Este artículo describe cómo responder a diferentes tipos de ataques cibernéticos comunes. Para cada tipo de ataque, se detallan los indicadores de amenaza, dónde investigar y las acciones posibles a tomar.
Es crucial actuar rápidamente y seguir los pasos adecuados para minimizar el daño y la interrupción del servicio. La prevención es clave, pero saber cómo reaccionar a un incidente es igualmente importante para la seguridad informática.
1. Fuerza Bruta
Detalles: El atacante intenta adivinar una contraseña probando varias contraseñas diferentes.
Indicadores de Amenaza: Múltiples fallos de inicio de sesión en un corto período de tiempo.
Dónde Investigar:
- Registros de Active Directory
- Registros de aplicaciones
- Registros del sistema operativo
- Contactar al usuario
Acciones Posibles: Si la acción no es legítima, deshabilitar la cuenta e investigar/bloquear al atacante.
2. Botnets
Detalles: Los atacantes utilizan el servidor de la víctima para realizar ataques DDoS u otras actividades maliciosas.
Indicadores de Amenaza:
- Conexión a IPs sospechosas.
- Volumen anormalmente alto de tráfico de red.
Dónde Investigar:
- Tráfico de red.
- Registros del sistema operativo (nuevos procesos).
- Contactar al propietario del servidor.
- Contactar al equipo de soporte.
Acciones Posibles: Si se confirma:
- Aislar el servidor.
- Eliminar procesos maliciosos.
- Aplicar parches a la vulnerabilidad utilizada para la infección.
3. Ransomware
Detalles: Un tipo de malware que cifra archivos y solicita un rescate (pago de dinero) al usuario para descifrarlos.
Indicadores de Amenaza:
- Alertas antivirus.
- Conexión a IPs sospechosas.
Dónde Investigar:
- Registros antivirus.
- Registros del sistema operativo.
- Registros de cuentas.
- Tráfico de red.
Acciones Posibles:
- Solicitar comprobaciones antivirus.
- Aislar la máquina.
4. Exfiltración de Datos
Detalles: El atacante (o un empleado deshonesto) extrae datos a fuentes externas.
Indicadores de Amenaza:
- Tráfico de red anormalmente alto.
- Conexión a soluciones de almacenamiento en la nube (Dropbox, Google Cloud).
- Dispositivos USB inusuales.
Dónde Investigar:
- Tráfico de red.
- Registros de proxy.
- Registros del sistema operativo.
Acciones Posibles:
- Si es un empleado: Contactar al gerente, realizar una investigación forense completa.
- Si es una amenaza externa: Aislar la máquina, desconectar de la red.
5. Cuenta Comprometida
Detalles: Los atacantes obtienen acceso a una cuenta (mediante ingeniería social o cualquier otro método).
Indicadores de Amenaza:
- Inicios de sesión en la cuenta fuera de horario.
- Cambios en el grupo de cuentas.
- Tráfico de red anormalmente alto.
Dónde Investigar:
- Registros de Active Directory.
- Registros del sistema operativo.
- Tráfico de red.
- Contactar al usuario para aclaraciones.
Acciones Posibles: Si se confirma:
- Deshabilitar la cuenta.
- Cambiar la contraseña.
- Investigaciones forenses.
6. Denegación de Servicio (DoS/DDoS)
Detalles: Cuando el atacante puede causar interferencia en un sistema explotando vulnerabilidades DoS o generando un alto volumen de tráfico.
Indicadores de Amenaza: Tráfico de red anormalmente alto en servidores públicos.
Dónde Investigar:
- Tráfico de red.
- Registros de firewall.
- Registros del sistema operativo.
Acciones Posibles:
- Si DoS se debe a vulnerabilidades: Contactar al equipo de parches para la remediación.
- Si DDoS se debe al tráfico de red: Contactar al soporte de red o al ISP.
7. Amenazas Persistentes Avanzadas (APTs)
Detalles: Los atacantes obtienen acceso al sistema y crean puertas traseras para una mayor explotación. Por lo general, son difíciles de detectar.
Indicadores de Amenaza:
- Conexión a IPs sospechosas.
- Volumen anormalmente alto de tráfico de red.
- Registros de acceso fuera de horario.
- Creación de nuevas cuentas de administrador.
Dónde Investigar:
- Tráfico de red.
- Registros de acceso.
- Registros del sistema operativo (nuevos procesos, nuevas conexiones, usuarios anormales).
- Contactar al propietario/equipos de soporte del servidor.
Acciones Posibles: Si se confirma:
- Aislar la máquina.
- Iniciar un proceso forense formal.
- Iniciar un plan de escalada/comunicación.
Conclusión
Este artículo proporcionó una guía general para responder a incidentes de seguridad comunes. La respuesta específica a un incidente dependerá de las circunstancias específicas del ataque. Es importante tener un plan de respuesta a incidentes bien definido y un equipo capacitado para manejar eficazmente estos eventos. Recuerda que la rapidez y la precisión en la respuesta son cruciales para minimizar el impacto de un ataque.