Inicio Topics Respuesta a incidencias ¿Qué es la respuesta a incidentes?
Explore la solución de respuesta a incidentes de IBM Suscríbase a las actualizaciones sobre temas de seguridad
Ilustración con collage de pictogramas de nubes, teléfono móvil, huella dactilar, marca de verificación
¿Qué es la respuesta a incidentes?

La respuesta a incidentes, a veces denominada respuesta a incidentes de ciberseguridad, hace referencia a los procesos y tecnologías de una organización para detectar y responder a ciberamenazas, violaciones de seguridad o ciberataques. Un plan formal de respuesta a incidentes permite a los equipos de ciberseguridad limitar o prevenir daños.

El objetivo de la respuesta a incidentes es prevenir los ciberataques antes de que ocurran y minimizar el costo y la interrupción del negocio resultantes de cualquier ataque cibernético que ocurra.

Lo ideal es que una organización defina los procesos y tecnologías de respuesta a incidentes en un plan formal de respuesta a incidentes (IRP) que especifique exactamente cómo deben identificarse, contenerse y resolverse los distintos tipos de ciberataques. Un plan eficaz de respuesta a incidentes puede ayudar a los equipos de ciberseguridad a detectar y contener las ciberamenazas y restaurar los sistemas afectados más rápido, y reducir la pérdida de ingresos, las multas reglamentarias y otros costes asociados a estas amenazas. El informe "Coste de una filtración de datos" de 2022 de IBM reveló que las organizaciones con equipos y planes de respuesta a incidentes probados regularmente tenían un coste medio de violación de datos 2,66 millones de dólares inferior al de las organizaciones sin equipos de respuesta a incidentes e IRP.

IBM X-Force Threat Intelligence Index

Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.

Contenido relacionado

Regístrese para recibir el informe "Coste de una filtración de datos"

¿Qué son los incidentes de seguridad?

Un incidente de seguridad, o evento de seguridad, es cualquier violación digital o física que amenaza la confidencialidad, integridad o disponibilidad de los sistemas de información o datos confidenciales de una organización. Los incidentes de seguridad pueden variar desde ataques cibernéticos intencionales por parte de hackers o usuarios no autorizados hasta violaciones involuntarias de la política de seguridad por parte de usuarios legítimos autorizados.

Algunos de los incidentes de seguridad más comunes incluyen:

  1. Ransomware
  2. Phishing e ingeniería social
  3. Ataques DDoS
  4. Ataques a la cadena de suministro
  5. Amenazas internas

Ransomware. El ransomware es un tipo de software malintencionado, o malware, que bloquea los datos o el dispositivo informático de la víctima y amenaza con mantenerlo bloqueado (o algo peor), a menos que la víctima pague un rescate al atacante. Según el informe "Coste de una filtración de datos" de 2022 de IBM, los ataques de ransomware aumentaron un 41 por ciento entre 2021 y 2022.

Más información sobre ransomware

Phishing y la ingeniería social. Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen programas maliciosos, transfieran dinero o activos a las personas equivocadas o realicen alguna otra acción perjudicial. Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si procedieran de una organización o persona de confianza o creíble, a veces incluso una persona que el destinatario conoce personalmente.

El phishing es la causa más costosa y la segunda más común de las vulneraciones de datos, según el informe de IBM "Coste de una filtración de datos" de 2022. También es la forma más común de ingeniería social, un tipo de ataque que piratea la naturaleza humana, en lugar de las vulnerabilidades de la seguridad digital, para obtener acceso no autorizado a datos o activos personales o empresariales confidenciales.

Más información sobre ingeniería social

Ataques DDoS. En un ataque de denegación de servicio distribuido (DDoS), los hackers obtienen el control remoto de un gran número de ordenadores y los usan para abrumar la red o los servidores de una organización objetivo con tráfico, lo que hace que esos recursos no estén disponibles para los usuarios legítimos.

