Un incidente de seguridad, o evento de seguridad, es cualquier violación digital o física que amenace la confidencialidad, integridad o disponibilidad de los sistemas de información o datos confidenciales de una organización. Los incidentes de seguridad pueden variar desde ciberataques intencionales por parte de hackers o usuarios no autorizados, hasta violaciones involuntarias de la política de seguridad por parte de usuarios autorizados legítimos.

Algunos de los incidentes de seguridad más comunes incluyen:

1. Ransomware
2. Phishing e ingeniería social
3. Ataques DDoS
4. Ataques a la cadena de suministro
5. Amenazas internas

Ransomware. El ransomware es un tipo de software malicioso, o malware, que bloquea los datos o el dispositivo informático de una víctima y amenaza con mantenerlos bloqueados, o algo peor, a menos que la víctima pague un rescate al atacante. Según el informe Costo de una filtración de datos 2022 de IBM, los ataques de ransomware aumentaron en un 41 por ciento entre 2021 y 2022.

Obtenga más información sobre el ransomware

Phishing e ingeniería social. Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas o realicen alguna otra acción dañina. Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si procedieran de una organización o persona de confianza y creíble, a veces incluso una persona que el destinatario conoce personalmente.

El phishing es la causa más costosa y la segunda más común de filtraciones de datos, según el informe Costo de una filtración de datos 2022 de IBM. También es la forma más común de ingeniería social: un tipo de ataque hacia la naturaleza humana, en lugar de las vulnerabilidades de seguridad digital, para obtener acceso no autorizado a datos o activos confidenciales, personales o empresariales.

Más información sobre ingeniería social

Ataques DDoS. En un ataque de denegación de servicio distribuido (DDoS), los hackers obtienen el control remoto de un gran número de computadoras y las usan para desbordar la red o los servidores de una organización objetivo con tráfico, lo que hace que esos recursos no estén disponibles para los usuarios legítimos.

Más información sobre los ataques DDoS

Ataques a la cadena de suministro. Los ataques a la cadena de suministro son ataques cibernéticos que se infiltran en una organización objetivo atacando a sus proveedores, por ejemplo, robando datos confidenciales de los sistemas de un proveedor o empleando los servicios de un proveedor para distribuir malware. En julio de 2021, los delincuentes cibernéticos aprovecharon una falla en la plataforma VSA de Kaseya (enlace externo a ibm.com) para propagar ransomware a los clientes bajo la apariencia de una actualización de software legítima. A pesar de que los ataques a la cadena de suministro están aumentando en frecuencia, solo el 32 por ciento de las organizaciones tienen planes de respuesta a incidentes preparados para esta amenaza cibernética en particular, según el Cyber Resilient Organization Study 2021 de IBM.

Obtenga más información sobre la seguridad de la cadena de suministro

Amenazas internas. Hay dos tipos de amenazas internas. Los usuarios internos maliciosos son empleados, socios u otros usuarios autorizados que intencionalmente comprometen la seguridad de la información de una organización. Los usuarios internos negligentes son usuarios autorizados que involuntariamente comprometen la seguridad al no seguir las mejores prácticas de seguridad, por ejemplo, al usar contraseñas débiles o almacenar datos confidenciales en lugares no seguros. 

Obtenga más información sobre las amenazas de usuarios internos

Planeación de la respuesta a incidentes

Como se señaló anteriormente, los esfuerzos de respuestas a incidentes de una organización están guiados por un plan de respuesta a incidentes. Por lo general, estos son creados y ejecutados por un equipo de respuesta a incidentes de seguridad informática (CSIRT) compuesto por partes interesadas de toda la organización: el director de seguridad de la información (CISO), el centro de operaciones de seguridad (SOC) y el personal de TI, pero también representantes del liderazgo ejecutivo, equipo legal, recursos humanos, cumplimiento normativo y gestión de riesgos.

Un plan de respuesta a incidentes generalmente incluye

• Las funciones y responsabilidades de cada miembro del CSIRT;
• Las soluciones de seguridad (software, hardware y otras tecnologías) que se instalarán en toda la empresa.
• Un plan de continuidad de negocio que describa los procedimientos para restaurar los sistemas y datos críticos afectados lo más rápido posible en caso de una interrupción;
• Una metodología detallada de respuesta a incidentes que establece los pasos específicos que deben tomarse en cada fase del proceso de respuesta a incidentes, y por quién;
• Un plan de comunicaciones para informar a los líderes de la empresa, empleados, clientes e incluso a las autoridades sobre incidentes;
• Instrucciones para documentar y recopilar información y documentar incidentes para revisión a posteriori y (si es necesario) procedimientos legales. 

