{"id":402735,"date":"2025-08-18T11:43:16","date_gmt":"2025-08-18T11:43:16","guid":{"rendered":"https:\/\/pandorafms.com\/?p=402735"},"modified":"2026-03-09T12:22:49","modified_gmt":"2026-03-09T12:22:49","slug":"respuesta-a-incidentes-en-it","status":"publish","type":"post","link":"https:\/\/pandorafms.com\/es\/it-topics\/respuesta-a-incidentes-en-it\/","title":{"rendered":"\u00bfQu\u00e9 es la respuesta a incidentes en ciberseguridad y c\u00f3mo gestionarla en IT?"},"content":{"rendered":"<p>[et_pb_section fb_built=\u00bb1&#8243; admin_label=\u00bbSection\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb custom_margin=\u00bb0px||0px||false|false\u00bb custom_padding=\u00bb0px||0px||false|false\u00bb locked=\u00bboff\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_row column_structure=\u00bb1_4,3_4&#8243; _builder_version=\u00bb4.27.0&#8243; _module_preset=\u00bbdefault\u00bb custom_padding=\u00bb50px||||false|false\u00bb custom_css_main_element=\u00bbz-index:0!important;\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_column type=\u00bb1_4&#8243; disabled_on=\u00bbon|on|off\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb custom_padding=\u00bb||||false|false\u00bb sticky_position=\u00bbtop\u00bb sticky_offset_top=\u00bb100px\u00bb sticky_limit_bottom=\u00bbsection\u00bb motion_trigger_start=\u00bbtop\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text admin_label=\u00bbindice\u00bb _builder_version=\u00bb4.27.4&#8243; _module_preset=\u00bbdefault\u00bb custom_margin=\u00bb||0px||false|false\u00bb custom_padding=\u00bb||14px||false|false\u00bb link_option_url=\u00bb#1&#8243; global_colors_info=\u00bb{}\u00bb]<\/p>\n<p style=\"font-size: 0.9em; line-height: 1.4em; color: #333333;\"><strong>Secciones<\/strong><\/p>\n<ul class=\"ittopicsul\">\n<li><a href=\"#1\">\u00bfQu\u00e9 es la respuesta a incidentes de seguridad?<\/a><\/li>\n<li><a href=\"#2\">Elementos clave de un plan de respuesta a incidentes<\/a><\/li>\n<li><a href=\"#3\">Fases del proceso: Del incidente a la recuperaci\u00f3n<\/a><\/li>\n<li><a href=\"#4\">Equipos de respuesta a incidentes: CSIRT, CERT y SOC<\/a><\/li>\n<li><a href=\"#5\">Herramientas tecnol\u00f3gicas imprescindibles<\/a><\/li>\n<li><a href=\"#6\">Casos pr\u00e1cticos de respuesta a incidentes<\/a><\/li>\n<li><a href=\"#7\">C\u00f3mo optimiza Pandora SIEM la respuesta a incidentes<\/a>\n<li><a href=\"#8\">Buenas pr\u00e1cticas y errores comunes en la gesti\u00f3n de incidentes<\/a>\n<\/li>\n<\/ul>\n<p>[\/et_pb_text][\/et_pb_column][et_pb_column type=\u00bb3_4&#8243; _builder_version=\u00bb4.27.0&#8243; _module_preset=\u00bbdefault\u00bb custom_css_main_element=\u00bbz-index:0!important;\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text admin_label=\u00bbseccion\u00bb module_id=\u00bb1&#8243; module_class=\u00bbittopicscontent\u00bb _builder_version=\u00bb4.27.4&#8243; _module_preset=\u00bbdefault\u00bb z_index=\u00bb0&#8243; custom_margin=\u00bb0px||0px||true|false\u00bb custom_padding=\u00bb0px||0px||false|false\u00bb custom_css_main_element=\u00bbfont-family:%22Pandora-Light%22;\u00bb locked=\u00bboff\u00bb global_colors_info=\u00bb{}\u00bb]No me gusta, pero voy a empezar con un t\u00f3pico, porque tiene toda la raz\u00f3n: Con los incidentes de ciberseguridad, la pregunta no es si se producir\u00e1n, <strong>sino cu\u00e1ndo<\/Strong>. Y ante lo inevitable en la vida, solo podemos hacer dos cosas: prepararnos lo mejor posible y <strong>responder lo mejor posible cuando suceda<\/Strong>. Hoy, trataremos a fondo lo segundo.<br \/>\nLa IA generativa est\u00e1 aumentando todav\u00eda m\u00e1s los ataques de phishing, los hackers emplean m\u00e9todos cada vez m\u00e1s sofisticados y los actores maliciosos se multiplican, incluyendo los estatales en un ambiente de tensi\u00f3n. Dicho de otra manera, hoy d\u00eda, los responsables de ciberseguridad son un pu\u00f1ado de marines coloniales rodeados de aliens.<br \/>\nY no paran de venir m\u00e1s.<br \/>\nPor eso, la delgada l\u00ednea que separa una crisis catastr\u00f3fica de un da\u00f1o controlado durante un incidente <Strong>est\u00e1 hecha de nuestro proceso met\u00f3dico de respuesta<\/Strong>.<\/p>\n<h2 id=\"1\">\u00bfQu\u00e9 es la respuesta a incidentes de seguridad?<\/h2>\n<p>Un proceso met\u00f3dico es la clave, porque correr como pollos sin cabeza apagando fuegos a salto de mata nunca funciona ante incidentes, ya que:<\/p>\n<ul class=\"lista\">\n<li>Los actores maliciosos aprovechar\u00e1n cualquier descuido en la resoluci\u00f3n para seguir haciendo da\u00f1o.