Más información sobre los ataques DDoS

Ataques a la cadena de suministro. Los ataques a la cadena de suministro son ciberataques que se infiltran en una organización objetivo atacando a sus proveedores; por ejemplo, mediante el robo de datos confidenciales de los sistemas de un proveedor, o utilizando los servicios de un proveedor para distribuir malware. En julio de 2021, los ciberdelincuentes aprovecharon un fallo en la plataforma VSA de Kaseya (enlace externo a ibm.com) para propagar ransomware a los clientes bajo la apariencia de una actualización de software legítima. A pesar de que los ataques a la cadena de suministro aumentan en frecuencia, solo el 32 por ciento de las organizaciones tienen planes de respuesta a incidentes preparados para esta ciberamenaza en particular, según el estudio sobre organizaciones ciberresilientes de 2021de IBM.

Más información sobre la seguridad de la cadena de suministro

Amenazas internas. Hay dos tipos de amenazas internas. Los usuarios internos negligentes son empleados, socios u otros usuarios autorizados que comprometen intencionalmente la seguridad de la información de una organización. Los usuarios internos maliciosos son usuarios autorizados que, sin querer, ponen en peligro la seguridad al no seguir las mejores prácticas de seguridad, por ejemplo, al utilizar contraseñas débiles o almacenar datos confidenciales en lugares inseguros. 

Más información sobre las amenazas internas

Cómo funciona la respuesta a incidentes

Planificación de la respuesta a incidentes

Como se ha señalado anteriormente, los esfuerzos de respuesta a incidentes de una organización se guían por un plan de respuesta a incidentes. Por lo general, estos son creados y ejecutados por un equipo de respuesta a incidentes de seguridad informática (CSIRT) compuesto por partes interesadas de toda la organización: el director de seguridad de la información (CISO), el centro de operaciones de seguridad (SOC) y el personal de TI, pero también representantes de la dirección ejecutiva, legales, recursos humanos, cumplimiento normativo y gestión de riesgos.

Un plan de respuesta a incidentes suele incluir:

  • Las funciones y responsabilidades de cada miembro del CSIRT;
  • Las soluciones de seguridad (software, hardware y otras tecnologías) que se instalarán en toda la empresa.
  • Un plan de continuidad de negocio en el que se describan los procedimientos para restaurar los sistemas y datos cruciales afectados lo antes posible en caso de interrupción;
  • Una metodología detallada de respuesta a incidentes que establezca los pasos específicos que deben darse en cada fase del proceso de respuesta a incidentes, y quién debe hacerlo;
  • Un plan de comunicaciones para informar a los líderes de la empresa, empleados, clientes e incluso a las fuerzas del orden sobre los incidentes;
  • Instrucciones para documentar para recopilar información y documentar los incidentes para la revisión post mortem y (en caso necesario) los procedimientos legales.

No es infrecuente que el CSIRT redacte planes de respuesta a incidentes diferentes para distintos tipos de incidentes, ya que cada tipo puede requerir una respuesta única. Según el estudio de IBM Cyber Resilient Organization de 2021, la mayoría de las organizaciones tienen planes específicos de respuesta a incidentes relacionados con ataques DDoS, malware y ransomware, y phishing, y casi la mitad tiene planes para amenazas internas.

Algunas organizaciones complementan los CSIRT internos con socios externos que brindan servicios de respuesta a incidentes. Estos socios suelen trabajar de forma contratada y ayudan en varios aspectos del proceso de gestión de incidentes, incluida la preparación y la ejecución de los IRP.

El proceso de respuesta a incidentes

La mayoría de los IRP también siguen el mismo marco general de respuesta a incidentes basado en modelos de respuesta a incidentes desarrollados por el Instituto SANS, el Instituto Nacional de Estándares y Tecnología (NIST) y la Agencia de Ciberseguridad e Infraestructura (CISA).

Preparación. Esta primera fase de la respuesta a incidentes también es continua, para asegurarse de que el CSIRT siempre dispone de los mejores procedimientos y herramientas posibles para responder a la identificación, contención y recuperación de un incidente lo más rápidamente posible y con la mínima interrupción de la actividad empresarial.

A través de una evaluación periódica de riesgos, el CSIRT identifica las vulnerabilidades de la red, define los diversos tipos de incidentes de seguridad que representan un riesgo para la red y prioriza cada tipo de acuerdo con su impacto potencial en la organización. Sobre la base de esta evaluación de riesgos, el CSIRT puede actualizar los planes de respuesta a incidentes existentes o redactar otros nuevos.

