Como actuar ante una brecha de seguridad producida por un ciberataque


Manuel Castilleja Toscano     21/12/2020

Brechas de seguridad

Una brecha, quiebra o violación de seguridad de datos personales, es aquel incidente de seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Desafortunadamente cada vez son más las organizaciones que se ven afectadas por un incidente de seguridad provocado por un ciberataque. Los ciberdelincuentes están cada vez más capacitados y van muy por delante de la tecnología existente, por lo que resulta prácticamente imposible estar completamente a salvo de estos ataques.

Plan de contingencia

Cada vez se hace más necesario que las organizaciones cuenten, además de con las medidas de seguridad previas oportunas que traten de impedir estos incidentes de seguridad, con un plan de actuación o plan de contingencias que contemple qué hacer en caso de ciberataque, cuando las medidas establecidas en principio no han impedido la violación o brecha de la seguridad de los datos.

Estas medidas específicas de actuación estarán destinadas a contener, mitigar o eliminar los daños que pudieran ocasionarse en caso de ciberataque en diferentes ámbitos:

  • organizativo (administración, comercial, etc.)
  • protección de datos
  • reputacional

Este plan permitirá actuar de manera rápida y eficaz, ya que el tiempo en estos casos es fundamental tanto:

  • en lo referente al cumplimiento normativo, de acuerdo con el GDPR, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe efectuar la correspondiente notificación a la autoridad de control competente, sin dilación y a más tardar en las 72 horas siguientes.
  • como en lo referente a los intereses de la propia organización de continuar con su actividad económica habitual lo antes posible.

Independientemente de su tamaño y complejidad, las organizaciones, tanto si son responsables o encargados de tratamientos de datos personales, deben tener claramente establecido cómo van a proceder ante una brecha de seguridad. Durante todo el proceso de gestión de la brecha de seguridad, debe tenerse en cuenta la recolección y custodia de evidencias que permitan disponer de información presentable ante terceros.

Además de la información sustraída, las pérdidas económicas, y las sanciones económicas que podrían implicar sufrir un incidente de este tipo, otra cuestión a tener en cuenta como hemos comentado es el impacto reputacional del incidente en la entidad. Por todo esto se hace necesario que se coordine a todo el personal y a todos los departamentos implicados:

  • Departamento informático (TIC): para devolver cuanto antes la normalidad a los sistemas de información de la organización mediante la aplicación de medidas que corrijan la vulnerabilidad y la restauración de la información a través de las copias de respaldo.
  • Departamento legal (privacidad, compliance, jurídico): para notificar la brecha de seguridad a la autoridad de control y a las personas afectadas, atender a los afectados (clientes, pacientes, alumnos, usuarios, empleados, afiliados, etc.) que reclamen indemnizaciones y emprender acciones contra el ciberdelincuente, denunciando el hecho ante la autoridad competente.
  • Comité de crisis: para iniciar las acciones necesarias con el fin de disminuir el daño reputacional que pueda sufrir la organización.

Solucionada la brecha y verificada la eficacia de las medidas adoptadas, se entra en la fase de recuperación, que tiene como objetivo el restablecimiento del servicio en su totalidad, confirmando su funcionamiento normal y evitando en la medida de lo posible que sucedan nuevos incidentes basados en la misma causa.

Categorías de brechas de seguridad

Las brechas de seguridad pueden clasificarse en las siguientes categorías según se vea afectada la información:

  • Brecha de confidencialidad: acceso no autorizado, o sin un propósito legítimo, a la información.
  • Brecha de integridad: alteración o sustitución de la información original.
  • Brecha de disponibilidad: imposibilidad de acceso a los datos originales cuando es necesario. Puede ser temporal (los datos son recuperables, pero tomará un periodo de tiempo) o permanente (los datos no pueden recuperarse).

