para la recopilación de pruebas, incluidos cuadernos de tapa dura, cámaras digitales,
grabadoras de audio, formularios de cadena de custodia, bolsas y etiquetas para el almacenamiento de
pruebas, y cinta para pruebas, a fin de preservar las pruebas para posibles acciones legales
59
incidentes porque ayuda a las organizaciones a identificar riesgos, reducir el tiempo
de respuesta, coordinar de manera efectiva, ahorrar costos y cumplir con las
normativas.
- Informes de usuarios.
60
• Actividad para asegurar que la evidencia digital se recopile y almacene de forma
segura, y que su preservación segura sea monitoreada continuamente, en caso de
que sea necesaria para acciones judiciales o disciplinarias internas.
• Actividad para escalar, según sea necesario a lo largo de la fase, para una
revisión y/o decisiones adicionales.
61
Cuadro 4. (Continuación)
Precursor o
Descripción
Indicador Fuente
Software antivirus, Se debe usar software antispyware si el software antivirus no tiene capacidades
antispyware y de detección de spyware lo suficientemente sólidas; si se utiliza, el software
antispam antispyware debe implementarse en los mismos niveles que el software antivirus.
Un software de verificación de integridad de archivos puede detectar dichos
cambios. Funciona mediante el uso de un algoritmo hash para obtener una suma
Software de de comprobación criptográfica para cada archivo designado. Si se modifica el
comprobación de archivo y se vuelve a calcular la suma de verificación, existe una probabilidad
integridad de extremadamente alta de que la nueva suma de verificación no coincida con la
archivos suma de verificación anterior. Al volver a calcular regularmente las sumas de
verificación y compararlas con valores anteriores, se pueden detectar cambios
en los archivos.
Actualmente el Banco Popular y en general el Gripo AVAL pagan a un tercero
para monitorear sus servicios de acceso público, como la Web, el Sistema de
Nombres de Dominio (DNS) y los servidores FTP e inclusive V.I.P.
Todos los sistemas deben tener activada la auditoría y deben registrar los
Registros del eventos de auditoría, en particular la actividad a nivel administrativo. Todos los
sistema operativo, sistemas deben revisarse periódicamente para verificar que el registro funcione
servicios y correctamente y cumpla con los estándares de registro.
aplicaciones
Además, los registros deben rotarse y almacenarse correctamente. Mientras se
almacena, se debe realizar una verificación de integridad del archivo de registro
para garantizar que no se haya accedido a los registros ni se hayan modificado.
Los registros se pueden utilizar para el análisis mediante la correlación de
información de eventos. Dependiendo de la información del evento, se puede
generar una alerta para indicar un incidente.
62
Cuadro 4. (Continuación)
Precursor o Descripción
Indicador Fuente
Información Disponible Públicamente
Mantenerse al día con las nuevas vulnerabilidades y exploits puede evitar que
Información sobre ocurran algunos incidentes y ayudar en la detección y el análisis de nuevos
nuevas ataques. La base de datos nacional de vulnerabilidades (NVD) contiene
vulnerabilidades y información sobre vulnerabilidades. Varias organizaciones, como US-CERT,
exploit CERT® /CC, brindan periódicamente información actualizada sobre amenazas a
través de sesiones informativas, publicaciones web y listas de correo.
Los informes de incidentes que han ocurrido en otras organizaciones pueden
proporcionar una gran cantidad de información. Hay sitios web y listas de correo
donde los equipos de respuesta a incidentes y los profesionales de seguridad
Información sobre
pueden compartir información sobre el reconocimiento y los ataques que han
incidencias en
visto, por ejemplo, fuentes del COLCERT y ASOBANCARIA
otras
organizaciones
Además, algunas organizaciones adquieren, consolidan y analizan registros y
alertas de detección de intrusos de
muchas otras organizaciones.
Personas
Los usuarios, administradores de sistemas, administradores de redes, personal
de seguridad y otras personas dentro de la Banco pueden informar señales de
incidentes. Existen canales definidos para reportar cualquier anomalía como
correo electrónico y la mesa de ayuda.
63
Asimismo, existen las siguientes recomendaciones para hacer el análisis de un
incidente, estas son tomadas de la NIST SP 800-61:
77 NIST. National Institute of Standards and Technology. Computer. Norma SP 800-61. Op, cit, p.11
78 Ibid., p.11.
64
seguro para los registros, lo que reduce el impacto de los atacantes que deshabilitan
el registro o modifican los registros en los hosts individuales que comprometen.
