Anda di halaman 1dari 11

CONSIDERACIONES SOBRE LA DEFINICIN DE UN

PLAN DE RESPUESTA A INCIDENTES DE SEGURIDAD

lvaro Gmez Vieites


agomezvieites@gmail.com
Profesor de la Escuela de Negocios Caixanova

RESUMEN DE LA PONENCIA 1. LA IMPORTANCIA DE LA SEGU-


RIDAD DE LA INFORMACIN
En esta ponencia se analizan los principales
aspectos que se deberan tener en cuenta para Muchas de las actividades que se realizan
definir e implantar un Plan de Respuesta a Inci- de forma cotidiana en los pases desarrollados
dentes de Seguridad en los sistemas informti- dependen en mayor o menor medida de sistemas
cos. y de redes informticas. El espectacular creci-
miento de Internet y de los servicios telemticos
Para ello, en primer lugar se revisa la im-
(comercio electrnico, servicios multimedia de
portancia adquirida por la Seguridad de la In-
banda ancha, administracin electrnica, herra-
formacin, y se realiza una breve revisin de las
mientas de comunicacin como el correo elec-
principales consecuencias que podra tener para
trnico o la videoconferencia) ha contribuido
una organizacin la falta de una adecuada Pol-
a popularizar an ms, si cabe, el uso de la in-
tica de Seguridad de la Informacin.
formtica y de las redes de ordenadores, hasta el
Seguidamente, se describen de forma deta- punto de que en la actualidad no se circunscri-
llada los principales aspectos a tener en cuenta a ben al mbito laboral y profesional, sino que
la hora de definir e implantar un Plan de Res- incluso se han convertido en un elemento coti-
puesta a Incidentes: diano en muchos hogares, con un creciente
impacto en las propias actividades de comuni-
1. Constitucin de un Equipo de Respues- cacin y de ocio de los ciudadanos.
ta a Incidentes.
Por otra parte, servicios crticos para una
2. Definicin de una Gua de Procedi- sociedad moderna, como podran ser los servi-
mientos. cios financieros, el control de la produccin y
3. Deteccin de un incidente de seguri- suministro elctrico (centrales elctricas, redes
dad. de distribucin y transformacin), los medios de
transporte (control de trfico areo, control de
4. Anlisis del incidente. vas terrestres y martimas), la sanidad (historial
5. Contencin, erradicacin y recupera- clnico informatizado, telemedicina), las redes
cin. de abastecimiento (agua, gas y saneamiento) o
la propia Administracin Pblica estn soporta-
6. Identificacin del atacante y posibles dos en su prctica totalidad por sistemas y redes
actuaciones legales. informticas, hasta el punto de que en muchos
7. Comunicacin con terceros y relacio- de ellos se han eliminado o reducido de forma
nes pblicas. drstica los papeles y los procesos manuales.
8. Documentacin del incidente de segu- En las propias empresas, la creciente com-
ridad. plejidad de las relaciones con el entorno y el
elevado nmero de transacciones realizadas
9. Anlisis y revisin a posteriori del como parte de su actividad han propiciado el
incidente soporte automatizado e informatizado de mu-
Por ltimo, se describirn las prcticas re- chos de sus procesos, situacin que se ha acele-
comendadas por el CERT/CC para mejorar la rado con la implantacin de los ERP, o paquetes
respuesta de una organizacin ante los inciden- software de gestin integral.
tes de seguridad informtica.

Alvaro Gmez Vieites


Por todo ello, en la actualidad las activida- usuario interno o un atacante externo para utili-
des cotidianas de las empresas y de las distintas zar, manipular, destruir o tener acceso a infor-
Administraciones Pblicas e, incluso, las de macin y/o recursos de forma no autorizada.
muchas otras instituciones y organismos, as Aunque un incidente tambin podra ser la con-
como las de los propios ciudadanos, requieren secuencia de un error o trasgresin (accidental o
del correcto funcionamiento de los sistemas y deliberada) de las polticas y procedimientos de
redes informticas que las soportan y, en espe- seguridad, o de un desastre natural o del entorno
cial, de su seguridad. (inundacin, incendio, tormenta, fallo elctri-
co...).
De ah la gran importancia que se debera
conceder a todos los aspectos relacionados con En Espaa, la Ley Orgnica de Proteccin
la seguridad informtica en una organizacin. de Datos define una incidencia como cualquier
La proliferacin de los virus y cdigos malignos anomala que afecte o pudiera afectar a la segu-
y su rpida distribucin a travs de redes como ridad de los datos, en el contexto de los fiche-
Internet, as como los miles de ataques e inci- ros con datos de carcter personal.
dentes de seguridad que se producen todos los
aos han contribuido a despertar un mayor inte-
rs por esta cuestin. 2. POSIBLES CONSECUENCIAS DE
LA FALTA DE SEGURIDAD
Podemos definir la Seguridad Informtica
como cualquier medida que impida la ejecu- A la hora de analizar las posibles conse-
cin de operaciones no autorizadas sobre un cuencias de la ausencia o de unas deficientes
sistema o red informtica, cuyos efectos puedan medidas de seguridad informtica, el impacto
conllevar daos sobre la informacin, compro- total para una organizacin puede resultar bas-
meter su confidencialidad, autenticidad o inte- tante difcil de evaluar, ya que adems de los
gridad, disminuir el rendimiento de los equipos posibles daos ocasionados a la informacin
o bloquear el acceso de usuarios autorizados al guardada y a los equipos y dispositivos de red,
sistema. deberamos tener en cuenta otros importantes
perjuicios para la organizacin:
Desde un punto de vista ms amplio, en la
norma ISO/IEC 17799 se define la Seguridad de Horas de trabajo invertidas en las repa-
la Informacin como la preservacin de su con- raciones y reconfiguracin de los equi-
fidencialidad, su integridad y su disponibilidad pos y redes.
(medidas conocidas por su acrnimo CIA en
Prdidas ocasionadas por la indisponi-
ingls: Confidentialy, Integrity, Availability).
bilidad de diversas aplicaciones y ser-
vicios informticos: coste de oportuni-
dad por no poder utilizar estos recur-
sos.
Integridad Robo de informacin confidencial y su
posible revelacin a terceros no autori-
zados: frmulas, diseos de productos,
estrategias comerciales, programas in-
Seguridad formticos
de la
Informacin Filtracin de datos personales de usua-
rios registrados en el sistema: emplea-
dos, clientes, proveedores, contactos
Confidencialidad Disponibilidad comerciales o candidatos de empleo,
con las consecuencias que se derivan
Figura 1: Seguridad de la Informacin segn la del incumplimiento de la legislacin en
norma ISO/IEC 17799 materia de proteccin de datos perso-
Por Incidente de Seguridad entendemos nales vigentes en toda la Unin Euro-
cualquier evento que pueda provocar una inte- pea y en muchos otros pases.
rrupcin o degradacin de los servicios ofreci- Posible impacto en la imagen de la
dos por el sistema, o bien afectar a la confiden- empresa ante terceros: prdida de cre-
cialidad o integridad de la informacin. dibilidad en los mercados, dao a la re-
Un incidente de seguridad puede ser causa- putacin de la empresa, prdida de
do por un acto intencionado realizado por un