Tipologías de incidentes de seguridad

Algunas tipologías de casos que pueden dar lugar a un incidente de este tipo son:

  • Vulnerabilidad no conocida (0-day): ataque que permite acceder a los datos desconociendo el origen de la vulnerabilidad. Será una amenaza hasta que el fabricante o desarrollador la resuelva.
  • Ataque dirigido (APT): ataques dirigidos normalmente a recabar información fundamental que permita continuar con ataques más sofisticados. Por ejemplo, una campaña de envío de email con software malintencionado a empleados de una empresa hasta conseguir que alguno de ellos lo instale en su equipo y proporcione una puerta de entrada al sistema.
  • Denegación de servicio (DoS/DDoS): ataque que inunda de tráfico un sistema hasta que no sea capaz de dar servicio a los usuarios legítimos del mismo.
  • Acceso a cuentas privilegiadas: ataque que permite acceder al sistema mediante una cuenta de usuario con privilegios avanzados, lo que le confiere libertad de acciones. Previamente deberá haber conseguido el nombre de usuario y contraseña por algún otro método, por ejemplo, APT.
  • Código malicioso: piezas de software cuyo objetivo es infiltrase o dañar un ordenador, servidor u otro dispositivo de red con finalidades muy diversas. Una posibilidad para que el código dañino alcance a una organización es que un usuario lo instale de forma involuntaria.
  • Compromiso de la información: todos los incidentes relacionados con el acceso y fuga, modificación o borrado de información no pública.
  • Robo y/o filtración de datos: pérdida/robo de dispositivos de almacenamiento con información.
  • Desfiguración (Defacement): tipo de ATP que consiste en la modificación de la página web corporativa con la intención de colgar mensajes reivindicativos de algún tipo o cualquier otra intención. La operativa normal de la web queda interrumpida, produciéndose además daños reputacionales.
  • Explotación de vulnerabilidades de aplicaciones: cuando un ataque logra explotar con éxito una vulnerabilidad existente en un sistema o producto consiguiendo comprometer una aplicación de la organización.
  • Ingeniería social: técnicas basadas en el engaño, normalmente llevadas a cabo a través de las redes sociales, que se emplean para dirigir la conducta de una persona u obtener información sensible. Por ejemplo, el usuario es inducido a pulsar sobre un enlace haciéndole pensar que es lo correcto.

Medidas de contención

Algunas de las medidas de contención que podrían aplicarse en función de cada caso:

  • Dependiendo del vector de ataque, impedir el acceso al origen del incidente o los destinatarios de la divulgación de información: dominios, conexiones remotas, puertos, parches, actualización del software de detección (antivirus, IDS,...), bloqueo de tráfico, deshabilitar dispositivos, servidores, equipos informáticos, etc.
  • Suspender las credenciales lógicas y físicas con acceso a información privilegiada. Cambiar todas las contraseñas de usuarios privilegiados o hacer que los usuarios lo hagan de manera segura.
  • Realizar una copia del sistema (clonado) y una copia bit a bit del disco duro que contiene el sistema, y luego analizar las copias utilizando herramientas forenses.
  • Aislar el sistema utilizado para revelar los datos con el fin de realizar un análisis forense más tarde.
  • Si los datos han sido enviados a servidores públicos, solicitar al propietario (o webmaster) que elimine los datos divulgados.
  • Si no es posible eliminar los datos divulgados, proporcionar un análisis completo de la situación al departamento correspondiente (Legal, Compliance, RRHH, etc.) o a quien ejerza dichas funciones en la empresa.
  • Vigilar la difusión de los documentos/datos filtrados en los diferentes sitios web y redes sociales (Facebook, Twitter, etc.) así como los comentarios y reacciones de los usuarios de Internet.

Tareas de erradicación

Tras la contención de un incidente, la erradicación puede ser necesaria para solventar determinados efectos del incidente de seguridad, como, por ejemplo, eliminar un malware o desactivar de cuentas de usuario vulneradas. Algunos ejemplos de tareas de erradicación podrían ser:

  • Definir el proceso de desinfección, basado en firmas, herramientas, nuevas versiones y/o revisiones de software, etc. y probarlo. Asegurar que el proceso de desinfección funciona adecuadamente sin dañar servicios.
  • Comprobar la integridad de todos los datos almacenados en el sistema, mediante un sistema de hashes que permita garantizar que los ficheros no han sido modificados, con especial atención a los ficheros ejecutables.
  • Revisar la correcta planificación y actualización de los motores y firmas de antivirus.
  • Analizar con antivirus de todo el sistema, los discos duros y la memoria.
  • Restaurar conexiones y privilegios paulatinamente. Especial acceso restringido paulatino de máquinas remotas o no gestionadas.