Por revistaeyn.com
El número de filtraciones de datos, durante 2024 e investigadas por Verizon, aumentó 20 puntos porcentuales en total de incidentes, con respecto al año anterior.
Una vez que las amenazas se introducen en la red, el tiempo juega en contra y detenerlas antes de que lleguen a provocar daño es cada vez más difícil: según las últimas investigaciones, en 2024 los adversarios fueron un 22 % más rápidos que en el año anterior para progresar desde el acceso inicial hasta el movimiento lateral (también conocido como tiempo de fuga). El tiempo medio de penetración fue de 48 minutos, aunque el ataque más rápido registrado fue casi la mitad: sólo 27 minutos.
“Aunque cada organización (y cada incidente) es diferente, si todos los miembros del equipo de respuesta a incidentes saben exactamente lo que tienen que hacer, y nada queda librado al azar o a inventar sobre la marcha hay más posibilidades de que la resolución sea rápida, satisfactoria y de bajo costo”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Desde ESET aclaran que ninguna organización es 100 % a prueba de brechas y que si se sufre un incidente y sospecha de un acceso no autorizado, se debe trabajar metódicamente y con rapidez.
Para ello, una guía de cómo actuar durante las primeras 24 a 48 horas con rapidez y minuciosidad, sin comprometer la precisión ni las pruebas:
Guía de cómo actuar
1. Recopilar información y comprender el alcance: El primer paso es comprender exactamente qué sucedió, activar el plan de respuesta a incidentes preestablecido y notificarlo al equipo. Este grupo debe incluir a las partes interesadas de toda la empresa, incluidos las áreas de recursos humanos, de relaciones públicas y comunicación, el departamento jurídico y la dirección ejecutiva. Todos ellos tienen un importante papel que desempeñar tras el incidente.
Documentar cada paso y recopilar pruebas, tanto para evaluar el impacto del ataque, como para la etapa de investigación forense e, incluso para futuros procesos legales. Mantener la cadena de custodia garantiza la credibilidad en caso de que deban intervenir las fuerzas de seguridad o los tribunales.
2. Notificar a terceros: Una vez que se haya establecido qué sucedió, es necesario informar a las autoridades pertinentes.
· Reguladores: Si se ha robado información de identificación personal (PII), hay que ponerse en contacto con las autoridades que correspondan en virtud de las leyes de protección de datos o específicas del sector.
· Aseguradoras: La mayoría de las pólizas de seguros estipularán que se informe a su proveedor de seguros tan pronto como se haya producido una violación.
· Clientes, socios y empleados: La transparencia genera confianza y ayuda a evitar la desinformación. Es mejor que se enteren antes de que la información se difunde por redes sociales o medios de comunicación.
· Fuerzas y cuerpos de seguridad: Informar de incidentes, especialmente de ransomware, puede ayudar a identificar campañas más grandes y, a veces, proporcionar herramientas de descifrado o apoyo de inteligencia.
· Expertos externos: También puede ser necesario ponerse en contacto con especialistas legales e informáticos externos.
3. Aislar y contener: Mientras se mantiene el contacto con los terceros pertinentes, se debe trabajar con rapidez para evitar la propagación del ataque. Se recomienda aislar de internet los sistemas afectados sin apagar los dispositivos, para limitar el alcance del atacante sin comprometer posibles pruebas valiosas.
Todas las copias de seguridad deben estar fuera de línea y desconectadas para evitar que sean secuestradas o el ransomware pueda corromperlas.
4. Eliminar y recuperar: Se debe realizar el análisis forense para comprender las tácticas, técnicas y procedimientos (TTP) del atacante, desde la entrada inicial hasta el movimiento lateral y (si procede) el cifrado o la extracción de datos. Y eliminar cualquier malware persistente, backdoors, cuentas fraudulentas y otros signos de peligro. Para recuperar y restaurar es clave eliminar el malware y las cuentas no autorizadas, verificar la integridad de los sistemas y datos críticos, restaurar copias de seguridad limpias (tras confirmar que no están comprometidas) y vigilar de cerca la aparición de indicios de un nuevo compromiso o de mecanismos de persistencia.
5. Revisar y mejorar: Una vez pasado el peligro inmediato, es momento de revisar las obligaciones con los organismos reguladores, los clientes y otras partes interesadas (por ejemplo, socios y proveedores). Es necesario actualizar las comunicaciones una vez que se comprenda el alcance de la infracción, lo que podría incluir una presentación ante los organismos reguladores.
La revisión posterior al incidente puede ser un catalizador para la resiliencia. Una vez que se ha calmado el ambiente, también es buena idea averiguar qué ocurrió y qué lecciones se pueden aprender para evitar que se produzca un incidente similar en el futuro.
