Incidente de seguridad, ciberseguridad y privacidad de la información

Entre quienes integren el grupo, se deben identificar incidentes de seguridad de la

información que hayan conocido o experimentado. Seleccionar uno de ellos y describirlo de
acuerdo al documento anexo.

Grupo
Integrantes
N°

Nombre del incidente

El incidente tuvo lugar en un medio de comunicación local a

través de un ataque de ransomware, comprometiendo los
sistemas de información de la organización, incluyendo archivos
Breve descripción del
históricos y copias de seguridad. Como consecuencia, la
incidente
organización se vio privada del acceso a datos críticos y enfrentó
la amenaza de extorsión por parte de los atacantes.

- Pérdida de datos críticos: El ataque de ransomware

ocasionó la pérdida de datos fundamentales para la
empresa, impactando la disponibilidad de:
* Sistema ERP
* Otros aplicativos
* Servicios web
* Archivo histórico multimedia

- Encriptación de archivos esenciales: Los atacantes

Consecuencias o impacto del
encriptaron archivos esenciales, dificultando el acceso
incidente a información vital.

- Afectación en la operatividad empresarial: La operación

normal de la empresa sufrió graves interrupciones debido a
la falla en los sistemas y servicios.

- Compromiso de la información contable: La información

contable crítica se vio comprometida, lo que puede tener
repercusiones a largo plazo en la gestión financiera de la
empresa.
 Documentos
- N/A.
físicos
- Bases de datos ERP
Documentos - Archivos aplicativos locales
digitales - Copias de seguridad
- Archivos históricos
- ERP
Software
- Aplicativos locales
Activos de Hardware - Servidor principal
Información
involucrado Equipo auxiliar - Discos duros externos de copias de seguridad
s
Instalaciones - Datacenter on premise
- ERP
Servicios - Aplicativos complementarios
- Intranet (Histórico multimedia)
- Personal TIC
Personas
- Personal administrativo
Otros
Solución dada Para la solución del incidente, se llevaron a cabo las siguientes
actividades:
 Reinstalación del sistema operativo del servidor: Se llevó a
cabo una reinstalación completa del sistema operativo en el
servidor afectado para asegurar un entorno limpio y
seguro.
 Depuración de archivos y desinfección de archivos con
antivirus: Se realizó una depuración exhaustiva de archivos
en busca de malware y se desinfectaron los archivos
identificados como amenazas.
 Desencriptación de algunas copias de seguridad: Se logró
desencriptar algunas de las copias de seguridad al
descubrir vulnerabilidades en el algoritmo de encriptación
utilizado por los atacantes.
 Implementación de un sistema de virtualización: Se
implementó un sistema de virtualización para mejorar la
seguridad y la separación de servicios dentro de la
infraestructura.
 Separación de servicios aprovechando el sistema de
virtualización: Se reorganizaron y separaron los servicios
aprovechando la tecnología de virtualización, lo que
contribuyó a reducir el riesgo de propagación de futuros
ataques.
 Definición de un protocolo de copias de seguridad más
eficiente: Se estableció un protocolo de copias de
seguridad más eficiente y seguro para garantizar la
disponibilidad y la integridad de los datos en el futuro.
 La prevención de este tipo de incidentes, como un ataque de
ransomware, requiere una combinación de medidas de seguridad y
buenas prácticas. Aquí hay algunas formas en las que se podría
haber evitado:

1. Control de configuración de infraestructura: Mantener un

control riguroso sobre la configuración de la infraestructura,
incluyendo servidores y sistemas de red, para asegurarse de que
estén actualizados, correctamente configurados y que cuenten con
las últimas actualizaciones de seguridad.

2. Política de seguridad de la información: Establecer y hacer

cumplir una sólida política de seguridad de la información que
aborde cuestiones como la gestión de contraseñas, la autenticación
de usuarios, la limitación de acceso privilegiado y la
concienciación de los empleados sobre las amenazas de seguridad.

3. Control de accesos: Implementar controles de acceso robustos

para limitar quién tiene acceso a los sistemas y datos críticos. Esto
incluye autenticación multifactorial, políticas de contraseñas
fuertes y revocación rápida de accesos no autorizados.

4. Plan de contingencia: Desarrollar planes de contingencia que

¿Cómo pudo evitarse?
incluyan escenarios de ataques de ransomware. Estos planes deben
incluir procedimientos claros para la detección temprana, la
respuesta rápida y la recuperación de datos en caso de un ataque.

5. Copia de seguridad y recuperación de datos: Realizar copias de

seguridad regulares y almacenarlas de forma segura fuera del
alcance de posibles ataques. Además, probar regularmente la
capacidad de recuperación de datos para asegurarse de que las
copias de seguridad sean efectivas.

6. Educación y concienciación de los empleados: Capacitar a los

empleados en la detección de amenazas de seguridad, como
correos electrónicos de phishing, y fomentar una cultura de
seguridad en toda la organización.

7. Actualización y parcheo: Mantener todos los sistemas y

software actualizados con las últimas correcciones y parches de
seguridad para cerrar posibles vulnerabilidades.

8. Monitoreo y detección de amenazas: Implementar herramientas

de monitoreo y detección de amenazas para identificar y responder
rápidamente a cualquier actividad inusual en la red.