Alvaro Gmez Vieites


confianza por parte de los clientes y los genera ya ms dinero que el propio narcotrfico.
proveedores, etctera. Slo en Estados Unidos estos delitos, unidos a
las consecuencias de la propagacin de los virus
Retrasos en los procesos de produc-
y de los ataques de denegacin de servicio,
cin, prdida de pedidos, impacto en la
causan prdidas anuales superiores a los 50.000
calidad del servicio, prdida de oportu-
millones de euros.
nidades de negocio...
3. TAREAS A CONSIDERAR EN UN
Posibles daos a la salud de las perso-
PLAN DE RESPUESTA A INCIDENTES
nas, con prdidas de vidas humanas en
los casos ms graves. La definicin e implantacin de un Plan de
Respuesta a Incidentes debera tener en cuenta
Pago de indemnizaciones por daos y
una serie de actividades y tareas, entre las cuales
perjuicios a terceros, teniendo que
podramos destacar todas las que se presentan
afrontar adems posibles responsabili-
en la siguiente relacin:
dades legales y la imposicin de san-
ciones administrativas. Las organiza- Constitucin de un Equipo de Respues-
ciones que no adoptan medidas de se- ta a Incidentes.
guridad adecuadas para proteger sus
Definicin de una Gua de Procedi-
redes y sistemas informticos podran
mientos.
enfrentarse a penas civiles y criminales
bajo una serie de leyes existentes y de- Deteccin de un incidente de seguri-
cisiones de tribunales: proteccin de la dad.
privacidad y los datos personales de
clientes y empleados; utilizacin de Anlisis del incidente.
aplicaciones P2P para intercambio de Contencin, erradicacin y recupera-
contenidos digitales protegidos por de- cin.
rechos de autor; etctera.
Identificacin del atacante y posibles
Segn un estudio publicado a principios de actuaciones legales.
2006 y realizado por la consultora especializada
Computer Economics, la creacin y difusin de Comunicacin con terceros y relacio-
programas informticos maliciosos a travs de nes pblicas.
Internet (virus, troyanos, gusanos) ha repre- Documentacin del incidente de segu-
sentado durante esta ltima dcada un coste ridad.
financiero para las empresas de todo el mundo
de unos 110.000 millones de dlares. Anlisis y revisin a posteriori del
incidente.
En otro estudio realizado en esta ocasin
por el FBI, se pona de manifiesto que casi un 3.1. CONSTITUCIN DEL EQUIPO
90% de las empresas de Estados Unidos haban DE RESPUESTA A INCIDENTES DE SE-
sido infectadas por virus o sufrieron ataques a GURIDAD INFORMTICA (CSIRT)
travs de Internet en los aos 2004 y 2005, pese El Equipo de Respuesta a Incidentes de Se-
al uso generalizado de programas de seguridad. guridad Informtica (CSIRT, Computer Security
Estos ataques haban provocado unos daos por Incident Response Team) deber estar constitui-
un importe medio de unos 24.000 dlares en las do por las personas que cuentan con la expe-
empresas e instituciones afectadas. Adems, riencia y la formacin necesaria para poder
segn los propios datos del FBI, cerca de un actuar ante las incidencias y desastres que pu-
44% de los ataques provenan del interior de las dieran afectar a la seguridad informtica de una
organizaciones. organizacin.
Los nuevos delitos relacionados con la in- Generalmente slo las grandes organizacio-
formtica y las redes de ordenadores se han nes cuentan con un equipo de personas contra-
convertido en estos ltimos aos en uno de los tadas para cumplir con esta funcin. En la ma-
mayores problemas de seguridad a escala glo- yora de las organizaciones que no cuentan con
bal. As, segn datos publicados por el Depar- un Equipo de Respuesta formalmente constitui-
tamento de Hacienda de Estados Unidos a fina- do, ser necesario identificar quines son las
les de 2005, los delitos informticos (entre los personas responsables de acometer cada una de
que se incluyen las estafas bancarias, casos de las tareas que se hayan definido en el Plan de
phishing, pornografa infantil o espionaje Respuesta a Incidentes, definiendo claramente
industrial) constituyen un lucrativo negocio que