No es raro que el CSIRT elabore diferentes planes de respuesta a incidentes para diferentes tipos de incidentes, ya que cada tipo puede requerir una respuesta única. Según el Cyber Resilient Organization Study de IBM 2021, la mayoría de las organizaciones tienen planes específicos de respuesta ante incidentes relacionados con ataques DDoS, malware y ransomware, y casi la mitad tienen planes para las amenazas internas.

Algunas organizaciones complementan los CSIRT internos con socios externos que brindan servicios de respuesta a incidentes. Estos socios a menudo trabajan en retención y ayudan con varios aspectos del proceso de gestión de incidentes, incluida la preparación y ejecución de IRP.

El proceso de respuesta a incidentes

La mayoría de los IRP también siguen el mismo marco general de respuesta a incidentes basado en modelos de respuesta a incidentes desarrollados por el SANS Institute, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. y la Cybersecurity and Infrastructure Agency (CISA).

Preparación. Esta primera fase de respuesta a incidentes también es continua, para garantizar que el CSIRT siempre cuente con los mejores procedimientos y herramientas posibles para responder a fin de identificar y contener un incidente y recuperarse lo más rápido posible y con una interrupción mínima del negocio.

A través de una evaluación periódica de riesgos, el CSIRT identifica las vulnerabilidades de la red, define los diversos tipos de incidentes de seguridad que representan un riesgo para la red y prioriza cada tipo de acuerdo con su impacto potencial en la organización. Con base en esta evaluación de riesgos, el CSIRT puede actualizar los planes de respuesta a incidentes existentes o redactar planes nuevos.

Detección y análisis. Durante esta fase, los miembros del equipo de seguridad vigilan la red en busca de actividades sospechosas y amenazas potenciales. Analizan los datos, notificaciones y alertas recopilados de los registros de los dispositivos y de diversas herramientas de seguridad (software antivirus, firewall) instaladas en la red, filtrando los falsos positivos y clasificando las alertas reales por orden de gravedad.

Hoy en día, la mayoría de las organizaciones emplean una o más soluciones de seguridad, como SIEM (gestión de eventos e información de seguridad) y EDR (detección y respuesta de endpoints), para ayudar a los equipos de seguridad a monitorear y analizar los eventos de seguridad en tiempo real y automatizar los procesos de detección y respuesta a incidentes. (Consulte "Tecnologías de respuesta a incidentes" para obtener más información).

El plan de comunicación también entra en juego durante esta fase. Una vez que el CSIRT determinó a qué tipo de amenaza o violación se enfrenta, lo notificará al personal adecuado antes de pasar a la siguiente fase del proceso de respuesta a incidentes. 

Contención. El equipo de respuesta a incidentes toma medidas para evitar que la violación cause más daños a la red. Las actividades de contención pueden dividirse en dos categorías:

• Las medidas de contención a corto plazo se centran en evitar que la amenaza actual se propague aislando los sistemas afectados, por ejemplo, desconectando los dispositivos infectados.
• Las medidas de contención a largo plazo se centran en proteger los sistemas no afectados mediante la colocación de controles de seguridad más estrictos a su alrededor, como la segmentación de las bases de datos confidenciales del resto de la red.

En esta fase, el CSIRT también puede crear copias de seguridad de los sistemas afectados y no afectados para evitar pérdidas de datos adicionales y capturar pruebas forenses del incidente para su estudio en el futuro. 

Erradicación. Una vez contenida la amenaza, el equipo pasa a la corrección y a la eliminación completas de la amenaza del sistema. Esto implica erradicar activamente la amenaza en sí misma (por ejemplo, destruir malware, arrancar a un usuario no autorizado o impostor de la red) y revisar los sistemas afectados y no afectados para garantizar que no queden rastros de la violación. 

Recuperación. Cuando el equipo de respuesta a incidentes está seguro de que la amenaza se erradicó por completo, restaura los sistemas afectados a las operaciones normales. Esto puede implicar implementar parches, reconstruir sistemas a partir de copias de seguridad y volver a poner en línea los sistemas y dispositivos reparados.