Además, la creación e implementación de una política de retención de registros que
especifique cuánto tiempo se deben mantener los datos de registro puede ser
extremadamente útil en el análisis porque las entradas de registro más antiguas
pueden mostrar actividad de reconocimiento o instancias anteriores de ataques
similares. Otra razón para conservar registros es que es posible que los incidentes
no se descubran hasta días, semanas o incluso meses después. El período de
tiempo para mantener los datos de registro depende de varios factores, incluidas
las políticas de retención de datos de la organización y el volumen de datos. En
general, los datos de registro deben conservarse durante al menos unas pocas
semanas, preferiblemente durante al menos unos meses.79
79 Ibid., p.11.
80 Ibid., p.11.
81 Ibid., p.11.
65
datos entre los miembros del equipo. La base de conocimientos también debe
contener otra información, incluida la siguiente:
- Enlaces a listas de dominios que han sido incluidos en la lista negra por enviar
spam.
82 Ibid., p.13.
83 Ibid., p.14.
84 Ibid., p.14.
66
de la naturaleza humana sentirse abrumado y, en muchos casos, simplemente
ignorar los datos. Para promover la detección efectiva de incidentes, es necesario
superar esa reacción y garantizar que se investigue al menos la actividad más
sospechosa. Una estrategia efectiva es filtrar las indicaciones para que las
categorías de indicaciones que tienden a ser insignificantes no se muestren al
analista de indicaciones. Otra estrategia es filtrar las indicaciones para que solo se
muestren al analista las categorías de indicaciones que son de mayor importancia.
Sin embargo, este enfoque es arriesgado porque es posible que la nueva actividad
maliciosa no entre en una de las categorías de indicación elegidas. Sin embargo,
este enfoque es mejor que no revisar las indicaciones en absoluto.85
85 Ibid., p.15.
86 Ibid., p.15.
87 Ibid., p.16.
67
causa completa y la naturaleza de un incidente. Si el equipo carece de información
suficiente para contener y erradicar el incidente, debe consultar con recursos
internos (p. ej., personal de seguridad de la información) y recursos externos (p. ej.,
US-CERT, otros CSIRT, contratistas con experiencia en respuesta a incidentes)
para análisis, contención y asistencia para la erradicación. Es importante determinar
con precisión la causa de cada incidente para que pueda contenerse por completo
y las vulnerabilidades explotadas puedan mitigarse para evitar que ocurran
incidentes similares.88
88 Ibid., p.16.
68
completamente el incidente).
Para erradicar y recuperar del todo del incidente, será necesario tener una
recopilación y manejo de pruebas ya que durante la gestión del incidente las
evidencias recolectadas resolverán el evento materializado. En tales casos, es
importante documentar claramente cómo se han conservado todas las pruebas,
incluidos los sistemas comprometidos. Las pruebas deben justificarse en todo
momento; siempre que se transfiera evidencia de persona a persona, los formularios
de cadena de custodia deben detallar la transferencia e incluir la firma de cada parte.
Por lo general, es deseable obtener evidencia de un sistema de interés tan pronto
como se sospecha que puede haber ocurrido un incidente.
69
7. FASE II
Este programa describe la hoja de ruta con el que se desarrollará para el Banco
Popular la guía para el diseño de simulacros de gestión de incidentes. Para
establecer esta guía, se hace necesario determinar qué tipo de plan se desea llevar
a cabo. Los tipos de planes o eventos, según la NIST SP 800-8489, son las
siguientes:
89NIST. National Institute of Standards and Technology. Norma NIST SP 800-84. Guía de prueba,
capacitación y programas de ejercicios para TI planes y capacidades. USA. 2013.p. 37.
70
factible, se debe utilizar una prueba real de los componentes o sistemas utilizados
para realizar las operaciones diarias de la organización. El alcance de las pruebas
puede variar desde sistemas o componentes de sistemas individuales hasta
pruebas exhaustivas de todos los sistemas y componentes que respaldan un plan
de TI. Las pruebas a menudo se centran en las operaciones de recuperación y copia
de seguridad; sin embargo, las pruebas varían según el objetivo de la prueba y su
relación con un plan de TI específico.
- Ejercicios de mesa: Estos tipos ejercicios son basados en debates en los que
el personal se reúne en un aula, en espacios pequeños o sesiones virtuales para
analizar sus funciones durante una emergencia y sus respuestas a una situación de
emergencia particular. Un facilitador presenta un escenario y hace preguntas a los
participantes del ejercicio relacionadas con el escenario, lo que inicia una discusión
entre los participantes sobre roles, responsabilidades, coordinación y toma de
decisiones. Un ejercicio de simulación se basa únicamente en debates y no implica
el despliegue de equipos u otros recursos.