<\/li>\n<li>La <strong>legislaci\u00f3n de ciberseguridad<\/strong> caer\u00e1 sobre nosotros con <strong>multas cuantiosas<\/strong> (que se unir\u00e1n a las p\u00e9rdidas del ataque en s\u00ed) si nuestra respuesta es deficiente.<\/li>\n<\/ul>\n<p>Por eso, una gesti\u00f3n de incidentes de ciberseguridad es un <strong>proceso sistem\u00e1tico para detectar, contener y erradicar amenazas<\/strong> que comprometen la confidencialidad, integridad o disponibilidad de activos digitales.<br \/>\nEsta respuesta la realizaremos:<\/p>\n<ul class=\"lista\">\n<li>Integrando equipos especializados (<a href=\"https:\/\/pandorafms.com\/es\/it-topics\/que-es-security-operations-center-soc\/\" target=\"_blank\" rel=\"noopener\">SOC<\/a>, CSIRT&#8230;).<\/li>\n<li>Tecnolog\u00edas y herramientas clave (<a href=\"https:\/\/pandorafms.com\/es\/it-topics\/siem\/\" target=\"_blank\" rel=\"noopener\">SIEM<\/A>, <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/que-es-soar\/\" target=\"_blank\" rel=\"noopener\">SOAR<\/A>, <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/que-es-ids-sistema-deteccion-de-intrusos\/\" target=\"_blank\" rel=\"noopener\">IDS<\/A>&#8230;).<\/li>\n<li>Las mejores pr\u00e1cticas, basadas en est\u00e1ndares como <a href=\"https:\/\/nvlpubs.nist.gov\/nistpubs\/specialpublications\/nist.sp.800-61r2.pdf\" target=\"_blank\" rel=\"noopener\">NIST SP 800-61r2<\/A> o la <a href=\"https:\/\/www.iso.org\/standard\/78973.html\" target=\"_blank\" rel=\"noopener\">ISO\/IEC 27035<\/A>.<\/li>\n<\/ul>\n<p>Con eso, trataremos de conseguir los objetivos de una buena gesti\u00f3n de incidentes de seguridad:<\/p>\n<ul class=\"lista\">\n<li><strong>Minimizar da\u00f1os<\/strong> operativos y reputacionales<\/li>\n<li><strong>Acortar el tiempo<\/strong> de detecci\u00f3n y contenci\u00f3n (MTTD\/MTTR)<\/li>\n<li><strong>Cumplir requisitos<\/strong> legales (GDPR, NIS2&#8230;)<\/li>\n<li>Que esos incidentes sirvan <strong>para fortalecernos<\/strong> ante futuras amenazas.<\/li>\n<\/ul>\n<h2 id=\"2\">Elementos clave de un plan de respuesta a incidentes<\/h2>\n<p>Antes de ver los pasos de la receta, debemos tener claros y preparados los ingredientes necesarios. Por eso, he aqu\u00ed los elementos clave de un plan de respuesta a incidentes.<\/p>\n<table class=\"PandoTable\">\n<tbody>\n<tr>\n<td>\n<p><strong>Componente<\/strong><\/p>\n<\/td>\n<td>\n<p><strong>Descripci&oacute;n<\/strong><\/p>\n<\/td>\n<td>\n<p><strong>Ejemplo<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p><strong>Roles definidos<\/strong><\/p>\n<\/td>\n<td>\n<p>Responsabilidades claras durante incidentes.<\/p>\n<\/td>\n<td>\n<p>L&iacute;der de respuesta a incidentes, <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/que-es-informatica-forense\/\">forense<\/a>, encargado de comunicaciones, etc.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p><strong>Playbooks t&eacute;cnicos<\/strong><\/p>\n<\/td>\n<td>\n<p>Procedimientos para tipos espec&iacute;ficos de incidentes.<\/p>\n<\/td>\n<td>\n<p>Playbook para ransomware con pasos de contenci&oacute;n.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p><strong>Matriz de comunicaci&oacute;n<\/strong><\/p>\n<\/td>\n<td>\n<p>Protocolos para notificar a stakeholders.<\/p>\n<\/td>\n<td>\n<p>Alertar a la Agencia de Protecci&oacute;n de Datos en &lt;72h si hay fuga de datos personales.<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p><strong>Inventario de activos<\/strong><\/p>\n<\/td>\n<td>\n<p>Mapeo de sistemas cr&iacute;ticos y sus dependencias para conocer el territorio como la palma de la mano.<\/p>\n<\/td>\n<td>\n<p>Disponer de una excelente CMDB como la integrada en Pandora SIEM.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 id=\"3\">Fases del proceso: Del incidente a la recuperaci\u00f3n<\/h2>\n<p>Reinventar la rueda no tiene sentido cuando podemos poner a nuestro coche unas con eficacia probada. Por eso, <strong>vamos a ver paso a paso c\u00f3mo gestionar un incidente de seguridad<\/strong>. Por practicidad y claridad, la estructura de pasos que usar\u00e9 estar\u00e1 alineada con las mejores pr\u00e1cticas de la NIST SP 800-61r2.<br \/>\nEn realidad, toda buena gesti\u00f3n de incidentes seguir\u00e1 las fases que vamos a ver. Puede que algunas est\u00e9n m\u00e1s agrupadas en menos etapas, como en la ISO 27035, o incluso m\u00e1s desglosadas, pero el tren de toda respuesta adecuada a un <a href=\"https:\/\/nvlpubs.nist.gov\/nistpubs\/SpecialPublications\/NIST.SP.800-61r2.pdf\" target=\"_blank\" rel=\"noopener nofollow\">incidente de ciberseguridad<\/A> pasa por las siguientes estaciones.