Alvaro Gmez Vieites


las responsabilidades, funciones y obligaciones mientos de actuacin ante futuros incidentes y
de cada persona implicada en dicho Plan. reforzar la proteccin actual de los sistemas
informticos de la organizacin.
La organizacin deber mantener actualiza-
da la lista de direcciones y telfonos de contacto Por supuesto, tambin debe tratar de forma
para emergencias, para poder localizar rpida- adecuada las cuestiones legales que se pudieran
mente a las personas clave. derivar de cada incidente de seguridad, as como
los aspectos relacionados con la imagen y repu-
En algunos casos ser necesario contratar a
tacin de la organizacin y las relaciones pbli-
las personas con la necesaria experiencia y cua-
cas.
lificacin profesional (conocimientos tcnicos,
habilidades de comunicacin). La experiencia 3.3. DETECCIN DE UN INCIDENTE
es un factor determinante para poder actuar de DE SEGURIDAD
forma correcta evitando errores a la hora de
La organizacin debera prestar especial
responder de forma rpida y eficaz ante los
atencin a los posibles indicadores de un inci-
incidentes de seguridad.
dente de seguridad, como una actividad a con-
Asimismo, conviene prestar especial aten- templar dentro del Plan de Respuesta a Inciden-
cin a la formacin continua de los miembros tes. Seguidamente se presenta una relacin de
del Equipo de Respuesta a Incidentes (o de las los principales indicadores de posibles inciden-
personas que deban asumir esta responsabilidad tes de seguridad:
si no existe el equipo como tal), contemplando
Precursores de un ataque: actividades
tanto los aspectos tcnicos como los aspectos
previas de reconocimiento del sistema
legales (delitos informticos).
informtico, como el escaneo de puer-
Estas personas deben contar con la dotacin tos, el escaneo de vulnerabilidades en
de medios tcnicos y materiales necesarios para servidores, el reconocimiento de ver-
poder cumplir con eficacia su misin. Para siones de sistemas operativos y aplica-
comprobar la idoneidad de los medios disponi- ciones
bles, el entrenamiento de los miembros del
Alarmas generadas en los Sistemas de
equipo y las actividades definidas en el Plan de
Deteccin de Intrusiones (IDS), en los
Respuesta a Incidentes, conviene llevar a cabo
cortafuegos o en las herramientas anti-
simulacros de forma peridica en la organiza-
virus.
cin.
Registro de actividad extraa en los
3.2. GUA DE PROCEDIMIENTOS Y
logs de servidores y dispositivos de
ACTIVIDADES A REALIZAR EN RES-
red o incremento sustancial del nmero
PUESTA A UN INCIDENTE
de entradas en los logs.
Como parte integrante del Plan de Respues-
Aparicin de nuevas carpetas o fiche-
ta a Incidentes, la organizacin debe definir una
ros con nombres extraos en un servi-
gua de actuacin clara y detallada con los pro-
dor, o modificaciones realizadas en de-
cedimientos y acciones necesarias para la res-
terminados ficheros del sistema (libre-
tauracin rpida, eficiente y segura de la capa-
ras, kernel, aplicaciones crticas...),
cidad de procesamiento informtico y de comu-
que se pueden detectar mediante
nicaciones de la organizacin, as como para la
herramientas de revisin de la integri-
recuperacin de los datos daados o destruidos.
dad de ficheros.
El objetivo perseguido con la Gua de Pro-
Cada o mal funcionamiento de algn
cedimientos es conseguir una respuesta sistem-
servidor: reinicios inesperados, fallos
tica ante los incidentes de seguridad, realizando
en algunos servicios, aparicin de men-
los pasos necesarios y en el orden adecuado
sajes de error, incremento anormal de
para evitar errores ocasionados por la precipita-
la carga del procesador o del consumo
cin o la improvisacin.
de memoria del sistema
Una buena Gua de Procedimientos permiti-
Notable cada en el rendimiento de la
r minimizar los daos ocasionados y facilitar la
red o de algn servidor, debido a un in-
recuperacin del sistema afectado.
cremento inusual del trfico de datos.
Adems, esta gua debe completar la adqui-
Cambios en la configuracin de deter-
sicin de informacin detallada sobre cada inci-
minados equipos de la red: modifica-
dente de seguridad para mejorar los procedi-
cin de las polticas de seguridad y au-