Detección y análisis. Durante esta fase, los miembros del equipo de seguridad monitorizan la red en busca de actividades sospechosas y posibles amenazas. Analizan los datos, las notificaciones y las alertas recopiladas de los registros de los dispositivos y de varias herramientas de seguridad (software antivirus, firewalls) instaladas en la red, filtrando los falsos positivos y clasificando las alertas reales en orden de gravedad.

Hoy en día, la mayoría de las organizaciones utilizan una o varias soluciones de seguridad, como SIEM (gestión de eventos e información de seguridad) y EDR (detección y respuesta en puntos terminales), para ayudar a los equipos de seguridad a monitorizar y analizar los eventos de seguridad en tiempo real, y automatizar los procesos de detección y respuesta ante incidentes. (Consulte "Tecnologías de respuesta a incidentes" para obtener más información).

El plan de comunicación también entra en juego durante esta fase. Una vez que el CSIRT haya determinado a qué tipo de amenaza o vulneración se enfrenta, lo notificará al personal adecuado antes de pasar a la siguiente fase del proceso de respuesta a incidentes. 

Contención. El equipo de respuesta a incidentes toma medidas para evitar que la vulneración cause más daños a la red. Las actividades de contención se pueden dividir en dos categorías:

  • Las medidas de contención a corto plazo se centran en evitar que la amenaza actual se propague aislando los sistemas afectados, por ejemplo, desconectando los dispositivos infectados.
  • Las medidas de contención a largo plazo se centran en proteger los sistemas no afectados mediante la colocación de controles de seguridad más estrictos a su alrededor, como la segmentación de las bases de datos confidenciales del resto de la red.

En esta fase, el CSIRT también puede crear copias de seguridad de los sistemas afectados y no afectados para evitar pérdidas de datos adicionales y obtener pruebas forenses del incidente para su estudio en el futuro. 

Erradicación. Una vez que se ha contenido la amenaza, el equipo pasa a la corrección completa y a la eliminación completa de la amenaza del sistema. Esto implica erradicar activamente la amenaza en sí, por ejemplo, destruir malware, expulsar a un usuario no autorizado o no autorizado de la red, y revisar los sistemas afectados y no afectados para garantizar que no queden rastros de la infracción. 

Recuperación. Cuando el equipo de respuesta a incidentes está seguro de que la amenaza se ha erradicado por completo, restaura los sistemas afectados a sus operaciones normales. Esto puede implicar la implementación de parches, la reconstrucción de sistemas a partir de copias de seguridad y la puesta en línea de los sistemas y dispositivos corregidos.

Revisión posterior al incidente. A lo largo de cada fase del proceso de respuesta a incidentes, el CSIRT recopila pruebas de la infracción y documenta los pasos que da para contener y erradicar la amenaza. En esta fase, el CSIRT revisa esta información para comprender mejor el incidente. El CSIRT trata de determinar la causa raíz del ataque, identificar cómo logró penetrar en la red y resolver las vulnerabilidades para que no se produzcan futuros incidentes de este tipo. 

El CSIRT también revisa lo que salió bien y busca oportunidades para mejorar los sistemas, las herramientas y los procesos para fortalecer las iniciativas de respuesta a incidentes contra futuros ataques. En función de las circunstancias de la infracción, las fuerzas del orden también pueden participar en la investigación posterior al incidente. 

Tecnologías de respuesta a incidentes

Como se ha señalado anteriormente, además de describir los pasos que deben seguir los CSIRT en caso de que se produzca un incidente de seguridad, los planes de respuesta a incidentes normalmente describen las soluciones de seguridad que los equipos de respuesta deben tener para realizar o automatizar los flujos de trabajo de respuesta a incidentes, tales como recopilar y correlacionar datos de seguridad, detectar incidentes en tiempo real y responder a ataques en curso.

