Preparndonos

para futuros
ataques

Resumen de
la solucin:
Implementacin
de la estrategia
de seguridad
adecuada

Mayor enfoque, menos riesgos.

www.emea.symantec.com/cyber-resilience

Resumen de la solucin: implementacin de la estrategia de seguridad adecuada

Introduccin
Los ltimos incidentes de programas
maliciosos han demostrado el coste y
el dao que pueden causar los
ciber-ataques.
Se cree que el gusano Stuxnet ha afectado sustancialmente al procesamiento
nuclear iran y se considera que es la primera arma operativa en el ciberespacio1.
Shamoon puso en peligro e incapacit 30000 estaciones de trabajo de una
organizacin productora de petrleo2. Otro ataque de un programa malicioso
dirigido a una empresa pblica provoc que la empresa declarara una prdida
de 66000000 $ a causa del ataque3.
Estos ataques no siempre obtienen buenos resultados, pero cuando los atacantes
logran acceder a los sistemas de una organizacin, una respuesta rpida y bien
preparada puede minimizar rpidamente los daos y restaurar los sistemas
antes de que se produzcan daos significativos.
Para preparar una respuesta, las organizaciones deben comprender el curso
que pueden tomar los ataques, desarrollar una estrategia de contraataque,
decidir quin llevar a cabo las acciones y, luego, poner en prctica y
perfeccionar el plan.

www.emea.symantec.com/cyber-resilience

Resumen de la solucin: implementacin de la estrategia de seguridad adecuada

Conocer los ataques

Un ataque comienza con un punto de acceso a la organizacin. Puede tratarse
de un sistema no seguro al cual los piratas informticos pueden acceder, un
equipo vulnerable en el cual se ejecutan programas maliciosos o un usuario
que fue engaado para instalar el programa malicioso. El punto de entrada,
luego, se puede utilizar para propagar los ataques en la red, ya sea mediante
la utilizacin de piratera informtica en otros sistemas o de un programa
malicioso que aproveche las vulnerabilidades del sistema sin parches y se
instale en otros sistemas.
Una vez que un sistema est afectado, los atacantes pueden instalar otros
programas maliciosos o controlar el sistema y enviar comandos para ejecutar.
Los atacantes pueden filtrar informacin, como archivos confidenciales o
nombres de usuarios y contraseas almacenados en el sistema.
Emisin de comandos

Atacante

Atacante
Usuario

Entrada

Expansin de ataque

Filtracin de ataque

Proteccin contra ataques

La mayora de los ataques se pueden combatir con la implementacin de
prcticas bsicas de seguridad de la informacin. El Departamento de Defensa
de Australia descubri que la implementacin de cuatro estrategias de
mitigacin era suficiente para prevenir el 85% de los ataques dirigidos4.
El gobierno britnico advirti que la concentracin en diez reas principales
es suficiente para contrarrestar la mayora de las amenazas en el ciberespacio5.
Como mnimo, una organizacin debe garantizar que el trfico de red y los
sistemas se analicen en busca de programas maliciosos y que se conserven
registros de las actividades del sistema y la red para realizar anlisis forenses,
si es necesario. Adems, es vital hacer copias de seguridad regulares para
garantizar la restauracin de los sistemas daados a su estado normal de
funcionamiento.

www.emea.symantec.com/cyber-resilience

Resumen de la solucin: implementacin de la estrategia de seguridad adecuada

Las defensas adecuadas de seguridad de la informacin reducen las

probabilidades de que se produzcan ataques. Sin embargo, detrs de cada
ciber-ataque, hay una organizacin que crea que su defensa era suficiente. Se
producen incidentes graves que se deben planificar con el fin de reducir la
interrupcin de las actividades empresariales, minimizar los daos y disminuir
el tiempo de recuperacin necesario.