Alvaro Gmez Vieites


ditora, activacin de nuevos servicios, Por otra parte, la gran cantidad de informa-
puertos abiertos que no estaban autori- cin que se genera en los logs y en las distin-
zados, activacin de las tarjetas de red tas herramientas de seguridad puede dificultar
en modo promiscuo (para poder captu- su posterior estudio, debido sobre todo a la
rar todo el trfico que circula por la red prdida de tiempo provocada por los falsos
interna mediante sniffers), etctera. positivos. Por este motivo, es necesario contar
con herramientas y filtros que faciliten la detec-
Existencia de herramientas no autori-
cin y clasificacin de los incidentes.
zadas en el sistema.
3.4. ANLISIS DE UN INCIDENTE DE
Aparicin de nuevas cuentas de usuario
SEGURIDAD
o registro de actividad inusual en algu-
nas cuentas: conexiones de usuarios en El Plan de Respuesta a Incidentes debe de-
unos horarios extraos (por ejemplo, finir cmo el equipo de respuesta debera proce-
por las noches o durante un fin de se- der al anlisis de un posible incidente de seguri-
mana), utilizacin de la misma cuenta dad en cuanto ste fuese detectado por la orga-
desde distintos equipos a la vez, blo- nizacin, determinando en primer lugar cul es
queo reiterado de cuentas por fallos en su alcance: qu equipos, redes, servicios y/o
la autenticacin, ejecucin inusual de aplicaciones se han podido ver afectados? Se
determinados servicios desde algunas ha podido comprometer informacin confiden-
cuentas, etctera. cial de la organizacin o de sus usuarios y clien-
tes? Ha podido afectar a terceros?
Informes de los propios usuarios del
sistema alertando de algn comporta- Seguidamente, el equipo de respuesta debe-
miento extrao o de su imposibilidad ra determinar cmo se ha producido el inciden-
de acceder a ciertos servicios. te: qu tipo de ataque informtico (si lo ha habi-
do) ha sido el causante, qu vulnerabilidades del
Deteccin de procesos extraos en eje-
sistema han sido explotadas, qu mtodos ha
cucin dentro de un sistema, que se ini-
empleado el atacante, etctera.
cian a horas poco habituales o que con-
sumen ms recursos de los normales Se podra utilizar una Matriz de Diagns-
(tiempo de procesador o memoria). tico para facilitar la actuacin del equipo en
momentos de mximo estrs, evitando que se
Generacin de trfico extrao en la red:
puedan tomar decisiones precipitadas que con-
envo de mensajes de correo electrni-
duzcan a errores, constituyendo adems un
co hacia el exterior con contenido sos-
valioso apoyo para el personal con menos expe-
pechoso, inusual actividad de transfe-
riencia en la actuacin frente a incidentes de
rencia de ficheros, escaneo de otros
seguridad.
equipos desde un equipo interno
Sntoma Cdigo Denegacin de Acceso no
Notificacin de un intento de ataque malicioso Servicio (DoS) autorizado
lanzado contra terceros desde equipos Escaneo de puertos Bajo Alto Medio
Cada de un servidor Alto Alto Medio
pertenecientes a la propia organizacin. Modificacin de ficheros de un equipo Alto Bajo Alto
Trfico inusual en la red Medio Alto Medio
Desaparicin de equipos de la red de la Ralentizacin de los equipos o de la red Medio Alto Bajo

organizacin. Envo de mensajes de correo sospechosos Alto Bajo Medio

Aparicin de dispositivos extraos co- Tabla 1: Ejemplo de Matriz de Diagnstico


nectados directamente a la red o a al- Asimismo, conviene realizar una valoracin
gunos equipos de la organizacin (en inicial de los daos y de sus posibles conse-
este ltimo caso podran ser, por ejem- cuencias, para a continuacin establecer un
plo, dispositivos para la captura de pul- orden de prioridades en las actividades que
saciones de teclado en los equipos). debera llevar a cabo el equipo de respuesta,
Conviene tener en cuenta que los ataques teniendo para ello en consideracin aspectos
informticos se estn volviendo cada vez ms como el posible impacto del incidente en los
sofisticados, por lo que es difcil conseguir recursos y servicios de la organizacin y en el
detectarlos a tiempo. Incluso existen herramien- desarrollo de su negocio o actividad principal.
tas que facilitan este tipo de ataques ocultando En este sentido, los documentos RFC 1244
su actividad y que se pueden obtener de forma y RFC 2196 (del IETF, Internet Engineering
gratuita en Internet. Task Force) proponen la siguiente priorizacin