<\/p>\n<h3>Fase 1: Preparaci\u00f3n<\/h3>\n<p>Quien practica deportes de contacto suele escuchar el proverbio: Hard training, easy fight. Aunque no lo parezca, la ciberseguridad tambi\u00e9n es una pelea full contact y se aplica lo mismo. Cuanto m\u00e1s nos preparemos antes del incidente, m\u00e1s sencilla y r\u00e1pida ser\u00e1 la respuesta.<br \/>\nEl objetivo de esta fase es construir una fortaleza lo m\u00e1s inexpugnable posible con los defensores m\u00e1s temibles en las murallas. O dicho en corporativo cuando tengas que vender el plan de respuesta a incidentes al consejo de administraci\u00f3n: <strong>Construir resiliencia proactiva<\/strong>.<br \/>\nAlgunas <strong>acciones cr\u00edticas en esta fase<\/strong> son:<\/p>\n<ul class=\"lista\">\n<li>Hardening de sistemas (parcheo, configuraci\u00f3n segura&#8230;)<\/li>\n<li>Simulacros y\/o tabletop exercises para equipos, o pr\u00e1cticas de Equipo Rojo \/ pentesting.<\/li>\n<li>Instalaci\u00f3n y configuraci\u00f3n personalizada del SIEM&#8230;<\/li>\n<\/ul>\n<h3>Fase 2: Identificaci\u00f3n<\/h3>\n<p>No todo el humo es fuego en ciberseguridad, o al menos no todo requiere sacar el cami\u00f3n pesado y las sirenas, por eso <strong>el objetivo principal es validar y clasificar eventos sospechosos<\/strong>.<br \/>\nAqu\u00ed es donde brilla una herramienta SIEM como Pandora SIEM, haci\u00e9ndonos la vida f\u00e1cil.<br \/>\nHoy d\u00eda, las t\u00e9cnicas m\u00e1s habituales en esta fase son:<\/p>\n<ul class=\"lista\">\n<li>La correlaci\u00f3n de eventos en SIEM.<\/li>\n<li>An\u00e1lisis de IOC (Indicadores de Compromiso) y comportamientos con un EDR. Esto va m\u00e1s all\u00e1 de la identificaci\u00f3n de antivirus tradicionales, basados en firmas o una heur\u00edstica demasiado tosca para un entorno profesional.<\/li>\n<\/ul>\n<p>Lo ideal es un trabajo conjunto de SIEM m\u00e1s EDR. Un ejemplo pr\u00e1ctico de esto es Pandora SIEM detectando conexiones an\u00f3malas a IPs de C2 (Command &#038; Control) gracias a que correlaciona logs de firewall y endpoints (v\u00eda EDR o bien agente propio instalado).<\/p>\n<h3>Fase 3: Contenci\u00f3n<\/h3>\n<p>Ha sucedido, los dos pasos anteriores no han podido mitigar a tiempo la amenaza y tenemos ratas en las paredes (una referencia literaria demasiado geek quiz\u00e1).<br \/>\nEn esta fase, <strong>el objetivo es limitar la propagaci\u00f3n<\/Strong>.<br \/>\nPara ello, normalmente emplearemos primero estrategias de corto plazo como quien hace un torniquete en la batalla y, por ejemplo, aislaremos segmentos de red, equipos, etc. Luego implementamos acciones m\u00e1s globales, como resetear credenciales comprometidas.<br \/>\nEn la contenci\u00f3n r\u00e1pida a corto plazo, <strong>la automatizaci\u00f3n puede ayudar <\/strong>y aqu\u00ed es donde brilla el SOAR ejecutando playbooks.<br \/>\nUn ejemplo de playbook ante el ejemplo de conexi\u00f3n an\u00f3mala que he puesto en la fase anterior podr\u00eda ser:<\/p>\n<ul class=\"lista\">\n<li>Bloquear la IP maliciosa en el firewall.<\/li>\n<li>Aislar el endpoint infectado v\u00eda integraci\u00f3n con el EDR.<\/li>\n<li>Crear un ticket en Pandora ITSM para el equipo forense.<\/li>\n<\/ul>\n<h3>Fase 4: Erradicaci\u00f3n<\/h3>\n<p>Hora de eliminar esas ratas y, especialmente, cualquier otra sorpresa como APTs (Advanced Persistent Threat) que permita a los atacantes mantener acceso residual tras la gesti\u00f3n del incidente. Por ejemplo, un rootkit de UEFI puede resistir una reinstalaci\u00f3n del sistema operativo.<br \/>\nLa cuesti\u00f3n aqu\u00ed no es eliminar s\u00edntomas, sino <strong>causas ra\u00edz <\/strong>con acciones como:<\/p>\n<ul class=\"lista\">\n<li>Erradicaci\u00f3n de <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/que-es-malware-como-prevenirlo\/\" target=\"_blank\" rel=\"noopener\">malware<\/A>.<\/li>\n<li>Parcheado de <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/que-es-cve\/\" target=\"_blank\" rel=\"noopener\">vulnerabilidades<\/A> explotadas (ej: CVE-2023-34362).<\/li>\n<\/ul>\n<p>La cuesti\u00f3n clave en esta fase es que la buena erradicaci\u00f3n no solo requiere lanzallamas, sino una <strong>comprensi\u00f3n completa<\/Strong> de lo que ha ocurrido.