Preparacin para los incidentes

Las organizaciones deben esperar que se produzcan ataques sofisticados
contra sus sistemas y, por lo tanto, deben preparase para esta eventualidad.
En realidad, estos ataques son poco frecuentes. Sin embargo, al mantenerse
actualizadas respecto a los ataques y las tcnicas de ataque ms recientes,
las organizaciones pueden verificar si sus sistemas son capaces de detectar
y repeler estas amenazas.
La atencin en el proceso de preparacin garantiza la posibilidad de detectar
los ataques rpidamente tan pronto como presentan. Muchos incidentes
identificados, al analizarlos con ms detalle, pueden resultar falsos positivos.
Otros pueden ser ms leves y no requerir una mayor respuesta. No obstante,
las organizaciones deben asegurarse de capturar y registrar todos los
incidentes a fin de identificar y escalar los ataques que realmente necesitan
atencin. Para hacerlo, es importante determinar el criterio para escalarlos y
el mecanismo mediante el cual los incidentes detectados activarn un plan de
incidentes.
El primer paso del plan de incidentes debe ser una evaluacin de la situacin.
A continuacin, se deben realizar las acciones necesarias para impedir que el
ataque se propague, afecte a ms sistemas y produzca ms daos. Para contener
el ataque, ser necesario mantener aislados a los sistemas infectados. Para
evitar que el ataque se propague internamente, es probable que sea necesario
deshabilitar de forma provisional los sistemas que an no han sido infectados
y reducir el acceso a la red.
Figura 2: Fases de respuesta ante incidentes

Preparacin

Deteccin

Preparacin para los ataques

Respuesta

Recuperacin

Implementacin del plan de respuesta

Revisin
Perfeccionamiento del plan
de respuesta

www.emea.symantec.com/cyber-resilience

R
fu ecu
nc pe
io ra
na ci
m n
ie d
nt e
o
no
rm
al

S
pr iste
ot m
eg as
id
os

A
de tac
te an
ct te
ad
o

E
at ntra
ac d
an a d
te e

Tiempo

Resumen de la solucin: implementacin de la estrategia de seguridad adecuada

Estas acciones pueden ejercer un impacto sobre los usuarios y los servicios
de toda la organizacin. En especial, pueden afectar la manera en que los
usuarios, e incluso el equipo de respuesta, generalmente se comunican. Por
lo tanto, es necesario pensar de qu forma se mantendr la comunicacin
y se informar a los usuarios y ejecutivos sobre el progreso de la resolucin
de incidentes.
Los anlisis forenses no solo deben usarse para corroborar si se han puesto
en peligro datos, sino tambin para evaluar la forma en que los atacantes
penetraron originalmente en los sistemas. Como prioridad, se debe abordar
la vulnerabilidad que se utiliz para obtener acceso a fin de evitar que el
ataque se vuelva a repetir tan pronto se resuelva. Tambin puede ser til
recopilar y preservar la informacin obtenida en los anlisis forenses para
identificar a los responsables del ataque e iniciar acciones legales en su contra.
La fase de recuperacin implica la restauracin de los sistemas al estado
previo a la infeccin. El acceso a las copias de seguridad recientes de los
sistemas afectados puede facilitar en gran medida el proceso, siempre que
no contengan programas maliciosos. Se debe poner especial atencin en
garantizar que los sistemas se restauren a un estado libre de infeccin.
Luego, es necesario revisar cada incidente para identificar qu procedimientos
funcionaron de forma correcta y qu prcticas existentes faltaron. Se debe
aprovechar la oportunidad para aprender del incidente y mejorar los
procedimientos y el nivel de seguridad de la organizacin.