71
funcionales de un plan. Los ejercicios funcionales varían en complejidad y alcance,
desde la validación de aspectos específicos de un plan hasta ejercicios a gran
escala que abordan todos los elementos del plan. Los ejercicios funcionales
permiten al personal ejecutar sus funciones y responsabilidades como lo harían en
una situación de emergencia real, pero de manera simulada.
Se mencionan estos ejercicios (mesa y funcionales) ya que son estos los tipos de
simulacros que requiere el Banco Popular para entrenar las capacidades de
respuesta ante incidentes real de ciberseguridad, por ende, según las necesidades,
el Banco podrá escoger qué ejercicio realizar. Por lo anterior, la guía o paso a paso
para el diseño de simulacros estará fundamentados a estos tipos de ejercicios.
Si el Banco popular desea formalizar una guía que diseñe simulacros, se deben
desarrollar un plan de TT&E que describa los pasos a seguir para garantizar que el
personal esté capacitado en sus roles y responsabilidades del plan de TI, los planes
de TI se ejercen para validar su viabilidad; y los componentes o sistemas de TI se
prueban para validar su operatividad en el contexto de un plan de TI. El plan de
TT&E debe describir todos los elementos del programa y garantizar que la
información que rodea al programa esté documentada. Además de crear el plan
TT&E, otros pasos importantes para crear un programa TT&E son los siguientes:
72
• Diseñar el evento: El Equipo Organizador trabaja en el plan para determinar el
tema y el alcance del evento de TT&E en función de las necesidades actuales
Banco. A continuación, el Equipo Organizador identifica los objetivos según el tema
y el alcance, y el personal que debe participar en el evento. Luego, se identifica un
equipo de diseño de eventos, que puede estar formado por una persona o un grupo
de personas, según los requisitos del evento. El equipo Organizador también
supervisa la logística del evento.
• Llevar a cabo el evento: En esta fase, se lleva a cabo realmente el evento (el
entrenamiento, el ejercicio o la prueba). Los detalles de esto varían mucho según el
tipo de evento y el alcance.
73
Figura 3. Metodología de eventos de TT&E
Fuente: Conseguido de NIST. National Institute of Standards and Technology. Norma NIST SP 800-84. Guía de
prueba, capacitación y programas de ejercicios para TI planes y capacidades. USA. 2013.p.17.
Los ejercicios de mesa son eventos basados en debates en los que el personal
con funciones y responsabilidades en un plan de TI en particular. En el Banco
Popular, por ejemplo, se pueden realizar mediante sesiones virtuales o en grupos
pequeños presenciales para analizar sus funciones durante una emergencia y sus
respuestas a una situación de emergencia particular.
Se debe tener en cuenta que los ejercicios de mesa se llevan a cabo en un ambiente
informal, con un facilitador que guía a los participantes a través de una discusión
diseñada para alcanzar objetivos predefinidos. Se pueden discutir uno o más
escenarios durante un solo ejercicio. La duración de un ejercicio de mesa
(típicamente de dos a ocho horas) varía según la audiencia, el tema que se esté
debatiendo y los objetivos del ejercicio.
74
un plan de TI en particular al considerar los objetivos generales del Banco Popular
para realizar un ejercicio mesa y responder preguntas como las siguientes:
• ¿Se ha capacitado al personal Banco que participaría en el ejercicio de mesa
sobre sus funciones y responsabilidades dentro del plan? Si la respuesta que el
personal aún no ha sido capacitado, el Equipo Organizador debe considerar realizar
un evento de capacitación antes del ejercicio para que el personal pueda participar
más efectivamente en el ejercicio, aumentando sus beneficios.
• ¿Se ha emitido una nueva guía de TT&E que podría afectar el contenido del plan?
75
- Determinar el alcance: El alcance del ejercicio de simulación debe determinarse
en función de la audiencia objetivo. Todo el personal con responsabilidades bajo el
plan de TI debe participar en los ejercicios; sin embargo, los equipos de alto nivel y
los equipos de nivel operativo deben participar inicialmente en ejercicios teóricos
separados debido a sus diferentes niveles de responsabilidad. Una vez que estos
dos grupos hayan sido ejercitados individualmente, ambos grupos deben participar
en un ejercicio combinado para validar la coordinación entre los grupos.
76
responsabilidades e interdependencias documentadas sean precisas y actuales.
Los tipos de preguntas formuladas a los participantes durante el transcurso del
ejercicio deben adaptarse al nivel del personal ejercitado.
Los ejercicios de mesa de alto nivel suelen oscilar entre dos y cuatro horas, mientras
que los de nivel operativo oscilan entre dos y ocho horas. Para asegurarse de que
el conocimiento de las funciones y responsabilidades identificadas en el plan que
se está ejerciendo esté actualizado, a menudo es efectivo realizar una sesión de
capacitación junto con cualquier ejercicio teórico que dure más de cuatro horas.
