La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

¿Incidente informático?

Publicado 11/06/2021

Un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información; un impedimento en la operación normal de las redes, sistemas o recursos informáticos; o una violación a una Política de Seguridad de la Información. Las normas de sistemas de gestión, especialmente las que se encuentran relacionadas con la seguridad de la información y las interrupciones de los procesos de negocio, utilizan el término “gestión de incidencias”.

A medida que la norma que gestiona la seguridad de la información ocupa diferentes aspectos de la gestión de procesos de negocio, el término se utiliza de una forma amplia, pero posee un significado diferente, dependiendo del contexto. Además de eso, muchas de las normas utilizan el término evento. Debemos recordar que no todos los incidentes en la gestión de servicios de TI se encuentran relacionados con la seguridad. Por ejemplo, se puede generar una pérdida de capacidad de impresión ante un incidente, pero no puede estar relacionada con los problemas de seguridad.

Casi todos los días hay un nuevo titular sobre una brecha de datos de alto perfil u otro tipo de ataques. Pero hay muchos más incidentes que pasan desapercibidos porque las organizaciones no saben cómo detectarlos. Aquí hay algunas formas en que las empresas pueden detectar incidentes de seguridad:

  • Comportamiento inusual de cuentas de usuario privilegiadas. Cualquier anomalía en el comportamiento de una cuenta de usuario privilegiado puede indicar que alguien la está utilizando para ingresar a la red de una empresa.
  • Empleados no autorizados que intentan acceder a servidores y datos. Muchos empleados probarán las aguas para determinar exactamente a qué sistemas y datos pueden acceder. Las señales de advertencia incluyen a usuarios no autorizados que intentan acceder a servidores y datos, solicitar acceso a datos que no están relacionados con sus trabajos, iniciar sesión en momentos anormales desde ubicaciones inusuales o iniciar sesión desde múltiples ubicaciones en un período de tiempo breve.
  • Anomalías en el tráfico de la red de salida. No es solo el tráfico que entra en una red lo que debería preocupar a las organizaciones. Las organizaciones también deben monitorear el tráfico que deja sus perímetros. Esto podría incluir empleados que cargan archivos grandes a aplicaciones de nube personales; descargan archivos grandes a dispositivos de almacenamiento externos, como unidades flash USB; o enviando grandes cantidades de mensajes de correo electrónico con archivos adjuntos fuera de la empresa.
  • Tráfico enviado hacia o desde lugares desconocidos. Para una empresa que solo opera en un país, cualquier tráfico enviado a otros países podría indicar actividad maliciosa. Los administradores deben investigar cualquier tráfico a redes desconocidas para asegurarse de que es legítimo.
  • Consumo excesivo. Un aumento en el rendimiento de la memoria del servidor o los discos duros puede significar que un atacante los esté accediendo ilegalmente.
  • Cambios en la configuración. Los cambios que no se han aprobado, como la reconfiguración de servicios, la instalación de programas de inicio o los cambios en el firewall son una señal de posible actividad maliciosa. Lo mismo ocurre con las tareas programadas que se han agregado.
  • Archivos ocultos. Estos pueden considerarse sospechosos debido a sus nombres de archivos, tamaños o ubicaciones, que indican que los datos o registros pueden haberse filtrado.
  • Cambios inesperados. Estos incluyen bloqueos de cuentas de usuario, cambios de contraseña o cambios repentinos en las credenciales de grupos.
  • Comportamiento anormal de navegación. Esto podría ser redirecciones inesperadas, cambios en la configuración del navegador o ventanas emergentes repetidas.
  • Entradas de registro sospechosas. Esto sucede principalmente cuando el malware infecta los sistemas de Windows. Es una de las principales formas en que el malware garantiza que permanece en el sistema infectado.

Un vector de ataque es una ruta o medio por el cual un hacker puede obtener acceso a un ordenador o servidor de red para entregar una carga útil o un resultado malicioso. Los vectores de ataque permiten a los hackers explotar las vulnerabilidades del sistema, incluidos los operadores humanos. Los vectores de ataque incluyen virus, archivos adjuntos de correo electrónico, páginas web, ventanas emergentes, mensajes instantáneos, salas de chat y engaños. Todos estos métodos implican programación o, en algunos casos, hardware. La excepción es el engaño, que es cuando un operador humano es engañado para que elimine o debilite las defensas del sistema.

Antes de realizar ninguna acción por su cuenta debe saber que la información digital es muy frágil y puede desaparecer o manipularse con mucha facilidad. En términos legales, significa que una acción equivocada puede invalidar toda una prueba.

La primera acción ante un incidente informático debe ser siempre la preservación de las evidencias que pudieran utilizarse como medio de prueba. Esta preservación se realiza de diferentes maneras, según el tipo de documentos digitales y según la infraestructura informática. Por ejemplo, una página web suele preservarse descargándola ante Notario, mientras que la información contenida en un ordenador suele requerir la copia de todo el disco con programas informáticos especiales.

También debe saber que existen muchas personas con altos conocimientos de informática que se aprovechan de otras con menos conocimientos que ellos. Esto no significa que estas personas sean hackers de película intocables e inalcanzables.

En regla general, las acciones a realizar ante un incidente informático deben ser:

  1. Identifique las fuentes de información digital que podrían aportar evidencias.
  2. No acceda, manipule o inspeccione estas fuentes antes de contactar con un perito informático. Incluso el visionado de documentos electrónicos, sin modificarlos, podrían contaminar la prueba e invalidarla.
  3. Decida con cuidado cuál es su círculo de confianza. En muchos casos, como amenazas, espionaje industrial, etc., el autor de los hechos puede estar más cerca de lo esperado. Si no confía en sus informáticos, proceda con especial cuidado.
  4. Póngase en contacto con un perito informático para realizar una preservación de estas fuentes. Esta fase debe hacerse lo antes posible, ya que la información digital recuperable desaparece con la actividad de los ordenadores que la contienen.

Un abogado experto en nuevas tecnologías, o un perito informático, podrán asesorarle en las posibles acciones a realizar dependiendo de su caso y circunstancias.

El Reglamento Europeo de Protección de Datos regula la notificación de incidentes y/o brechas de seguridad en los artículos 33 y 34, diferenciando entre la notificación realizada a las Autoridades de control y la realizada a los interesados. Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de Protección de Datos competente, a menos que sea difícil que la violación produzca un riesgo para los derechos y libertades de los afectados. Los responsables deben documentar todas las violaciones de seguridad.

El panorama de amenazas en expansión pone a las organizaciones en mayor riesgo de ser atacadas que nunca antes. Como resultado, las empresas deben monitorear constantemente el panorama de amenazas y estar preparadas para responder a incidentes de seguridad, violaciones de datos y amenazas cibernéticas cuando ocurran. Poner en marcha un plan de respuesta a incidentes bien definido y tomar en consideración algunos de los consejos proporcionados en este informe permitirá a las organizaciones identificar efectivamente estos incidentes, minimizar los daños y reducir el costo de un ataque cibernético. Dicho plan también ayudará a las empresas a prevenir futuros ataques.

Compártenos en tus redes

Directiva de cookies

Este sitio utiliza cookies para el almacenamiento de información en su equipo.

¿Lo acepta?