Creacin de un equipo de
respuesta
Todas las organizaciones necesitan contar con un plan de respuesta y, tambin,
con un equipo que lo implemente. Por este motivo, la asistencia de los
ejecutivos senior es un factor clave para lograr el xito. De hecho, cuando
un incidente evoluciona rpidamente, la participacin de un ejecutivo senior
con la autoridad para aprobar las medidas necesarias para contener y resolver
el incidente puede ser crucial a la hora de obtener una ventaja en trminos
de velocidad sobre los atacantes.
Las partes implicadas de los departamentos que puedan resultar afectadas
por un incidente debern formar parte del equipo de respuesta. Sin embargo, el
mayor aporte al equipo lo realizar el personal tcnico, quien implementar
el plan y tendr las habilidades necesarias para reparar los daos.

www.emea.symantec.com/cyber-resilience

Resumen de la solucin: implementacin de la estrategia de seguridad adecuada

Las organizaciones no deben pensar que todas las posiciones dentro del equipo
de respuesta deben ser ocupadas por personal interno. Los conocimientos
externos se deben tener en cuenta para las habilidades especializadas y la
experiencia en incidentes similares que se pueden incorporar al equipo.
La composicin del equipo tambin debe revisarse con frecuencia. Es posible
que los miembros deban estar de turno durante perodos extensos y que
disfruten del beneficio de salir del equipo de incidentes para descansar.
Del mismo modo, algunos ejercicios y pruebas pueden identificar otras
habilidades que se deban incorporar al equipo.

Comprobacin del plan

Los ataques graves son eventos poco frecuentes. Lo ideal sera que el plan
de incidentes y las habilidades del equipo de respuesta no deban ponerse
en prctica nunca. Sin embargo, esto significa un riesgo de por s. La
comprobacin regular del plan de incidentes permite revelar las reas ms
dbiles y evitar que se olviden ciertas habilidades por falta de uso.
Los ejercicios de prueba pueden realizarse en papel, en cuyo caso la respuesta
ante un ataque en evolucin y la resolucin del incidente se representan de
forma terica. O bien, se puede programar la prueba como un ejercicio en
vivo en el cual un equipo de evaluadores de penetraciones simule la manera
en que los atacantes pueden poner en peligro los sistemas.

icar

ua
Act

www.emea.symantec.com/cyber-resilience

ob
ar

nif
la

er
ac

Los ejercicios regulares garantizan que los miembros del equipo se familiaricen
con sus roles y responsabilidades. La prueba de diferentes situaciones de
ataque garantiza que los procedimientos sean lo suficientemente completos
y flexibles para responder ante futuros ataques. Los equipos deben adoptar
el modelo de: planificar, hacer, comprobar y actuar.

pr
Co m

Resumen de la solucin: implementacin de la estrategia de seguridad adecuada

Planificar

Establecer objetivos, polticas y procedimientos para

cumplir los requisitos de la empresa.

Hacer

Implementar estas polticas y estos procedimientos.

Comprobar

Verificar si son efectivamente capaces de lograr los

objetivos en la prctica.

Actuar

Tomar medidas para modificar los planes segn la

experiencia vivida para perfeccionarlos y mejorarlos.

Mayor enfoque, menos riesgos.

www.emea.symantec.com/cyber-resilience

Conclusin
Al comprender cmo se producen
los ataques, implementar los
procedimientos correctos y desarrollar
una estrategia de respuesta clara, las
organizaciones podrn contrarrestar
futuros ataques y recuperarse de los
incidentes con mayor rapidez.

Referencias
1 N. Falliere, L. O. Murchu, E. Chien, W32. Stuxnet Dossier (Expediente
de W32. Stuxnet), libro blanco de Symantec Security Response, febrero
de 2007 S. Davies, Out of Control (Fuera de control), Engineering &
Technology v.6 (6), p. 60-62, julio de 2011
2 D. Walker, Saudi Oil Company Back Online After Cyber Sabotage
Attempt (Empresa petrolera nuevamente online despus de un intento
de sabotaje en el ciberespacio), SC Magazine, 27 de agosto de 2012
3 H. Tsukayama, Cyber Attack on RSA Cost EMC $66 Million (Ciber-ataque
en RSA le cuesta a EMC 66 millones de dlares),
The Washington Post, 26 de julio de 2011
4 Top Four Mitigation Strategies to Protect Your ICT System (Cuatro
estrategias principales de mitigacin para proteger el sistema de ICT),
Departamento de Defensa, Inteligencia y Seguridad del Gobierno de
Australia, p. 1, septiembre de 2011
5 Executive Companion: 10 Steps to Cyber Security (Complemento
ejecutivo: 10 pasos para la seguridad en el ciberespacio), Departamento
de Negocios, Innovacin y Habilidades, Centro para la Proteccin de
la Infraestructura Nacional, Oficina de Seguridad en el Ciberespacio y
Seguridad de la Informacin, p. 1, septiembre de 2012