<br \/>\nSi no sabemos c\u00f3mo consigui\u00f3 penetrar nuestra muralla el actor malicioso, o no ubicamos ese rootkit en la BIOS, ser\u00e1 como matar cucarachas sin encontrar el nido. Al d\u00eda siguiente, fiesta otra vez en cuanto demos la luz de la cocina.<\/p>\n<h3>Fase 5: Recuperaci\u00f3n<\/h3>\n<p>En esta fase, el objetivo no es solamente recuperar la actividad y que la vida siga igual, como dice la canci\u00f3n. La clave es restablecer el servicio con <strong>controles reforzados<\/Strong>.<br \/>\nEs decir, que nos volvemos m\u00e1s fuertes y seguros. Pr\u00e1cticas clave en esta fase son, por ejemplo:<\/p>\n<ul class=\"lista\">\n<li>Restauraci\u00f3n desde backups inmutables.<\/li>\n<li>Monitoreo post-recuperaci\u00f3n para detectar actividad residual (como esos posibles APTs y actividades sospechosas).<\/li>\n<\/ul>\n<h3>Fase 6: Revisi\u00f3n post-mortem<\/h3>\n<p>Como el objetivo es que la adversidad nos haga m\u00e1s fuertes, la clave aqu\u00ed es aprender <strong>qu\u00e9 ocurri\u00f3<\/strong> exactamente, <strong>por qu\u00e9 ocurri\u00f3<\/strong> y <strong>qu\u00e9 medidas hemos puesto para que no suceda de nuevo<\/strong>.<br \/>\nEn esta fase, el entregable pr\u00e1ctico podr\u00eda consistir en:<\/p>\n<ul class=\"lista\">\n<li>Un informe con el timeline del incidente y las t\u00e9cnicas <a href=\"https:\/\/attack.mitre.org\/\" target=\"_blank\" rel=\"noopener nofollow\">ATT&#038;CK<\/A> identificadas que se han usado contra nosotros.<\/li>\n<li>Una actualizaci\u00f3n de playbooks y reglas de detecci\u00f3n que muestren que de verdad hemos cambiado.<\/li>\n<\/ul>\n<h2 id=\"4\">Equipos de respuesta a incidentes: CSIRT, CERT y SOC<\/h2>\n<p>A la hora de afrontar un incidente, los equipos humanos depender\u00e1n de la organizaci\u00f3n de la entidad y sus recursos.<br \/>\nNormalmente, si la organizaci\u00f3n posee cierto tama\u00f1o, habr\u00e1 un SOC (Security Operations Center) que se encarga de la vigilancia diaria y las tareas preventivas.<br \/>\nCuanto m\u00e1s efectiva sea su labor, menos probabilidades de incidentes.<br \/>\nLuego, est\u00e1n el CSIRT (Computer Security Incident Response Team) y\/o el CERT (Computer Emergency Response Team). \u00bfEn qu\u00e9 se diferencian? En la pr\u00e1ctica en m\u00e1s bien poco, la verdad, pero en ciberseguridad las abreviaturas gustan mucho y CERT es un t\u00e9rmino registrado de la Universis Carnegie Mellon. En general, se refiere a <strong>equipos especializados en respuesta a incidentes<\/Strong>, que conocen lo que estamos viendo como la palma de su mano.<br \/>\nMuchas veces, una organizaci\u00f3n no dispondr\u00e1 de CSIRT\/CERT. En ese caso, empresas especializadas en ciberseguridad disponen de equipos de respuesta que puedes contratar para gestionar dicho incidente si tienes al equipo interno sobrepasado.<br \/>\nEsta tabla resume sus atribuciones.<\/p>\n<table class=\"PandoTable\">\n<tbody>\n<tr>\n<td>\n<p><strong>Equipo<\/strong><\/p>\n<\/td>\n<td>\n<p><strong>Funci&oacute;n principal<\/strong><\/p>\n<\/td>\n<td>\n<p><strong>Diferenciadores clave<\/strong><\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p><strong>SOC<\/strong> (Security Operations Center)<\/p>\n<\/td>\n<td>\n<p><a href=\"https:\/\/pandorafms.com\/es\/monitorizacion-de-seguridad\/\">Monitorizaci&oacute;n<\/a> proactiva 24\/7<\/p>\n<\/td>\n<td>\n<p>Foco en detecci&oacute;n temprana y respuesta operativa<\/p>\n<\/td>\n<\/tr>\n<tr>\n<td>\n<p><strong>CSIRT\/CERT<\/strong><\/p>\n<\/td>\n<td>\n<p>Manejo de incidentes cr&iacute;ticos<\/p>\n<\/td>\n<td>\n<p>Especializaci&oacute;n en an&aacute;lisis forense y coordinaci&oacute;n de crisis<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 id=\"5\">Herramientas tecnol\u00f3gicas imprescindibles<\/h2>\n<p>Buena suerte acudiendo con una espada de madera a un bombardeo orbital, en el que los actores maliciosos parecen disponer de torpedos de fotones ilimitados.<br \/>\nLa realidad es que la ciberseguridad se ha vuelto tan compleja e imposible de abarcar, que <strong>no gestionaremos bien un incidente sin herramientas especializadas que ayuden a detectar, mitigar, analizar<\/strong> y, en general, levantar un peso que es casi imposible gestionar de forma artesanal.<br \/>\nEntre esas herramientas de respuesta a incidentes, cabe destacar:<\/p>\n<h3>SIEM (Security Information Event Management)<\/h3>\n<p>Una aplicaci\u00f3n que act\u00faa como Ojo de Sauron que todo lo ve en nuestra infraestructura IT. O al menos, todo lo que le conectemos, normalmente mediante agentes que, instalados en dispositivos de todo tipo, env\u00edan informaci\u00f3n de su actividad.