Alvaro Gmez Vieites


de las actividades a realizar por parte de un un equipo controlado por un cracker podra estar
equipo de respuesta a incidentes: ejecutando un servicio que se encargara de
realizar pings peridicos a determinados ser-
1. Prioridad uno: proteger la vida humana
vidores o comprobar el estado de las conexiones
y la seguridad de las personas.
de red, de tal modo que si se detectase una des-
2. Prioridad dos: proteger datos e infor- conexin del equipo del resto de la red, se des-
macin sensible de la organizacin. encadenara otro proceso encargado de eliminar
todas las pruebas del disco duro del equipo.
3. Prioridad tres: proteger otros datos e
informacin de la organizacin. Tambin hay que tener en cuenta que en los
ataques de Denegacin de Servicio (DoS) puede
4. Prioridad cuatro: prevenir daos en los resultar necesario contar con la colaboracin de
sistemas informticos (prdida o modi-
las empresas proveedoras de acceso a Internet o
ficacin de ficheros bsicos para las de administradores de las redes de otras organi-
aplicaciones y los servidores). zaciones para contener el ataque.
5. Prioridad cinco: minimizar la interrup-
Por su parte, la erradicacin es la etapa del
cin de los servicios ofrecidos a los Plan de Respuesta a Incidentes en la que se
distintos usuarios (internos y externos). llevan a cabo todas las actividades necesarias
3.5. CONTENCIN, ERRADICACIN para eliminar los agentes causantes del incidente
Y RECUPERACIN y de sus secuelas, entre las que podramos citar
posibles puertas traseras instaladas en los
Dentro del Plan de Respuesta a Incidentes, equipos afectados, rootkits u otros cdigos
el equipo de respuesta debe elegir una determi- malignos (virus, gusanos...), contenidos y mate-
nada estrategia de contencin del incidente de rial inadecuado que se haya introducido en los
seguridad. Una primera opcin sera llevar a servidores, cuentas de usuario creadas por los
cabo una rpida actuacin para evitar que el intrusos o nuevos servicios activados en el inci-
incidente pueda tener mayores consecuencias dente. Tambin ser conveniente llevar a cabo
para la organizacin: apagar todos los equipos una revisin de otros sistemas que se pudieran
afectados, desconexin de estos equipos de la ver comprometidos a travs de las relaciones de
red informtica, desactivacin de ciertos servi- confianza con el sistema afectado.
cios, etctera. Esta estrategia de contencin es la
ms adecuada cuando se puedan ver afectados Por ltimo, la recuperacin es la etapa del
servicios crticos para la organizacin, se pueda Plan de Respuesta a Incidentes en la que se trata
poner en peligro determinada informacin con- de restaurar los sistemas para que puedan volver
fidencial, se estn aprovechando los recursos de a su normal funcionamiento. Para ello, ser
la organizacin para lanzar ataques contra terce- necesario contemplar tareas como la reinstala-
ros o cuando las prdidas econmicas puedan cin del sistema operativo y de las aplicaciones
ser considerables. partiendo de una copia segura, la configuracin
adecuada de los servicios e instalacin de los
Una segunda alternativa sera retrasar la ltimos parches y actualizaciones de seguridad,
contencin para poder estudiar con ms detalle el cambio de contraseas que puedan haber sido
el tipo de incidente y tratar de averiguar quin comprometidas, la desactivacin de las cuentas
es el responsable del mismo. Esta estrategia se que hayan sido utilizadas en el incidente, la
puede adoptar siempre y cuando sea posible revisin de las medidas de seguridad para pre-
monitorizar y controlar la actuacin de los ata- venir incidentes similares y la prueba del siste-
cantes, para de este modo reunir las evidencias ma para comprobar su correcto funcionamiento.
necesarias que permitan iniciar las correspon-
dientes actuaciones legales contra los responsa- 3.6. IDENTIFICACIN DEL ATA-
bles del incidente. No obstante, se corre el ries- CANTE Y POSIBLES ACTUACIONES
go de que el incidente pueda tener peores con- LEGALES
secuencias para la organizacin o para terceros Dentro del Plan de Respuesta a Incidentes,
(y en este ltimo caso la organizacin podra ser
la identificacin del atacante es necesaria para
considerada culpable por no haber actuado a poder emprender acciones legales para exigir
tiempo). responsabilidades y reclamar indemnizaciones.
Por otra parte, en algunos tipos de ataque No obstante, conviene tener en cuenta que gene-
las medidas de contencin adoptadas podran ralmente slo se podr identificar la mquina o
desencadenar mayores daos en los sistemas mquinas desde las que se ha llevado a cabo el
informticos comprometidos. As, por ejemplo,