Por ejemplo, se debe invitar a participar al personal de alto nivel, como la junta
directiva, si el objetivo principal del ejercicio es validar los procesos de toma de
decisiones y supervisión dentro del plan.
77
discutir los detalles del ejercicio, incluidos su alcance y objetivos. En este momento,
el facilitador y el recolector de datos revisan los resultados de los ejercicios de
simulación anteriores, si corresponde, para aumentar su conciencia sobre los
posibles problemas antes del evento.
Paso 6: Coordinar la logística: Por lo general, una persona del equipo de diseño
debe ser responsable de coordinar la logística del evento del ejercicio. El
coordinador de logística generalmente comienza a hacer esto al menos un mes
antes de la realización del ejercicio teórico. El coordinador o responsable de la
logística puede utilizar la lista de verificación como punto de partida para garantizar
que se completen las tareas necesarias.
*Cabe mencionar que el cuadro 7 es un ejemplo tomado del marco de trabajo NIST
SP 800-84 y que este puede ser adaptado de acuerdo con el ejercicio de mesa que
se lleve a cabo y, por ende, puede variar su lista de chequeo.
Paso 7: Desarrollar el material del ejercicio de mesa. Una vez que se diseña el
evento, el equipo de diseño debe asignar roles y responsabilidades a sus miembros
para desarrollar el material del ejercicio de simulación. Los ejercicios de mesa
78
pueden incluir la siguiente documentación:
- Una lista de preguntas sobre el escenario que abordan los objetivos del ejercicio.
• Guía del participante: La guía del participante incluye la misma información que
la guía del facilitador sin la lista de preguntas. Las guías para participantes contienen
una lista de preguntas modificada y más corta para orientar a los participantes sobre
los tipos de temas que se pueden discutir durante el ejercicio.
79
y solicita que los participantes se presenten por su nombre y den una descripción
general de sus roles dentro de la organización. Luego, el facilitador proyecta la
sesión informativa y analiza el alcance del ejercicio. Luego, el facilitador guía a los
participantes a través del escenario y comienza la discusión con una de las
preguntas de discusión documentadas en la guía del facilitador, diseñada para
impulsar la toma de decisiones o la coordinación entre los participantes. Después
del inicio del ejercicio, la discusión ocurre naturalmente entre los participantes en
función del escenario y los objetivos. El facilitador puede inyectar preguntas
periódicas de la guía del facilitador.
Después del desarrollo del informe posterior a la acción, el coordinador del plan
podría asignar elementos de acción para seleccionar personal para actualizar el
plan de TI que se está ejerciendo. El coordinador del plan luego debe actualizar el
plan, si corresponde, implementando las recomendaciones hechas en el informe
posterior a la acción. También puede ser necesario informar a ciertos gerentes
sobre los resultados del ejercicio, actualizar otros documentos relacionados con la
seguridad y realizar otras acciones basadas en el ejercicio.
80
validar sus planes de TI y su preparación operativa ante emergencias mediante el
desempeño de sus funciones en un entorno operativo simulado. Los ejercicios
funcionales están diseñados para ejercitar al recurso humano, procedimientos y
activos específicos de las áreas involucradas en uno o más aspectos funcionales
de un plan de TI.
• ¿El personal del Banco Popular que participará en el ejercicio funcional ha sido
capacitado sobre sus roles y responsabilidades dentro del plan? ¿Se han realizado
ejercicios de mesa sobre los cuales se podrían desarrollar ejercicios funcionales
potenciales? Si el personal que va a participar en el ejercicio aún no ha recibido
capacitación o no ha participado en ejercicios de mesa iniciales, el Equipo
Organizador debe considerar realizar primero un evento de capacitación y un
ejercicio teórico antes del ejercicio funcional para que el personal pueda participar
de manera más efectiva en el ejercicio funcional.
• ¿Cuándo fue la última vez que el Banco Popular realizó un ejercicio funcional
para el plan?
• ¿Se ha emitido una nueva guía de TT&E que podría afectar el contenido del plan?
81
En resumen, es conveniente asegurarse de que se haya realizado una capacitación
adecuada del personal y ejercicios de simulación previos a realizar un ejercicio
funcional. El cronograma de ejercicios funcionales debe coordinarse estrictamente
con los tiempos de los otros eventos del programa TT&E. El Equipo Organizador
debe asegurar de que los ejercicios funcionales se programen dentro de un plazo
mínimo de cuatro (4) o seis (6) meses después de un evento de ejercicios de
mesa. Es importante que cuando se programe este ejercicio, se notifique a la junta
directiva y se obtenga su aprobación.