<br \/>\nSu poder se basa en la <strong>correlaci\u00f3n centralizada de esos registros<\/Strong>.<br \/>\nLos <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/siem\/\" target=\"_blank\" rel=\"noopener\">SIEM<\/A> m\u00e1s avanzados, como Pandora SIEM, tambi\u00e9n utilizan inteligencia artificial para la detecci\u00f3n avanzada de patrones complejos de ataque, que cada d\u00eda son m\u00e1s sofisticados esquivando sistemas de detecci\u00f3n.<br \/>\nSu fortaleza est\u00e1 en esa capacidad de an\u00e1lisis instant\u00e1neo y extensivo, junto con la<strong> personalizaci\u00f3n de alertas ante posibles incidentes<\/strong>, aumentando las probabilidades de detenerlos en la muralla antes de que hagan brecha.<\/p>\n<h3>SOAR (Security Orchestration, Automation Response)<\/h3>\n<p>Si la fortaleza del SIEM es su capacidad de an\u00e1lisis, la del SOAR es la de <strong>desplegar acciones automatizadas<\/strong> basadas en dicho an\u00e1lisis.<br \/>\nEsto aporta una enorme ventaja en la gesti\u00f3n de incidentes a muy corto plazo, deteniendo el incendio cuando todav\u00eda es chispa y no llama.<br \/>\nEsta actividad la realiza mediante la ejecuci\u00f3n de playbooks automatizados.<br \/>\nPor ejemplo, un playbook de respuesta a phishing podr\u00eda ser:<\/p>\n<ul class=\"lista\">\n<li>Aislar al usuario comprometido de dedo inquieto que pincha en todo lo que ve.<\/li>\n<li>Eliminar emails maliciosos de los buzones.<\/li>\n<li>Enviar una alerta al SOC para que investigue.<\/li>\n<\/ul>\n<p>Como vemos, <strong>SIEM y SOAR pueden colaborar para una gesti\u00f3n de incidentes \u00f3ptima<\/strong> y, hoy d\u00eda, las fronteras entre estas aplicaciones se diluyen. As\u00ed, un SIEM puede tener prestaciones de automatizaci\u00f3n de respuestas y un SOAR ciertas caracter\u00edsticas de SIEM, seg\u00fan sea la herramienta.<\/p>\n<h3>EDR\/XDR (Endpoint Detection Response \/ Extended Detection Response)<\/h3>\n<p>Este software se instala en los <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/que-es-un-endpoint\/\" target=\"_blank\" rel=\"noopener\">endpoints<\/A> y los <a href=\"https:\/\/pandorafms.com\/es\/seguridad\/monitorizacion-segura\/\" target=\"_blank\" rel=\"noopener\">monitoriza<\/a>. Al igual que los antivirus tradicionales, puede realizar diversas acciones ante amenazas, pero estamos hablando de <strong>una evoluci\u00f3n mucho m\u00e1s sofisticada que consultar un archivo de firmas<\/Strong>.<br \/>\nAs\u00ed, conectado a un SIEM, este puede analizar lo que le llega y, si tiene capacidad de respuesta, ordenar al EDR que act\u00fae.<br \/>\nUn ejemplo de acci\u00f3n del EDR en un incidente de ransomware ser\u00eda poner en cuarentena el equipo afectado, mitigando la amenaza y ahorr\u00e1ndonos mucho trabajo.<br \/>\nOtras herramientas \u00fatiles, seg\u00fan la organizaci\u00f3n y la infraestructura IT, podr\u00edan ser:<\/p>\n<ul class=\"lista\">\n<li><strong>UEBA<\/Strong> (User and Entity Behavior Analytics): capaz de ir m\u00e1s all\u00e1 del an\u00e1lisis cl\u00e1sico de virus y malware, detectando <strong>comportamientos sospechosos<\/strong> en usuarios o equipos.<\/li>\n<li><strong>IDS\/IPS<\/Strong> (Intrusion Detection\/Protection System): que se usan en detecci\u00f3n y bloqueo de <a href=\"https:\/\/pandorafms.com\/blog\/es\/seguridad-de-redes\/\" target=\"_blank\" rel=\"noopener\">tr\u00e1fico malicioso en red<\/A>.<\/li>\n<\/ul>\n<h2 id=\"6\">Casos pr\u00e1cticos de respuesta a incidentes<\/h2>\n<p>Cada incidente y organizaci\u00f3n son un mundo, sin embargo, he aqu\u00ed algunos ejemplos de incidentes de seguridad y su ciclo de vida a vista de p\u00e1jaro.<\/p>\n<h3>Caso 1: Ataque de ransomware<\/h3>\n<p>El cl\u00e1sico que nunca dejar\u00e1 de fastidiar. Alguien pincha donde no debe y comienza la fiesta. Este ser\u00eda el proceso b\u00e1sico de gesti\u00f3n de incidentes.<\/p>\n<ul class=\"lista\">\n<li><strong>Identificaci\u00f3n:<\/strong> El EDR del equipo infectado alerta sobre cifrado masivo de ficheros. Salta la alarma.<\/li>\n<li><strong>Contenci\u00f3n:<\/strong> La organizaci\u00f3n tiene SOAR y este a\u00edsla endpoints afectados en menos de 5 minutos. El SOC investiga.<\/li>\n<li><strong>Erradicaci\u00f3n:<\/strong> Se procede a la eliminaci\u00f3n de malware y, si el origen era un phishing se env\u00eda al usuario a los campos de reeducaci\u00f3n, advirtiendo tambi\u00e9n al resto. Se restauran los backups limpios que estaban a salvo.