Alvaro Gmez Vieites


ataque, pero no directamente al individuo res- equipos afectados o por el Sistema de Deteccin
ponsable de su utilizacin. de Intrusiones (IDS).
La identificacin del atacante puede ser una En cuanto a la ejecucin de acciones contra
tarea que consuma bastante tiempo y recursos, el atacante, se recomienda presentar una denun-
por lo que no debera interferir en la contencin cia ante las unidades policiales especializadas
y erradicacin del incidente. Algunas organiza- en este tipo de incidentes o ataques informti-
ciones optan por no perseguir legalmente a los cos, para poder emprender de este modo las
atacantes por el esfuerzo necesario: costes, tr- correspondientes actuaciones policiales y judi-
mites judiciales, publicacin en los medios... ciales.
Adems, los ataques realizados desde otros Conviene destacar que si la organizacin
pases con ciertas lagunas legales en el trata- decidiese actuar por su propia cuenta, tomando
miento de los delitos informticos pueden difi- la justicia por su mano, es decir, realizar ata-
cultar las reclamaciones judiciales, ya que se ques a modo de represalia contra los equipos
complica en gran medida el proceso de extradi- desde los que aparentemente se est producien-
cin de los responsables . do un intento de intrusin contra sus propios
equipos y redes informticas, esta actuacin
Existen distintas tcnicas para determinar la
podra tener graves consecuencias para la orga-
direccin IP del equipo (o equipos) desde el que
nizacin. Si el atacante ha utilizado tcnicas de
se ha llevado a cabo el ataque contra el sistema
enmascaramiento (como IP Spoofing), la
informtico: utilizacin de herramientas como
organizacin podra lanzar un ataque contra
ping, traceroute o whois; consulta en los
equipos y redes inocentes, con las correspon-
registros inversos de servidores DNS; etctera.
dientes responsabilidades legales que se derivan
No obstante, es necesario tener en cuenta de esta actuacin, por lo que podra ser denun-
una serie de obstculos que pueden dificultar ciada por las organizaciones propietarias de
esta tarea: estos equipos atacados a modo de represalia.
Mediante tcnicas de IP Spoofing se 3.7. COMUNICACIN CON TERCE-
podra enmascarar la direccin en al- ROS Y RELACIONES PBLICAS
gunos tipos de ataque.
El Plan de Respuesta a Incidentes tiene que
El atacante podra estar utilizando contemplar cmo la organizacin debera co-
equipos de terceros para realizar sus municar a terceros la causa y las posibles conse-
acciones, situacin que se produce con cuencias de un incidente de seguridad inform-
bastante frecuente hoy en da. tica.
El atacante podra haber empleado una As, dentro de este Plan de Respuesta debe-
direccin IP dinmica, asignada a su ran estar previstos los contactos con organis-
equipo por un proveedor de acceso a mos de respuesta a incidentes de seguridad
Internet. informtica (como el CERT), con las fuerzas de
seguridad (Polica o Guardia Civil), con agen-
El equipo del atacante podra estar si-
cias de investigacin y con los servicios jurdi-
tuado detrs de un servidor proxy con cos de la organizacin.
el servicio NAT activo (traduccin de
direcciones internas a una direccin ex- Tambin podra ser necesario establecer
terna), compartiendo una direccin IP contactos con proveedores de acceso a Internet,
pblica con otros equipos de la misma ya sea el proveedor de la propia organizacin o
red. el proveedor o proveedores que dan servicio a
equipos desde los que se ha originado un ataque
Por este motivo, en muchos casos ser ne- contra la organizacin.
cesario solicitar la colaboracin de los respon-
sables de otras redes y de los proveedores de Del mismo modo, en algunos casos sera
acceso a Internet que pudieran haber sido utili- recomendable contactar con los fabricantes de
zados por los atacantes. hardware y/o software que se hayan visto invo-
lucrados en el incidente, debido a una vulnerabi-
Una tarea que tambin podra contribuir a lidad o una mala configuracin de sus produc-
la identificacin del atacante es el anlisis de las tos.
actividades de exploracin (escaneos de puertos
y de vulnerabilidades en el sistema) que suelen En el Plan de Respuesta a Incidentes tam-
anteceder a un ataque, sobre todo si stas han bin se deben contemplar los contactos con
podido ser registradas por los logs de los terceros que pudieran haber sido perjudicados

Alvaro Gmez Vieites


por el incidente de seguridad, como en el caso Comunicaciones que se han realizado
de que se hubieran utilizado ordenadores de la con terceros y con los medios.
organizacin para realizar un ataque contra
Lista de evidencias obtenidas durante
sistemas y redes de otras entidades. De este
el anlisis y la investigacin.
modo, se podran limitar las responsabilidades
legales en las que podra incurrir la organizacin Comentarios e impresiones del perso-
por culpa del incidente de seguridad. nal involucrado.
Por otra parte, hay que tener en cuenta el Posibles actuaciones y recomendacio-
cumplimiento de la normativa existente ya en nes para reforzar la seguridad y evitar
algunos pases, que obliga a la notificacin de incidentes similares en el futuro.
los incidentes de seguridad a determinados
La Trans-European and Education Network
organismos de la Administracin, as como a los
ciudadanos (generalmente clientes de la organi- Association (TERENA) ha desarrollado un
zacin) que pudieran verse afectados por dicho estndar para facilitar el registro e intercambio
de informacin sobre incidentes de seguridad: el
incidente. En los contactos con los clientes de la
organizacin, el personal debera poder transmi- estndar RFC 3067, con recomendaciones sobre
tir seguridad y tranquilidad, indicando en todo la informacin que debera ser registrada en
cada incidente (Incident Object Description
momento que la situacin est controlada.
and Exchange Format Requirements).
Por ltimo, tambin ser conveniente defi-
nir un Plan de Comunicacin con los Medios: Conviene destacar que una correcta y com-
pleta documentacin del incidente facilitar el
agencias de noticias, prensa, emisoras de radio y
TV Para ello, la organizacin debera estable- posterior estudio de cules han sido sus posibles
cer quin se encargar de hablar con los medios causas y sus consecuencias en el sistema infor-
y qu datos se podrn facilitar en cada momen- mtico y los recursos de la organizacin. Por
to. El interlocutor debera estar preparado para supuesto, ser necesario evitar que personal no
autorizado pueda tener acceso a esta documen-
responder a preguntas del estilo: quin ha sido
el responsable del ataque o incidente?, cmo tacin sensible.
pudo suceder?, hasta qu punto se ha extendido 3.9. ANLISIS Y REVISIN A POS-
por la organizacin?, qu medidas estn adop- TERIORI DEL INCIDENTE
tando para contrarrestarlo?, cules pueden ser
sus consecuencias tcnicas y econmicas?, Dentro del Plan de Respuesta a Incidentes
etctera. se tiene que contemplar una etapa para el anli-
sis y revisin a posteriori de cada incidente de
En la comunicacin con los medios, la or- seguridad, a fin de determinar qu ha podido
ganizacin debera procurar no revelar informa- aprender la organizacin como consecuencia del
cin sensible, como los detalles tcnicos de las mismo.
medidas adoptadas para responder al incidente
de seguridad, y evitar en la medida de lo posible Con tal motivo, ser necesario elaborar un
las especulaciones sobre las causas o los respon- informe final sobre el incidente, en el que se
sables del incidente de seguridad. puedan desarrollar los siguientes aspectos de
forma detallada:
3.8. DOCUMENTACIN DEL INCI-
DENTE DE SEGURIDAD 3.9.1. Investigacin sobre las causas y las
consecuencias del incidente:
El Plan de Respuesta a Incidentes debera
establecer cmo se tiene que documentar un Estudio de la documentacin generada
incidente de seguridad, reflejando de forma por el equipo de respuesta a incidentes.
clara y precisa aspectos como los que se presen- Revisin detallada de los registros de
tan en la siguiente relacin: actividad (logs) de los ordenadores y
Descripcin del tipo de incidente. dispositivos afectados por el incidente.

