Módulo 2: Fundamentos de los Incidentes de Ciberseguridad

2.1 ¿Qué es un Incidente de Ciberseguridad?

Un incidente de ciberseguridad es cualquier evento que compromete la confidencialidad, integridad o disponibilidad de la información o sistemas de una organización. Estos eventos pueden variar desde un acceso no autorizado hasta un ransomware que paraliza una red corporativa.

Tipos de Incidentes de Ciberseguridad

1. Violaciones de datos (Data Breaches): Accesos no autorizados a información sensible.
2. Ataques de ransomware: Secuestro de datos mediante cifrado a cambio de un rescate.
3. Phishing: Robos de credenciales mediante engaño.
4. Ataques DDoS (Denegación de Servicio Distribuida): Saturación de servidores para interrumpir servicios.
5. Intrusiones en redes: Accesos no autorizados a infraestructura.

Factores que desencadenan incidentes

• Errores humanos (clic en enlaces maliciosos, configuraciones incorrectas).
• Software desactualizado o con vulnerabilidades conocidas.
• Uso de contraseñas débiles o reutilizadas.
• Ataques dirigidos (APT, Amenazas Persistentes Avanzadas).

2.2 Ciclo de Vida de un Incidente de Ciberseguridad

Gestionar un incidente no se limita a contener el daño. Es un proceso estructurado que incluye varias etapas:

1. Identificación:

• • Detectar el incidente mediante herramientas como SIEM, EDR o logs.
  • Analizar eventos sospechosos y determinar su impacto.

1. Contención:

• • Aislar sistemas comprometidos para evitar la propagación.
  • Aplicar medidas temporales, como bloquear direcciones IP o desconectar dispositivos.

1. Erradicación:

• • Eliminar la causa raíz del incidente (malware, accesos no autorizados, etc.).
  • Actualizar configuraciones y aplicar parches.

1. Recuperación:

• • Restaurar sistemas y datos afectados.
  • Verificar la seguridad antes de reanudar las operaciones normales.

1. Lecciones aprendidas:

• • Analizar el incidente para prevenir eventos similares en el futuro.
  • Documentar las acciones tomadas y realizar actualizaciones en los procedimientos.

2.3 Clasificación de Incidentes

No todos los incidentes tienen el mismo nivel de gravedad. Por ello, es importante clasificarlos según su impacto:

• Baja prioridad: Falsos positivos o incidentes sin impacto tangible.
• Media prioridad: Compromisos limitados que no afectan operaciones críticas.
• Alta prioridad: Ataques que comprometen datos sensibles o interrumpen operaciones clave.

Ejemplo

Un intento de acceso fallido repetido puede ser clasificado como de baja prioridad, pero si proviene de múltiples ubicaciones simultáneamente, podría escalar a alta prioridad (ataque de fuerza bruta).

2.4 Indicadores de Compromiso (IoCs)

Los Indicadores de Compromiso son pistas que ayudan a detectar y responder a incidentes. Estos incluyen:

• Archivos maliciosos: Ejemplo: .exe sospechosos.
• Direcciones IP: Conexiones desde ubicaciones conocidas por realizar ataques.
• Dominios sospechosos: Utilizados para phishing o C2 (comando y control).
• Registros anómalos: Accesos inusuales a horas no laborales o desde ubicaciones inesperadas.

2.5 Trabajo de Investigación: "Explorando Incidentes del Mundo Real"

Objetivo:
Investigar un incidente de ciberseguridad reciente y analizar cómo fue gestionado.

Instrucciones:

• Escoge uno de los siguientes incidentes famosos (o investiga uno de tu interés):
  • Ataque de ransomware a Colonial Pipeline (2021).
  • Filtración de datos de Facebook (2021).
  • Violación de SolarWinds (2020).
  • Otro incidente reciente de relevancia.

• Investiga y responde las siguientes preguntas:
  • ¿Qué ocurrió? Describe el incidente de manera general.
  • ¿Cuál fue la causa raíz? Explica qué vulnerabilidad o error permitió el ataque.
  • ¿Qué impacto tuvo? Detalla las consecuencias (económicas, operativas, reputacionales).
  • ¿Cómo fue gestionado? Investiga qué medidas se tomaron para contener y resolver el incidente.

• Entrega tus hallazgos en un resumen de una página o realiza una presentación breve.