82
A medida que vaya madurando el programa TT&E en el Banco Popular, los
participantes de alto nivel (alta dirección o junta directiva) también pueden participar
en ejercicios funcionales para validar completamente los aspectos de toma de
decisiones del plan.
83
interdependencias documentadas en el plan y brindar una oportunidad para que los
participantes adquieran práctica en la ejecución sus funciones.
Una vez que se haya identificado a los participantes apropiados, estos deben recibir
una invitación por escrito o un anuncio del ejercicio lo antes posible. Esto
generalmente se logra en forma de correo electrónico por parte de un miembro del
equipo de diseño del ejercicio funcional.
84
aumentar su conciencia sobre los posibles problemas antes del evento.
Paso 6: Coordinar la Logística: Por lo general, uno o más miembros del equipo
de diseño deben ser responsables de coordinar la logística del evento del ejercicio.
El coordinador quien es el responsable de la logística puede utilizar una lista de
verificación como punto de partida para garantizar que se completen las tareas
necesarias. A continuación, el cuadro 6, es un ejemplo de listado de verificación que
de la NIST 800-84, para la validación de tareas en la coordinación de logística de
un ejercicio funcional:
85
incluir la siguiente documentación:
Se debe considerar, por ejemplo, la arquitectura de red que se necesita para montar
máquinas virtuales (VMs, por sus siglas en inglés) que dependerá del uso previsto
de esas VMs, de los objetivos del ejercicio funcional y del entorno en el que se
implementarán.
86
cantidad de tráfico que se espera entre las VMs y hacia/desde el mundo exterior.
• Red: Se recomienda tener al menos una tarjeta de red Gigabit Ethernet para
conectividad de red rápida y confiable.
87
• Software de virtualización: Se debe tener instalado un software de virtualización
en el servidor, como VMware ESXi, Hyper-V o KVM.
Esta alerta solicita una notificación adicional de todo el personal que sería notificado
a través de los medios identificados en el plan. Una vez que se completa el proceso
de notificación, se espera que los participantes lleven a cabo actividades operativas
o de toma de decisiones documentadas en el plan.
88
responsabilidad del director del ejercicio poner fin de inmediato al evento.
Paso 10: Evaluar el ejercicio funcional. Durante esta fase de evaluación se debe
desarrollar el informe posterior a la acción que documenta los hallazgos y las
recomendaciones del ejercicio funcional. Las notas de ejercicio, los formularios y
otros materiales creados durante el transcurso del ejercicio y durante el lavado en
caliente son la base del informe posterior a la acción. La introducción al informe
posterior a la acción debe documentar información de antecedentes sobre el
ejercicio, como el alcance, los objetivos y el escenario.
Después del desarrollo del informe posterior a la acción, el coordinador del plan
podría asignar elementos de acción para seleccionar personal en un esfuerzo por
actualizar el plan de TI que se está ejerciendo. El coordinador del plan luego debe
actualizar el plan, si corresponde, implementando las recomendaciones hechas en
el informe posterior a la acción. También puede ser necesario informar a ciertos
gerentes sobre los resultados del ejercicio, actualizar otros documentos
relacionados con la seguridad y realizar otras acciones basadas en el ejercicio.
Como parte del proyecto se ha planteado realizar un ejercicio funcional para probar
la guía de diseño de simulacros que fomenta el entrenamiento al personal de
respuesta ante posibles incidentes de ciberseguridad. Este ejercicio es parte de la
estrategia del Banco Popular para mejorar la gestión de la seguridad de la
información y minimizar los riesgos asociados con los incidentes de ciberseguridad.
89
capacidad del equipo para detectar, analizar y responder adecuadamente. También
se valorará la eficacia de las medidas contingencia y los procedimientos
establecidos para la gestión de incidentes de seguridad al interior del Banco
Popular.
En contexto, el Banco Popular realizó dos (2) ejercicios de mesa en el año 2022. El
primer ejercicio de mesa fue realizado el 17 de junio dando lugar a un escenario en
donde el objetivo consistió en la afectación del directorio activo y Azure Active
Directory mediante un ataque cibernético que borrara o eliminara registros de
usuarios y esta situación activara un plan de emergencia que permitiera operar el
negocio a pesar de la contingencia; y el segundo ejercicio de mesa, fue realizado el
24 de noviembre con el fin de afectar el sistema operativo de un servidor critico
encargado de operar las transacciones en cajeros automáticos y oficinas, y pagos
por la plataforma Pagos Seguros en línea (PSE), este también, producto de un
ataque cibernético.