Hechos registrados (eventos en los Evaluacin del coste del incidente de


logs de los equipos). seguridad para la organizacin: equipos
daados, software que se haya visto
Daos producidos en el sistema infor- afectado, datos destruidos, horas de
mtico. personal dedicado a la recuperacin de
los equipos y los datos, informacin
Decisiones y actuaciones del equipo de
respuesta. confidencial comprometida, necesidad
de soporte tcnico externo, etctera.

Alvaro Gmez Vieites


Anlisis de las consecuencias que haya 4.1. Preparacin de la respuesta ante in-
podido tener para terceros. cidentes de seguridad
Revisin del intercambio de informa- Definicin del plan de actuacin y los
cin sobre el incidente con otras em- procedimientos para responder a los
presas e instituciones, as como con los incidentes, especificando, entre otras
medios de comunicacin. cuestiones, a quin se debe informar en
caso de incidente o qu tipo de infor-
Seguimiento de las posibles acciones
macin se debe facilitar y en qu mo-
legales emprendidas contra los respon-
mento (fase del incidente).
sables del incidente.
Documentacin del plan de actuacin y
3.9.2. Revisin de las decisiones y actua-
de los procedimientos para responder a
ciones del equipo de respuesta a incidentes:
los incidentes.
Composicin y organizacin del equi-
Comprobacin de que el plan de actua-
po.
cin y los procedimientos previstos
Formacin y nivel de desempeo de cumplen con los requisitos legales y las
los miembros. obligaciones contractuales con terceros
(como, por ejemplo, exigencias de los
Rapidez en las actuaciones y decisio-
clientes de la organizacin).
nes: cmo respondi el personal invo-
lucrado en el incidente?, qu tipo de Adquisicin e instalacin de herra-
informacin se obtuvo para gestionar el mientas informticas y dispositivos que
incidente?, qu decisiones se adopta- faciliten la respuesta ante incidentes.
ron? Conviene disponer de equipos redun-
dantes, dispositivos de red y medios de
3.9.3. Anlisis de los procedimientos y de almacenamiento para poder recuperar
los medios tcnicos empleados en la respuesta el funcionamiento normal del sistema.
al incidente:
Verificacin de los procedimientos y
Redefinicin de aquellos procedimien- dispositivos de copias de seguridad.
tos que no hayan resultado adecuados.
Creacin de un archivo de discos de
Adopcin de las medidas correctivas
arranque y un conjunto de copias con
que se consideren necesarias para me- todas las aplicaciones y servicios nece-
jorar la respuesta ante futuros inciden- sarios para el funcionamiento de los
tes de seguridad.
sistemas informticos, as como de los
Adquisicin de herramientas y recursos parches y actualizaciones correspon-
para reforzar la seguridad del sistema y dientes.
la respuesta ante futuros incidentes de
Formacin y entrenamiento del perso-
seguridad. nal afectado por este plan y procedi-
3.9.4. Revisin de las Polticas de Seguri- mientos de actuacin.
dad de la organizacin: Mantenimiento actualizado de una base
Definicin de nuevas directrices y revi- de datos de contactos (personas y orga-
sin de las actualmente previstas por la nizaciones).
organizacin para reforzar la seguridad
4.2. Gestin del incidente de seguridad
de su sistema informtico.
Aislamiento de los equipos afectados
4. PRCTICAS RECOMENDADAS por el incidente, realizando adems una
POR EL CERT/CC copia de seguridad completa de sus
El CERT/CC (Computer Emergency Res- discos duros.
ponse Team / Coordination Center) ha propues-
Captura y proteccin de toda la infor-
to una serie de actividades para mejorar la res- macin asociada con el incidente: re-
puesta de una organizacin ante los incidentes gistros de actividad (logs) de los
de seguridad informtica. Seguidamente se
equipos y dispositivos de red, ficheros
presenta un extracto con algunas de las principa- dentro de los servidores, trfico inter-
les actividades propuestas por este organismo, cambiado a travs de la red, etctera.
agrupadas en tres fases o etapas:

Alvaro Gmez Vieites


Catalogacin y almacenamiento seguro sible, los mecanismos de registro de la
de toda esta informacin para poder actividad en estos equipos.
preservar las evidencias. Convendra
Recuperacin de la actividad normal de
disponer de copias de seguridad con la
los sistemas afectados: reinstalacin de
informacin del estado previo y del es-
aplicaciones y servicios, incluyendo los
tado posterior al incidente de los equi-
parches y actualizaciones de seguridad;
pos y sistemas afectados.
restauracin de los datos de los usua-
Revisin de toda la informacin dispo- rios y las aplicaciones desde copias de
nible para poder caracterizar el tipo de seguridad; recuperacin de las co-
incidente o intento de intrusin. Anli- nexiones y servicios de red; verifica-
sis detallado de los registros de activi- cin de la correcta configuracin de es-
dad (logs) y del estado de los equi- tos equipos.
pos para determinar cul puede ser el
4.3. Seguimiento del incidente de seguri-
tipo de ataque o incidente, qu sistemas
dad
se han visto afectados, qu modifica-
ciones han realizado o qu programas Identificacin de las lecciones y prin-
han ejecutado los posibles intrusos de- cipales conclusiones de cada incidente,
ntro de estos sistemas. recurriendo para ello al anlisis post-
mortem de los equipos afectados por
Comunicacin con todas las personas y
el incidente y entrevistando a las per-
organismos que deberan ser informa-
sonas implicadas en la gestin del inci-
dos del incidente, cumpliendo con lo
dente.
establecido en las polticas y procedi-
mientos de respuesta a incidentes. Implementacin de las mejoras de se-
Mantenimiento de un registro detallado guridad propuestas como consecuencia
de todas las comunicaciones y contac- de las lecciones aprendidas en cada
tos establecidos durante la respuesta incidente: revisin de las polticas y
ante el incidente. procedimientos de seguridad, realiza-
cin de un nuevo anlisis detallado de
Participacin en las medidas de inves-
las vulnerabilidades y riesgos del sis-
tigacin y de persecucin legal de los
tema, etctera.
responsables del incidente.
REFERENCIAS BIBLIOGRFICAS
Aplicacin de soluciones de emergen-
cia para tratar de contener el incidente: S. Barman, Writing Information Security
desconectar los equipos afectados de la Policies, New Riders Publishing, 2001.
red corporativa; desactivar otros dispo-
E. Casey, Digital Evidence and Computer
sitivos y servicios afectados; apagar
temporalmente los equipos ms crti- Crime: Forensic Science, Computers, and the
cos; cambiar contraseas e inhabilitar Internet, Academic Press, 2004.
cuentas de usuarios; monitorizar toda J. Chirillo, Hack Attacks Revealed: A
la actividad en estos equipos; verificar Complete Reference, John Wiley & Sons, 2001.
que se dispone de copias de seguridad
de los datos de los equipos afectados E. Cole, Hackers Beware, New Riders,
por el incidente; etctera. 2001.

Eliminacin de todos los medios posi- E. Cole, R. Krutz, J. Conley, Network Se-
bles que faciliten una nueva intrusin curity Bible, John Wiley & Sons, 2005.
en el sistema: cambiar todas las contra- J. Erickson, Hacking: The Art of Exploita-
seas de los equipos a los que hayan tion, No Starch Press, 2003.
podido tener acceso atacantes o usua-
rios no autorizados; revisar la configu- A. Gmez, Enciclopedia de la Seguridad
racin de los equipos; detectar y anular Informtica, Ra-Ma, 2006.
los cambios realizados por los atacan- K. Kaspersky, Hacker Disassembling Un-
tes en los equipos afectados; restaurar covered, A-LIST Publishing, 2003.
programas ejecutables y ficheros bina-
rios (como las libreras del sistema) J. Long, Google Hacking for Penetration
desde copias seguras; mejorar, si es po- Testers, Syngress, 2005.

Alvaro Gmez Vieites


S. McClure, S. Shah, Web Hacking: At-
tacks and Defense, Addison Wesley, 2002.
J. Mirkovic, S. Dietrich, D. Dittrich, P.
Reiher, Internet Denial of Service: Attack and
Defense Mechanisms, Prentice Hall, 2004.
RFCs 1244, 2196 y RFC 3067.
R. Russell, Hack Proofing Your Network,
Syngress, 2000.
R. Russell, Stealing the Network: How to
Own the Box, Syngress, 2003.
J. Scambray, S. McClure, G. Kurtz, Hack-
ing Exposed: Network Security Secrets & Solu-
tions - 2nd Edition, Osborne/McGraw-Hill,
2001.
J. Scambray, M. Shema, Hacking Exposed
Web Applications, Osborne/McGraw-Hill,
2002.
M. Shema, Anti-Hacker Tool Kit, Os-
borne/McGraw-Hill, 2002.
H. Warren, Hacker's Delight, Addison
Wesley, 2002.

RESEA CURRICULAR DEL AUTOR


lvaro Gmez Vieites
Ingeniero de Telecomunicacin por la Uni-
versidad de Vigo. Especialidades de Telemtica
y de Comunicaciones. Nmero uno de su pro-
mocin (1996) y Premio Extraordinario Fin de
Carrera.
Ingeniero Tcnico en Informtica de Ges-
tin por la UNED (2004-2006). Premio al
mejor expediente acadmico del curso 2004-
2005 en la Escuela Tcnica Superior de Ingenie-
ra Informtica de la UNED
Executive MBA y Diploma in Business
Administration por la Escuela de Negocios
Caixanova.
Ha sido Director de Sistemas de Informa-
cin y Control de Gestin en la Escuela de Ne-
gocios Caixanova. Profesor colaborador de esta
entidad desde 1996, responsable de los cursos y
seminarios sobre Internet, Marketing Digital y
Comercio Electrnico.
Socio-Director de la empresa SIMCe Con-
sultores, integrada en el Grupo EOSA.
Autor de varios libros y numerosos artcu-
los sobre el impacto de Internet y las TICs en la
gestin empresarial.

Alvaro Gmez Vieites