Algunas de las tecnologías de respuesta a incidentes más utilizadas son:

  • SIEM (gestión de sucesos y seguridad de la información): SIEM agrega y correlaciona datos de sucesos de seguridad de herramientas de seguridad internas (por ejemplo, cortafuegos, escáneres de vulnerabilidades, canales de inteligencia de amenazas) y de dispositivos en la red. SIEM puede ayudar a los equipos de respuesta a incidentes a combatir la "fatiga de alerta" mediante indicadores de amenazas reales entre el gran volumen de notificaciones que generan estas herramientas.
  • SOAR (orquestación, automatización y respuesta de seguridad): SOAR permite a los equipos de seguridad definir playbooks (flujos de trabajo formalizados que coordinan las distintas operaciones y herramientas de seguridad en respuesta a incidentes de seguridad) y automatizar partes de estos flujos de trabajo, cuando sea posible.
  • EDR (detección y respuesta de puntos finales): es un software diseñado para proteger automáticamente a los usuarios finales, a los dispositivos de punto final y a los activos de TI contra las ciberamenazas que superan las barreras del software antivirus y de otras tecnologías tradicionales de seguridad de puntos finales. EDR recopila datos de forma continua de todos los puntos finales de la red, analiza los datos en tiempo real en busca de indicios de ciberamenazas conocidas o sospechadas, y puede responder automáticamente para impedir o minimizar daños causados por las amenazas que identifica.
  • XDR (detección y respuesta ampliadas): XDR es una tecnología de ciberseguridad que unifica herramientas de seguridad, puntos de control, fuentes de datos y telemetría y análisis en todo el entorno de TI híbrido (puntos finales, redes, clouds privados y públicos) para crear un sistema empresarial único y central para la prevención, la detección y la respuesta de amenazas. XDR es una tecnología aún emergente con potencial de ayudar a los equipos de seguridad y los centros de seguridad operaciones (SOC) sobrecargados a hacer más con menos eliminando silos entre herramientas de seguridad y automatizando la respuesta en toda la cadena de eliminación de ciberamenazas.
  • UEBA (análisis del comportamiento de usuarios y entidades): UEBA utiliza el análisis del comportamiento, algoritmos de machine learning y automatización para identificar comportamientos anormales y potencialmente peligrosos de usuarios y dispositivos. UEBA es particularmente efectivo a la hora de identificar amenazas internas —usuarios internos maliciosos o hackers que usan credenciales internas comprometidas— que pueden eludir otras herramientas de seguridad porque imitan el tráfico de red autorizado. La funcionalidad de UEBA a menudo se incluye en soluciones de SIEM, EDR y XDR.
  • ASM (gestión de la superficie de ataque): las soluciones de ASM automatizan el descubrimiento, el análisis, la corrección y la supervisión de las vulnerabilidades y potenciales vectores de ataque de forma continua en todos los activos de la superficie de ataque de una organización. ASM puede descubrir activos red previamente no supervisados, correlacionar relaciones entre activos,
Soluciones relacionadas
Soluciones de detección y respuesta a amenazas

Aproveche las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.

Explore las soluciones de detección y respuesta a amenazas
IBM Security and Compliance Center

Un conjunto de soluciones integradas que le permite definir políticas como código, implantar controles para proteger los datos y evaluar la seguridad y el cumplimiento normativo en entornos multinube híbridos.

Explore IBM Security and Compliance Center
Observabilidad de DNS de IBM NS1 Connect

Utilice los datos de DNS para identificar rápidamente los errores de configuración y los problemas de seguridad

Explore IBM NS1 Connect
Recursos ¿Qué es el ransomware?

El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate.

¿Qué son las amenazas internas?

Las amenazas internas se producen cuando los usuarios autorizados exponen deliberada o accidentalmente datos confidenciales o activos de red.

Workshop sobre estructuración y descubrimiento de IBM Security

Comprenda su panorama de ciberseguridad y priorice iniciativas con la colaboración de expertos arquitectos y consultores de seguridad de IBM, sin coste, en una sesión de "design thinking" virtual o presencial de tres horas.

Dé el siguiente paso

Los servicios de ciberseguridad de IBM ofrecen servicios de asesoramiento, integración y seguridad gestionada, así como capacidades ofensivas y defensivas. Combinamos un equipo global de expertos con tecnología propia y de socios para crear conjuntamente programas de seguridad personalizados que gestionen el riesgo.

Explore los servicios de ciberseguridad