90
y recuperar los servicios en los próximos 60 minutos).
Después de este último ejercicio de mesa, se estableció como reto para el año 2023
de dar un paso siguiente en la ejecución de pruebas y es en la elaboración de un
ejercicio de mayor complejidad que experimente las destrezas y habilidades del
equipo en un escenario mucho más real.
91
entorno más cercano a la realidad. Además, un ejercicio funcional también permite
identificar debilidades y áreas de mejora en la capacidad de respuesta del equipo,
los procesos y los procedimientos establecidos.
Por lo tanto, llevar a cabo un ejercicio funcional después de dos ejercicios de mesa
es una medida prudente para garantizar que el Banco Popular esté preparado para
responder adecuadamente a posibles incidentes de ciberseguridad. De esta
manera, se pueden identificar y abordar posibles brechas en la seguridad, fortalecer
la capacidad de respuesta del equipo y mejorar la eficacia de los procedimientos de
gestión de incidentes de ciberseguridad.
92
destrezas y habilidades de los gestores de incidentes, surgieron las siguientes
inquietudes:
1. Identificar el objetivo del ejercicio: ¿Qué se quiere lograr con el ejercicio? Por
ejemplo, mejorar la capacidad de detección y respuesta a un ataque informático.
3. Determinar los participantes y sus roles: Se debe determinar quiénes serán los
participantes del ejercicio y qué roles desempeñarán. Por ejemplo, el equipo de
seguridad informática y los empleados de la empresa.
4. Establecer las reglas del ejercicio: Se deben establecer las reglas del ejercicio,
incluyendo el alcance del ejercicio, las restricciones y las medidas de seguridad
necesarias para evitar consecuencias no deseadas.
93
• Conocimientos en sistemas operativos: Los participantes deben tener un
conocimiento detallado de los sistemas operativos que se están probando, ya que
esto les permitirá identificar vulnerabilidades y problemas de configuración.
94
• Habilidades de defensa: Los participantes deben tener habilidades para defender
el sistema de los ataques y amenazas, y deben ser capaces de desarrollar
soluciones efectivas de seguridad para prevenir futuros ataques.
95
comunicar de manera efectiva los resultados de la prueba de seguridad, las
vulnerabilidades y debilidades identificadas, así como las soluciones de seguridad
recomendadas a los equipos de seguridad y otros interesados.
Características
• Identificación
- Detectar el incidente: ya sea a través de una alerta automática o de un aviso del
personal de seguridad.
- Recopilar información: obtener toda la información relevante sobre el incidente,
incluyendo el tipo de ataque, los sistemas afectados y los datos comprometidos.
• Contención
96
ataque, como parches de seguridad, cambios de contraseñas, etc.
• Erradicación
• Recuperación
97
Cuadro 7. (Continuación)
Edwin Rincón Administrador de UTM
Gloria Stephani Ruiz Herrera Administración Anti-Malware
Jhonatan David Peña Administrador de VPN
Neil camilo Cubillos Morales
Análisis de Eventos SIEM
Ivone Andrea Dorado Ovalle
Fuente: Creación propia datos obtenidos del Banco Popular
98
ejercicio después de su finalización, identificar las fortalezas y debilidades del
equipo y del plan de respuesta a incidentes, y proporcionar retroalimentación a los
participantes para mejorar la preparación y respuesta futuras.
• Análisis forense: Deben realizar análisis forenses de los sistemas afectados para
determinar si los datos han sido robados, alterados o destruidos.
Por otra parte, el primer respondiente es la primera persona que toma medidas en
respuesta a un incidente de ciberseguridad. Las funciones que se esperan de un
primer respondiente son las siguientes:
• Detección y notificación: Debe ser capaz de detectar posibles incidentes de
ciberseguridad y notificar de inmediato al equipo de respuesta a incidentes o al
supervisor.
99
• Evaluación preliminar: Debe realizar una evaluación preliminar del incidente,
incluyendo la identificación de las posibles causas y el alcance del daño o del
impacto.
100
• Configuración y mantenimiento de la solución UTM: Debe configurar y mantener
la solución UTM de la organización para garantizar la protección contra las
amenazas de seguridad.
• Análisis de tráfico de red: Debe analizar el tráfico de red para identificar posibles
amenazas de seguridad, como tráfico sospechoso o patrones de ataque.
101
real. Esto implica la revisión de los registros de eventos, la identificación de los
sistemas afectados y la determinación del alcance de la amenaza.
