A diario pueden darse situaciones que pueden parecer un ciberataque dentro de una organización: no poder acceder al servidor, la página web está caída, no se puede enviar ni recibir correos electrónicos… Lo cierto es que todos estos escenarios pueden deberse simplemente a que se están llevando a cabo actividades de mantenimiento en los sistemas o que estén mal configurados. Pero en otros casos, puede deberse realmente a que se está produciendo un ciberataque.

Cualquier organización, ya sea pequeña, mediana o grande, con una dependencia tecnológica o reducida, debe estar preparada para hacer frente a un ciberataque.

¿Qué pasa después?

Siempre hablamos de las acciones que una empresa debe implantar para evitar un incidente informático, pero qué debemos hacer cuando ya hemos sido atacados?

Evaluación inicial del incidente

Si se sospecha que se ha producido un incidente es recomendable:

• Revisar los sistemas de la organización encargados de identificar accesos no autorizados como los IDS, cortafuegos, logs…
• Contactar con el departamento o personal encargado de administrar la red y los sistemas de la organización para comprobar si se están llevando a cabo tareas de mantenimiento.
• Identificar a grandes rasgos el tipo de incidente y la gravedad del mismo: determinar qué sistemas, equipos e información han podido verse comprometidos. Esto será de utilidad para identificar los activos afectados y tomar las acciones que se consideren oportunas para valorar los daños y evitar que vuelva a suceder. En función de los activos afectados, la metodología de actuación variará y como cada caso es diferente, se deben seguir las siguientes recomendaciones:

• Determinar qué tipo de ataque se ha sufrido, como puede ser un ransomware, robo de información confidencial o acceso no autorizado a la página web. En este punto, al conocer más detalle de los activos afectados, podemos darnos cuenta del alcance real del ataque y clasificarlo de forma diferente que lo hicimos en la fase inicial.
• Determinar el punto de origen o vector de ataque que se ha utilizado. Puede ser el correo electrónico corporativo, una memoria USB infectada con malware, etc.
• Identificar si el ataque ha sido dirigido en particular contra la empresa o si, por el contrario, se trata de un ataque aleatorio. Los incidentes provocados por situaciones relacionadas con comunicaciones genéricas e impersonales, a través de correos electrónicos, o debidos a vulnerabilidades no parcheadas de la web corporativa, es muy probable que sean ataques aleatorios. Por el contrario, si el ataque cuenta con información personal de la víctima o sobre el software utilizado por la empresa, es muy posible que el ataque sea dirigido.
• En base al tipo de ataque sufrido y el vector utilizado, se identificarán los activos que hayan podido verse comprometidos.
• Registrar y documentar toda la información recogida, esta será de gran ayuda en futuras fases.

Comunicación del incidente

También debe nombrarse un responsable que será el encargado de coordinar la respuesta. Este coordinador, será el encargado de realizar las comunicaciones oportunas con el personal externo como proveedores, soporte técnico o a la Agencia Española de Protección de Datos en caso de que se hayan visto comprometidos datos personales. Este tipo de comunicaciones comúnmente se realizan por medio de correo electrónico o por teléfono.

Contención de daños y minimización de los riesgos

Actuar rápida y eficazmente puede reducir considerablemente los efectos de un incidente. El tiempo es un factor diferencial, ya que un incidente de nivel bajo si se prolonga en el tiempo, podría convertirse en un problema mucho más grave. Cada ataque tiene una naturaleza diferente, aunque las siguientes prioridades deberían estar presentes en todo tipo de ataque:

• Proteger la seguridad de las personas, esta debe ser la máxima prioridad.
• Proteger cualquier tipo de información valiosa para la empresa como información personal de clientes, proveedores o el plan de negocio.
• Proteger los equipos y sistemas de la organización, aunque minimizando el tiempo que estos se encuentran detenidos. Puede darse el caso que parar los procesos y servicios de la organización sea perjudicial para la misma, pero a la larga es más probable que sea peor no detener los sistemas afectados.

Además de estas prioridades, hay que contener el daño que se pudiera causar a la organización lo antes posible. Para ello se deberán tener en cuenta lo siguientes aspectos:

• Ya que la gran mayoría de los escenarios requieren desconectar todos los equipos de la red o varios de ellos hay que tener en cuenta el impacto que puede tener, en especial cuando se cuenta con acuerdos a nivel de servicio en el que se garantiza un mínimo de disponibilidad.
• Determinar la vía utilizada por el atacante para comprometer la seguridad de la organización y tomar medidas para proteger ese canal de entrada para que la organización no vuelva a ser atacada por esa vía.
• Clonar los discos de los equipos afectados o cambiarlos por unos nuevos, estas pruebas serán de gran utilidad para determinar que ha hecho el atacante en la red de la empresa. También hay que cambiar las credenciales de acceso de todos los usuarios.