Mayor enfoque, menos riesgos.

www.emea.symantec.com/cyber-resilience

Material de lectura adicional

Computer Security Incident Handling Guide. Recommendations of the National
Institute of Standards and Technology (Directrices para la gestin de incidentes
relacionados con la seguridad informtica. Recomendaciones del Instituto
Nacional de Estndares y Tecnologa), NIST SP 800-61, rev. 2.
Guide to Malware Incident Prevention and Handling. Recommendations of
the National Institute of Standards and Technology (Gua sobre prevencin
y gestin de incidentes de programas maliciosos. Recomendaciones del Instituto
Nacional de Estndares y Tecnologa), NIST SP 800-83.
BS ISO/IEC 27002:2005, Tecnologa de la Informacin, Tcnicas de seguridad,
Cdigo de prctica para la gestin de la seguridad de la informacin.
BS ISO/IEC 27035:2011, Tecnologa de la Informacin, Tcnicas de seguridad,
Gestin de incidentes para la seguridad de la informacin.
PD ISO/IEC TR 18044:2004, Tecnologa de la Informacin, Tcnicas de seguridad,
Gestin de incidentes para la seguridad de la informacin.
BS ISO/IEC 27031:2011, Tecnologa de la Informacin, Tcnicas de seguridad,
Directrices para determinar la idoneidad de la Tecnologa de la Informacin y
la comunicacin para lograr la continuidad de la actividad empresarial.
Mejores prcticas para la eliminacin de virus en una red,
Base de conocimientos de Symantec
B. Nahorney & E. Maengkom, Containing an Outbreak.
How to clean your network after an incident (Contiene un ataque. Cmo limpiar
la red despus de un incidente), libro blanco de Symantec Security Response.

Symantec EMEA
Sede central
350 Brook Drive
Green Park
Reading
RG2 6UH
Telfono: +44 (0)870 243 1080
Fax: +44 (0)870 243 1081

Symantec es un lder mundial en soluciones

de seguridad, almacenamiento y gestin
de sistemas, que ayudan a los clientes
a proteger y gestionar su informacin e
identidades.
Copyright 2013 Symantec Corporation.
Todos los derechos reservados. Symantec,
el logotipo de Symantec y el logotipo de
la marca de comprobacin son marcas
comerciales o marcas comerciales
registradas en los Estados Unidos y en
otros pases por Symantec Corporation o
sus filiales. Los dems nombres pueden
ser marcas comerciales de sus respectivos
propietarios. 12/12

Symantec Security Response, Security Best Practices (Las mejores prcticas

de seguridad),
Capacitaciones de Symantec, Security Awareness Program (Programa de
concienciacin sobre seguridad)
Resumen de la solucin: Symantec Managed Security Services, Symantec
Security Monitoring Services: Security log management, monitoring, and analysis
by certified experts (Servicios de supervisin de seguridad de Symantec:
gestin, supervisin y anlisis de registros de seguridad por parte de expertos
certificados)
Resumen de la solucin: Symantec Managed Security Services, Symantec
Managed Protection Services: Optimize enterprise security protection while
maintaining control (Servicios administrados de proteccin de Symantec:
cmo optimizar la proteccin de la seguridad de la empresa y, a la vez, mantener
el control)
Para obtener estos y otros recursos,
visite: www.symantec.com/es/es/security_response