Paso 6: Coordinar la logística. El Banco Popular está preparado para llevar a cabo
el ejercicio funcional, teniendo ya definidos los participantes con sus respectivos
roles y responsabilidades, de lo anterior, Por lo anterior se realiza la citación de los
participantes vía Microsoft Teams, tal como se ve en la figura 6:
102
para el diseño de simulacros de incidentes de ciberseguridad. Para ello, antes de la
ejecución del ejercicio funcional, se debe realizar una sesión previa informativa que
dará a conocer los preámbulos y consideraciones para el orden del plan y el
cumplimiento de los objetivos. Dicha sesión previa fue realizada el día 13 de marzo
de 2023.
103
Figura 6. Topología de red del ejercicio funcional
104
Conocer la topología de red es esencial antes de ejecutar un ejercicio funcional
porque permite comprender cómo están conectados los dispositivos, los sistemas y
las aplicaciones dentro de la red. Esto ayuda a los participantes a identificar y
evaluar los posibles riesgos de seguridad y las vulnerabilidades en la red y contener
de forma rápida y efectiva.
105
Cuadro 9. (Continuación)
Fase Acción de respuesta
identificación si el equipo tiene los agentes de seguridad
actualizados
Validar actualizaciones de seguridad en el activo
Identificar origen de información extraído del activo
Reconocimiento de la fuente de la alerta
identificación de vector de ataque
Identificar información técnica de la amenaza
Identificar IoC en Sandbox
Verificar el nivel de actualización de las herramientas de seguridad
Aislar aplicativo, activo o segmento de red
Bloqueo de IoC identificados
Bajar o bloquear servicios expuestos
Actualizar firmas en herramientas de seguridad
Contención
Distribución de contramedidas en herramientas de seguridad
Despliegue de actualizaciones de seguridad
Identificación y recolección de IoC
Modificar privilegios
Bloque de IoC identificados
Actualizar firmas en herramientas de seguridad
Eliminación de software malicioso
Cambio de contraseñas de cuentas comprometidas
Despliegue de actualizaciones de seguridad
Erradicación Solicitar eliminar información alojada en repositorios no
autorizados
Validar la efectividad de la solución implementada
Eliminar binario
Modificar privilegios
Descifrar Ransomware
Confirmar la no existencia de archivos maliciosos
Confirmar controles de seguridad
Recuperación Restaurar activos/servicios
Eliminar medidas de contención temporales
Crear casos de uso de taxonomía de ataque
Fuente: Creación propia datos obtenidos del Banco Popular.
106
Cuadro 10. Duración del ejercicio funcional
Actividad Hora de inicio Duración en minutos
Configuración de acceso al
8:00:00 a. m. 30
laboratorio
Actividades de identificación 8:30:00 a. m. 60
Actividades de contención 9:30:00 a. m. 60
Break 10:30:00 a. m. 20
Actividades de erradicación 10:50:00 a. m. 60
Actividades de recuperación 11:50:00 a. m. 60
Cierre del ejercicio funcional 12:50:00 p. m. 10
Fuente: creación propia tomado del Banco Popular
Consideraciones o guion
• Las imágenes que se utilizan en la gestión del incidente son de uso didácticos y
únicamente para el presente trabajo de grado y las cuales no se encuentran
expuestas en canales públicos y solo podrá ser usado por las personas involucradas
en el ejercicio funcional.
• Las personas involucradas están informadas que los recursos utilizados para
fines del presente trabajo de grado y ejercicio funcional al interior del Banco Popular
y su divulgación o exposición está expresamente prohibido.
• No existe una ruta ideal para la gestión de incidente, las diferentes actividades
107
que se ejecuten pueden ser validadas.
• Las maquinas cuentan con una USB, la cual se puede mover entre estas, con el
fin de transferir información en caso de que alguna se encuentre aislada.
• Cada maquina tiene una imagen ISO cargada con diferentes herramientas para
el apoyo del ejercicio.
108
ciberseguridad en la que todos los participantes se enteran de lo ocurrido. La
apertura de un ejercicio funcional de ciberseguridad en este escenario podría
empezar con la siguiente manera:
109
Figura 8. Evidencia de cifrado de archivos
La nota de rescate (ver figura 10) trae consigo información sobre el origen del
malware que se trata del Ransomware Hive por el sitio expuesto en la red Tor en la
Deep Web.
<hxxp://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion/>
donde se solicita que sea comprado el software descifrador en la siguiente ruta que
pertenece al departamento de compras de este grupo en la siguiente ruta
<hxxp://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd.onion/>.