<\/li>\n<li><strong>Lecci\u00f3n aprendida:<\/strong> Quiz\u00e1 la organizaci\u00f3n necesitaba una mejor segmentaci\u00f3n de red, porque se extendi\u00f3 demasiado donde no deb\u00eda.<\/li>\n<\/ul>\n<h3>Caso 2: Fuga de datos por amenaza interna<\/h3>\n<p>En esta ocasi\u00f3n, tenemos al enemigo en casa, un empleado descontento por esos campos de reeducaci\u00f3n en ciberseguridad decide tomarse la justicia por su mano.<\/p>\n<ul class=\"lista\">\n<li><strong>Identificaci\u00f3n:<\/strong> Pandora SIEM detecta descargas an\u00f3malas por el usuario desde el log del EDR.<\/li>\n<li><strong>Contenci\u00f3n:<\/strong> Salta la alerta y se conecta con el EDR para bloquear el equipo. Pandora SIEM env\u00eda la alarma al SOC y abre ticket en ITSM.<\/li>\n<li><strong>Recuperaci\u00f3n:<\/strong> Pandora SIEM permite ver la l\u00ednea de tiempo con logs de acceso, por si el usuario ha intentado algo similar de maneras m\u00e1s discretas anteriormente. Se investiga la posible brecha de datos y se toman medidas contra el usuario.<\/li>\n<li><strong>Mejora tras post-mortem:<\/strong> Se decide implementar un DLP (Data Loss Prevention) m\u00e1s estricto.<\/li>\n<\/ul>\n<h3>Caso 3: Ataque DDoS<\/h3>\n<p>Un incidente de <a href=\"https:\/\/pandorafms.com\/es\/it-topics\/ataque-ddos-seguridad\/\" target=\"_blank\" rel=\"noopener\">denegaci\u00f3n de servicio<\/A> es otro cl\u00e1sico intemporal, que afecta a webs, servicios, etc.<\/p>\n<ul class=\"lista\">\n<li><strong>Identificaci\u00f3n:<\/strong> El IDS detecta un pico de tr\u00e1fico UDP en la red.<\/li>\n<li><strong>Contenci\u00f3n:<\/strong> Se redirige el tr\u00e1fico a un Scrubbing Center que, por suerte, el becario geek decidi\u00f3 montar como proyecto personal mientras el resto se re\u00eda.<\/li>\n<li><strong>Mejora post-mortem:<\/strong> Faltaba un plan claro, de modo que se asciende al becario y se habla con Cloudflare, por ejemplo, para contratar medidas anti DDoS.<\/li>\n<\/ul>\n<p>Como vemos, <strong>las fases de gesti\u00f3n de incidentes no est\u00e1n escritas en piedra y son un marco gu\u00eda adaptable<\/Strong>.<br \/>\nEn una DDoS o exfiltraci\u00f3n de datos interna, la parte de erradicaci\u00f3n en s\u00ed no aplicar\u00eda (a menos que la organizaci\u00f3n sea la banda de Tony Soprano y lo que se erradique sea el usuario).<\/p>\n<h2 id=\"7\">C\u00f3mo optimiza Pandora SIEM la respuesta a incidentes<\/h2>\n<p>Nos encantar\u00eda decirte que Pandora SIEM conseguir\u00e1 que no tengas que aprenderte todo esto, porque te proteger\u00e1 al 100% de incidentes. Pero <strong>nadie puede prometer eso<\/strong>. De hecho, si alguien lo hace, corre (en direcci\u00f3n contraria a quien lo diga, claro).<br \/>\nLo que s\u00ed es cierto es que Pandora SIEM:\n<ull class=\"lista\">\n<li><strong>Minimizar\u00e1 las probabilidades<\/strong> de que ocurra el incidente todo lo posible.<\/li>\n<li><strong>Reducir\u00e1 el tiempo<\/strong> necesario para la resoluci\u00f3n del incidente de seguridad.<\/li>\n<\/ul>\n<p>\u00bfC\u00f3mo? De 3 formas principales.<\/p>\n<h3>1. Correlaci\u00f3n avanzada<\/h3>\n<p>La gran clave es su correlaci\u00f3n avanzada de eventos que por separado no parecen nada, pero juntos presagian el desastre.<br \/>\nAs\u00ed, tiene <strong>reglas personalizadas para detectar patrones complejos de ataque<\/Strong>, al aglutinar toda la informaci\u00f3n y tener un Palantir en nuestra infraestructura que nos diga si se nos est\u00e1n colando por detr\u00e1s hobbits con un anillo peligroso.<\/p>\n<h3>2. Gesti\u00f3n unificada del incidente<\/h3>\n<p>Integrado de manera nativa con Pandora ITSM, Pandora SIEM permite <strong>gestionar todo el ciclo de vida del incidente<\/Strong> desde una \u00fanica plataforma. Eso incluye:<\/p>\n<ul class=\"lista\">\n<li>Sistema de tickets personalizable para trazar acciones, estado y responsables.<\/li>\n<li>La CMDB integrada para conocer cada activo, su estado, qu\u00e9 pas\u00f3 en cada uno&#8230;<\/li>\n<li>Gesti\u00f3n de cambios realizados.<\/li>\n<li>Control de los SLA para la posible afectaci\u00f3n de los niveles de servicio por el incidente.<\/li>\n<li>Capacidad de emprender acciones automatizadas en conexi\u00f3n con un SOAR y mucho m\u00e1s.