El número de filtraciones de datos, durante 2024 e investigadas por Verizon, aumentó 20 puntos porcentuales en total de incidentes, con respecto al año anterior.
ESET, compañía líder en detección proactiva de amenazas, advierte que la preparación es la clave de una respuesta a incidentes (IR) eficaz. Una vez que las amenazas se introducen en la red, el tiempo juega en contra y de tenerlas antes de que lleguen a provocar daño es cada vez más difícil: según las últimas investigaciones, en 2024 los adversarios fueron un 22% más rápidos que en el año anterior para progresar desde el acceso inicial hasta el movimiento lateral (también conocido como «tiempo de fuga»). El tiempo medio de penetración fue de 48 minutos, aunque el ataque más rápido registrado fue casi la mitad: solo 27 minutos.
“Una filtración de datos no tiene por qué ser tan catastrófico como parece para los defensores de la red siempre y cuando los equipos sean capaces de responder con rapidez y decisión a las intrusiones. Aunque cada organización (y cada incidente) es diferente, si todos los miembros del equipo de respuesta a incidentes saben exactamente lo que tienen que hacer, y nada queda librado al azar o a inventar sobre la marcha hay más posibilidades de que la resolución sea rápida, satisfactoria y de bajo costo.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Desde ESET aclaran que ninguna organización es 100% a prueba de brechas y que si se sufre un incidente y sospecha de un acceso no autorizado, se debe trabajar metódicamente y con rapidez. Para ello, una guía de cómo actuar durante las primeras 24 a 48 horas con rapidez y minuciosidad, sin comprometer la precisión ni las pruebas:
1. Recopilar información y comprender el alcance: El primer paso es comprender exactamente qué sucedió, activar el plan de respuesta a incidentes preestablecido y notificarlo al equipo.
2. Notificar a terceros: Una vez que se haya establecido qué sucedió, es necesario informar a las autoridades pertinentes.
3. Aislar y contener: Mientras se mantiene el contacto con los terceros pertinentes, se debe trabajar con rapidez para evitar la propagación del ataque. Se recomienda aislar de internet los sistemas afectados sin apagar los dispositivos, para limitar el alcance del atacante sin comprometer posibles pruebas valiosas.
4. Eliminar y recuperar: Se debe realizar el análisis forense para comprender las tácticas, técnicas y procedimientos (TTP) del atacante, desde la entrada inicial hasta el movimiento lateral y (si procede) el cifrado o la extracción de datos. Y eliminar cualquier malware persistente, backdoors, cuentas fraudulentas y otros signos de peligro. Para recuperar y restaurar es clave eliminar el malware y las cuentas no autorizadas, verificar la integridad de los sistemas y datos críticos, restaurar copias de seguridad limpias (tras confirmar que no están comprometidas) y vigilar de cerca la aparición de indicios de un nuevo compromiso o de mecanismos de persistencia.
5. Revisar y mejorar: Una vez pasado el peligro inmediato, es momento de revisar las obligaciones con los organismos reguladores, los clientes y otras partes interesadas (por ejemplo, socios y proveedores).
Una cultura sólida tras un incidente trata cada brecha como un ejercicio de entrenamiento para la siguiente, mejorando las defensas y la toma de decisiones en situaciones de estrés.
“No siempre es posible evitar una brecha, pero sí minimizar los daños. Si su organización no dispone de recursos para vigilar las amenazas 24 horas al día, 7 días a la semana, considere la posibilidad de contratar un servicio de detección y respuesta gestionadas (MDR) de un tercero de confianza. Pase lo que pase, ponga a prueba su plan de IR, y luego vuelva a ponerlo a prueba. Porque el éxito de la respuesta a incidentes no es solo una cuestión de IT. Requiere que una serie de partes interesadas de toda la organización y externas trabajen juntas en armonía. El tipo de memoria muscular que todos necesitan suele requerir mucha práctica para desarrollarse”, concluye Gutiérrez Amaya de ESET Latinoamérica.