Revisión posterior al incidente. A lo largo de cada fase del proceso de respuesta a incidentes, el CSIRT recopila evidencia de la violación y documenta los pasos que toma para contener y erradicar la amenaza. En esta etapa, el CSIRT revisa esta información para entender mejor el incidente. El CSIRT busca determinar la causa principal del ataque, identificar cómo violó exitosamente la red y resolver vulnerabilidades para que no ocurran incidentes futuros de este tipo. 

El CSIRT también revisa lo que salió bien y busca oportunidades para mejorar los sistemas, herramientas y procesos para fortalecer las iniciativas de respuesta a incidentes contra futuros ataques. Según las circunstancias de la filtración, las autoridades también puede participar en la investigación posterior al incidente. 

Como se señaló anteriormente, además de describir los pasos que deben seguir los CSIRT en caso de un incidente de seguridad, los planes de respuesta a incidentes suelen describir las soluciones de seguridad que los equipos de respuesta a incidentes deben tener implementadas para llevar a cabo o automatizar los flujos de trabajo clave de respuesta a incidentes, como la recopilación y correlación de datos de seguridad, la detección de incidentes en tiempo real y la respuesta a ataques en curso.

Algunas de las tecnologías de respuesta a incidentes más utilizadas incluyen:

• SIEM (gestión de eventos e información de seguridad): agrega y correlaciona datos de eventos de seguridad de herramientas de seguridad internas dispares (por ejemplo, cortafuegos, escáneres de vulnerabilidades, fuentes de inteligencia de amenazas) y de dispositivos en la red. La SIEM puede ayudar a los equipos de respuesta a incidentes a combatir la "fatiga alerta" mediante indicadores de amenazas reales del enorme volumen de notificaciones que generan estas herramientas.
  
  
• SOAR (orquestación, automatización y respuesta de seguridad): permite a los equipos de seguridad definir playbooks (flujos de trabajo formalizados que coordinan diferentes operaciones y herramientas de seguridad en respuesta a incidentes de seguridad) y automatizar partes de estos flujos de trabajo cuando sea posible.
  
  
• EDR (detección y respuesta de endpoints): es un software diseñado para proteger automáticamente a los usuarios finales de una organización, los dispositivos endpoint y los activos de TI contra las ciberamenazas que superan el software antivirus y otras herramientas de seguridad endpoint tradicionales. La EDR recopila datos continuamente de todos los endpoints de la red; analiza los datos en tiempo real en busca de pruebas de ciberamenazas conocidas o sospechosas, y puede responder automáticamente para prevenir o minimizar los daños de las amenazas que identifica.
  
  
• XDR (detección y respuesta extendidas): es una tecnología de ciberseguridad que unifica las herramientas de seguridad, los puntos de control, las fuentes de datos y telemetría, y los analytics en todo el entorno de TI híbrido (endpoints, redes, nubes privadas y públicas) para crear un único sistema empresarial central para la prevención, detección y respuesta a las amenazas. XDR, una tecnología emergente, tiene el potencial de ayudar a los equipos de seguridad y centros de operaciones de seguridad (SOC) superados en sus capacidades a hacer más con menos eliminando silos entre herramientas de seguridad y automatizando la respuesta en toda la cadena de eliminación de amenazas cibernéticas.
  
  
• UEBA (analytics de comportamiento de usuarios y entidades): emplea analytics de comportamiento, algoritmos de aprendizaje automático y automatización para identificar comportamientos anormales y potencialmente peligrosos de usuarios y dispositivos. El UEBA es particularmente eficaz para identificar amenazas internas (usuarios internos maliciosos o hackers que utilizan credenciales internas comprometidas) que pueden eludir otras herramientas de seguridad porque imitan el tráfico de red autorizado. La funcionalidad del UEBA a menudo se incluye en las soluciones SIEM, EDR y XDR.
  
  
• ASM (gestión de la superficie de ataque): las soluciones ASM automatizan el descubrimiento, el análisis, la corrección y el monitoreo continuos de las vulnerabilidades y los posibles vectores de ataque en todos los activos de la superficie de ataque de una organización. La ASM puede descubrir activos de red previamente no monitoreados, mapear relaciones entre activos,