<\/li>\n<\/ul>\n<h3>3. Toda la informaci\u00f3n post-mortem de un vistazo y c\u00f3modamente<\/h3>\n<p>Ante un incidente, <strong>hay que rendir cuentas<\/strong>. Y en algunos casos, no solo ante responsables o clientes. Una brecha de informaci\u00f3n puede precisar una comunicaci\u00f3n con la Agencia de Protecci\u00f3n de Datos, o bien afrontar una auditor\u00eda si somos una organizaci\u00f3n de importancia estrat\u00e9gica.<br \/>\nPandora facilita todo lo posible ese trago permitiendo extraer toda la informaci\u00f3n necesaria, adem\u00e1s de que esa misma consolidaci\u00f3n permite reconstruir el incidente de forma clara.<br \/>\nEso otorga la clave principal que no me cansar\u00e9 de repetir: <strong>El conocimiento profundo de lo sucedido<\/Strong>.<\/p>\n<h2 id=\"8\">Buenas pr\u00e1cticas y errores comunes en la gesti\u00f3n de incidentes<\/h2>\n<p>Nos acercamos al final del camino y no est\u00e1 de m\u00e1s dejar claros algunos errores y buenas pr\u00e1cticas en incidentes de seguridad.<br \/>\nEn cuanto a errores, en Pandora hemos visto patrones demasiado comunes como:<\/p>\n<ul class=\"lista\">\n<li><strong>Silos tecnol\u00f3gicos aislados<\/strong> entre SIEM, EDR, ITSM&#8230; Esa fragmentaci\u00f3n nos hace ciegos a ataques complejos y dificulta una detecci\u00f3n y su resoluci\u00f3n.<\/li>\n<li><strong>Ignorar la revisi\u00f3n post-mortem y las mejoras<\/strong>. Porque todos sabemos c\u00f3mo son las reuniones, que se asiente, se est\u00e1 muy de acuerdo y luego viene esa extra\u00f1a amnesia que hace que todo siga igual.<\/li>\n<\/ul>\n<p>Y en cuanto a buenas pr\u00e1cticas, adem\u00e1s de hacer lo contrario a esos errores, es recomendable:<\/p>\n<ul class=\"lista\">\n<li>Realizar<strong> simulacros trimestrales<\/strong> de incidentes.<\/li>\n<li>Implementar <strong>automatizaci\u00f3n para respuestas b\u00e1sicas<\/strong>.<\/li>\n<li>Mantener<strong> backups inmutables y offline<\/strong>.<\/li>\n<\/ul>\n<p>La realidad a la que nos enfrentamos es que tarde o temprano habr\u00e1 un incidente. Citar\u00eda escalofriantes estad\u00edsticas sobre la prevalencia actual, pero las estad\u00edsticas no persuaden y, por otro lado, estoy convencido de que se quedan cortas. Al fin y al cabo, el mejor hacker es el que no detectas y he conocido algunos que parecen magos.<br \/>\nPor eso, la clave de la gesti\u00f3n de incidentes es recordar aquella horrible, pero cierta, frase corporativa: <strong>Resiliencia proactiva<\/strong>.<br \/>\nEs decir, blindarnos lo que podamos y no bajar la guardia, aprendiendo y aplicando constantemente nuevas t\u00e9cnicas y herramientas. Al fin y al cabo, es lo que est\u00e1n haciendo los actores maliciosos, ellos son la demostraci\u00f3n de que la mejora continua no es un mito.[\/et_pb_text][et_pb_button button_url=\u00bb@ET-DC@eyJkeW5hbWljIjp0cnVlLCJjb250ZW50IjoicG9zdF9saW5rX3VybF9wYWdlIiwic2V0dGluZ3MiOnsicG9zdF9pZCI6IjM2MjI3MCJ9fQ==@\u00bb button_text=\u00bb\u2190 Regresar a IT Topics\u00bb button_alignment=\u00bbleft\u00bb _builder_version=\u00bb4.22.0&#8243; _dynamic_attributes=\u00bbbutton_url\u00bb _module_preset=\u00bbdefault\u00bb custom_button=\u00bbon\u00bb button_text_size=\u00bb1em\u00bb button_text_color=\u00bb#0C312F\u00bb button_bg_color=\u00bb#FFFFFF\u00bb button_bg_color_gradient_direction=\u00bb90deg\u00bb button_bg_color_gradient_stops=\u00bb#82B92E 0%|#3CB92E 100%\u00bb button_bg_color_gradient_start=\u00bb#82B92E\u00bb button_bg_color_gradient_end=\u00bb#3CB92E\u00bb button_border_width=\u00bb1px\u00bb button_border_color=\u00bb#eaeaea\u00bb button_border_radius=\u00bb100px\u00bb button_use_icon=\u00bboff\u00bb z_index=\u00bb0&#8243; custom_margin=\u00bb60px||0px||false|false\u00bb custom_padding=\u00bb10px|50px|10px|50px|true|true\u00bb custom_padding_tablet=\u00bb\u00bb custom_padding_phone=\u00bb10px|20px|10px|20px|true|true\u00bb custom_padding_last_edited=\u00bbon|phone\u00bb custom_css_main_element=\u00bbright:0!important;||font-family:%22Pandora-Bold%22!important;\u00bb global_module=\u00bb367749&#8243; locked=\u00bboff\u00bb global_colors_info=\u00bb{}\u00bb button_bg_color__hover_enabled=\u00bbon|desktop\u00bb button_bg_color_gradient_start__hover=\u00bb#eaeaea\u00bb button_bg_color_gradient_end__hover=\u00bb#f4f4f4&#8243; button_bg_color__hover=\u00bb#eaeaea\u00bb button_bg_enable_color__hover=\u00bbon\u00bb button_bg_use_color_gradient__hover=\u00bbon\u00bb button_bg_color_gradient_stops__hover=\u00bb#eaeaea 0%|#f4f4f4 100%\u00bb][\/et_pb_button][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=\u00bb1&#8243; custom_padding_last_edited=\u00bbon|desktop\u00bb admin_label=\u00bbFinal