110
Posteriormente se hace reconocimiento del SIEM para identificar alertas previas
antes de ocurrir el incidente, como se aprecia en la figura 11
111
Figura 12. Servicios de Symantec de antivirus deshabilitados
112
Figura 14. Muestra de descarga en maquina cliente
113
Figura 16. Consola de antivirus
Toda vez que se obtuvo acceso a la consola se realizó un filtro por ataques de última
semana en los logs de eventos (ver figura 18)
El filtro arroja que el antivirus bloqueó un ataque por medio del IPS incorporado en
la herramienta (ver figura 19)
114
Figura 18. Muestra de ataques
115
Figura 19. Muestra de ataque detectado por antivirus
La identificación de este HASH acerca cada vez a la identificación del origen del
ataque. Por lo tanto, la acción a realizar es buscar ese HASH en virustotal90 y
observar si contiene alguna actividad maliciosa (ver figura 21)
90 VIRUS TOTAL. [en línea]. Bogotá: El sitio [citado 3 de abril, 2013]. Disponible en Internet: < URL:
https://www.virustotal.com/gui/home/upload>
116
Figura 20. Envío de HASH sobre archivo xxx.exe encontrado
Toda vez de consultar en virus total se confirma que se trata del Ransomware Hive,
tal como se evidencia en la figura 22 y 23
117
Figura 22. Buzón de correo de maquina cliente – evidencia de correo malicioso
118
contenía, como se ve en la figura 24
119
Figura 25. Evidencia de creación de tareas programadas
Hasta esta instancia se puede decir que la fase de detección y análisis los
participantes han contribuido a la identificación de un incidente de ciberseguridad.
120
La fase de análisis y detección en el ejercicio funcional de ciberseguridad en el
Banco Popular ha llegado a su fin. Esta etapa ha sido crucial para evaluar la
seguridad de los sistemas y redes del banco y para identificar posibles amenazas y
vulnerabilidades.
Durante esta fase, se han realizado análisis exhaustivos de los registros y logs de
seguridad, pruebas de penetración y auditorías de seguridad para identificar y
documentar los riesgos y vulnerabilidades potenciales. Además, se han evaluado
los riesgos y se han definido medidas recomendadas para mitigar los riesgos
identificados.
• Se aisló de la red la maquina cliente por ser el paciente cero del incidente de
ciberseguridad.
121
• Se hizo cambio de contraseña de administradores de dominio para lograr que el
atacante perdiera acceso al sistema.
• Se detuvieron los procesos de snapshots de servidores para no generar
imágenes infectadas.
• De acuerdo con el tiempo del ejercicio funcional, por las tareas elaboradas para
identificar, analizar y contener, no fue posible llevar a cabo un proceso forense.
Los resultados obtenidos del ejercicio funcional en el Banco Popular indican que el
nivel de preparación del equipo evaluado fue alto, con un puntaje de 4,3 en la fase
de Preparación. Sin embargo, se observa que, en la fase de Identificación y
Contención, el puntaje obtenido fue medio, con valores de 2,6 y 2,9,
respectivamente. En la fase de Erradicación, el nivel de desempeño fue bajo, con
un puntaje de 2,1. No obstante, en la fase de Lecciones Aprendidas, el equipo
obtuvo un puntaje alto de 4,0. (ver Anexo A)
122
situaciones problemáticas de manera efectiva.
En resumen, el Banco Popular debe enfocar sus esfuerzos en mejorar las fases de
Identificación, Contención y Erradicación. La capacitación y el entrenamiento
constante en técnicas y habilidades necesarias también serán fundamentales para
mejorar el desempeño del equipo en futuros ejercicios funcionales.
Lecciones aprendidas que el Banco Popular debe tener en cuenta para un próximo
ejercicio funcional de ciberseguridad:
123
ejercicios funcionales de ciberseguridad de manera regular para mantener al equipo
preparado y actualizado ante posibles situaciones problemáticas de ciberseguridad.
124
8. CONCLUSIONES
Al seguir los pasos, lineamientos y pautas de la guía, el equipo pudo llevar a cabo
un ejercicio funcional que permitió entrenar la capacidad de la organización para
enfrentar situaciones problemáticas de ciberseguridad.
125
proporcionará un marco práctico y estructurado para la planificación y ejecución de
estos ejercicios.
126
BIBLIOGRAFÍA
127
2011.p.9.
NIST. National Institute of Standards and Technology. Norma NIST SP 800-81. Guía
de prueba, capacitación y programas de ejercicios para TI planes y capacidades.
USA. 2013.P. 37.
NIST. National Institute of Standards and Technology. Norma NIST SP 800-84. Guía
de prueba, capacitación y programas de ejercicios para TI planes y capacidades.
USA. 2013.p. 37.
VIRUS TOTAL. [en línea]. Bogotá: El sitio [citado 3 de abril, 2013]. Disponible en
Internet: < URL: https://www.virustotal.com/gui/home/upload>
128
ANEXOS
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143