CTA\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb background_color=\u00bb#161327&#8243; use_background_color_gradient=\u00bbon\u00bb background_color_gradient_stops=\u00bbrgba(22,19,39,0.5) 17%|rgba(22,19,39,0.5) 100%\u00bb background_color_gradient_overlays_image=\u00bbon\u00bb background_image=\u00bbhttps:\/\/pandorafms.com\/wp-content\/uploads\/2024\/01\/Try-Pandora-FMS-scaled.webp\u00bb background_position=\u00bbtop_center\u00bb background_vertical_offset=\u00bb0%\u00bb z_index=\u00bb1&#8243; max_width=\u00bb1080px\u00bb max_width_tablet=\u00bb98%\u00bb max_width_phone=\u00bb98%\u00bb max_width_last_edited=\u00bbon|tablet\u00bb module_alignment=\u00bbcenter\u00bb custom_margin=\u00bb80px||80px||true|false\u00bb custom_padding=\u00bb40px|20px|160px|20px|false|true\u00bb custom_padding_tablet=\u00bb40px|0px|120px|0px|false|true\u00bb custom_padding_phone=\u00bb40px|0px|120px|0px|false|true\u00bb scroll_scaling=\u00bb40|55|85|100|100%|120%|100%\u00bb motion_trigger_start=\u00bbtop\u00bb background_last_edited=\u00bboff|desktop\u00bb border_radii=\u00bboff|20px|20px|20px|20px\u00bb border_color_all=\u00bb#ffffff\u00bb box_shadow_style=\u00bbpreset1&#8243; box_shadow_vertical=\u00bb0px\u00bb box_shadow_blur=\u00bb80px\u00bb box_shadow_color=\u00bb#506da0&#8243; global_module=\u00bb367078&#8243; global_colors_info=\u00bb{}\u00bb][et_pb_row use_custom_gutter=\u00bbon\u00bb gutter_width=\u00bb2&#8243; make_equal=\u00bbon\u00bb _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb max_width=\u00bb550px\u00bb module_alignment=\u00bbcenter\u00bb custom_margin=\u00bb0px||0px||true|false\u00bb custom_padding=\u00bb0px|0px|0px|0px|true|true\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_column type=\u00bb4_4&#8243; _builder_version=\u00bb4.22.0&#8243; _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb][et_pb_text _builder_version=\u00bb4.27.0&#8243; _module_preset=\u00bbdefault\u00bb header_2_font_size=\u00bb2em\u00bb text_orientation=\u00bbcenter\u00bb module_alignment=\u00bbleft\u00bb custom_margin=\u00bb0px||20px||false|false\u00bb custom_padding=\u00bb0px||0px||true|false\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n<p class=\"h2-w\">M\u00e1s all\u00e1 de los l\u00edmites, <br \/>m\u00e1s all\u00e1 de las expectativas<\/p>\n<p>[\/et_pb_text][et_pb_code _builder_version=\u00bb4.27.0&#8243; _module_preset=\u00bbdefault\u00bb width=\u00bb260px\u00bb module_alignment=\u00bbcenter\u00bb locked=\u00bboff\u00bb global_colors_info=\u00bb{}\u00bb]<\/p>\n<div class=\"doblebtn\" style=\"align-items:center!important;\"><!-- [et_pb_line_break_holder] --><a class=\"prices-2024-btn\" style=\"padding:10px 30px!important\"href=\"https:\/\/pandorafms.com\/es\/trial-gratis\/\">\u00a1Obt\u00e9n tu Trial GRATIS!<\/a><\/div>\n<p><!-- [et_pb_line_break_holder] -->[\/et_pb_code][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Secciones \u00bfQu\u00e9 es la respuesta a incidentes de seguridad? Elementos clave de un plan de respuesta a incidentes Fases del proceso: Del incidente a la recuperaci\u00f3n Equipos de respuesta a incidentes: CSIRT, CERT y SOC Herramientas tecnol\u00f3gicas imprescindibles Casos pr\u00e1cticos de respuesta a incidentes C\u00f3mo optimiza Pandora SIEM la respuesta a incidentes Buenas pr\u00e1cticas y [&hellip;]<\/p>\n","protected":false},"author":33,"featured_media":402740,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"","_joinchat":[],"footnotes":""},"categories":[7754,3506],"tags":[],"class_list":["post-402735","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-it-topics"],"_links":{"self":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/posts\/402735","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/users\/33"}],"replies":[{"embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/comments?post=402735"}],"version-history":[{"count":6,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/posts\/402735\/revisions"}],"predecessor-version":[{"id":402775,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/posts\/402735\/revisions\/402775"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/media\/402740"}],"wp:attachment":[{"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/media?parent=402735"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/categories?post=402735"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pandorafms.com\/es\/wp-json\/wp\/v2\/tags?post=402735"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}