Glosario de términos relacionados con la privacidad en Internet
Respuesta a incidentes
¿Qué es una respuesta a incidentes?
Una respuesta a incidentes es una serie de acciones que realiza una organización cuando experimenta un evento como una filtración de seguridad o un ataque cibernético. Las acciones tomadas para responder al incidente incluyen preparación, detección, contención, erradicación y recuperación. Un incidente puede ser cualquier actividad no deseada en la red o el sistema que comprometa la seguridad del computador y la red.
La respuesta a incidentes y la seguridad de la red están estrechamente vinculadas. Con la seguridad de la red, el objetivo de una organización es prevenir incidentes. Cuando un ataque tiene éxito a pesar de los esfuerzos de seguridad de la red, una organización necesita una respuesta a incidentes eficaz para detener el ataque, mitigar el daño y mejorar el plan de seguridad de la red para el futuro. La mejor práctica para una respuesta a incidentes más eficaz es tener un plan de respuesta a incidentes formal—un conjunto de procedimientos que describen todos los aspectos de la respuesta desde la detección hasta la recuperación.
¿Qué eventos requieren una respuesta a incidentes?
Un ataque que requiere una respuesta a incidentes puede tomar muchas formas, incluyendo (pero no limitado a) una violación de datos, ataque de ransomware, ataque de denegación de servicio distribuida (también conocido como DDoS), malware instalado a través de una trampa de phishing, o un compromiso de correo electrónico empresarial (una forma de ingeniería social donde alguien se hace pasar por un empleado en un correo electrónico). Los incidentes pueden originarse externamente o dentro del sistema de la organización. Un incidente que requiere una respuesta puede no ser un ataque real, sino una “amenaza inminente” de un nuevo esquema de ataque o una vulnerabilidad recién descubierta en el software.
¿Qué es un plan de respuesta a incidentes?
Si bien es posible abordar un incidente sin un plan formal, tener un plan de respuesta a incidentes formal puede resultar en acciones más rápidas y un resultado más eficaz. Los equipos predeterminados asignados a tareas específicas pueden responder de manera más eficiente, una ventaja importante cuando una organización está bajo ataque.
Un plan de respuesta a incidentes es altamente específico para la organización individual, reflejando su red y datos, su personal, y sus prioridades de seguridad y vulnerabilidades percibidas. Además de detallar lo que se debe hacer para contener y eliminar la amenaza, un plan de respuesta a incidentes debe abordar al personal y sus responsabilidades, los canales correctos de comunicación, y qué herramientas y permisos necesitará el personal del equipo de respuesta.
Los pasos de una respuesta a incidentes
Una respuesta a incidentes generalmente sigue estos cinco pasos como se describe en el plan de respuesta a incidentes, si existe uno. Los detalles dentro de cada paso variarán en gran medida dependiendo de la organización y el tipo de amenaza.
- Detección y análisis: Este paso se superpone con los procedimientos de seguridad de la red, específicamente la parte del plan de seguridad de la red que monitorea la actividad en la red. Cuando el monitoreo de seguridad de la red detecta un posible incidente, el personal asignado puede usar herramientas identificadas en el plan de respuesta a incidentes para analizar y determinar el alcance del incidente.
- Contención: Cuando se detecta un incidente y se evalúa la magnitud de su efecto, el siguiente paso es minimizar el daño conteniendo el incidente. Evitar que el ataque se propague más a través de la red de la organización, o hacia redes asociadas, puede implicar aislar físicamente los dispositivos afectados (como servidores o computadoras) o segmentos de la red. El paso de contención también puede involucrar respaldar el sistema afectado (para un análisis posterior o evidencia en posible persecución) y respaldar los datos amenazados.
- Erradicación: Una vez que la amenaza está contenida, las acciones se centran en la eliminación completa de la amenaza, ya sea borrando Malware, o eliminando al actor malicioso del sistema. La contención exitosa permite al equipo de respuesta tiempo para una revisión cuidadosa de los sistemas para asegurarse de que todas las amenazas han sido abordadas.
- Recuperación y reparación del daño: Con la amenaza erradicada, es seguro restaurar los sistemas y datos a plena funcionalidad. En la fase de recuperación, los dispositivos y sistemas aislados se devuelven a la red, se realizan parches a las fallas de software, y los datos se restauran a partir de archivos de respaldo.
- Lecciones aprendidas: Una revisión posterior al evento del incidente puede llevar a ajustar tanto el plan de respuesta a incidentes como el plan de seguridad de la red.
Tanto durante como después de un incidente, el equipo de respuesta puede necesitar informar del evento a otras partes, incluyendo a otras personas dentro de la organización, organismos reguladores, autoridades, y clientes. También pueden compartir lo sucedido con terceros interesados como proveedores de software y ISP, o incluso los medios. El plan de respuesta a incidentes debe detallar quién se informa y cuándo, y quién es responsable de la comunicación.
¿Qué significa la respuesta a incidentes para mí?
Una de las mayores amenazas para tu información personal almacenada en el sistema de otra persona es una violación de datos. Una respuesta a incidentes eficaz puede significar la diferencia entre mantener tus datos seguros o que terminen en manos de actores maliciosos. Como usuarios, no podemos influir en el plan de respuesta a incidentes de una organización—debemos confiar en sus prácticas de ciberseguridad. Pero podemos proteger nuestros datos en nuestras propias redes y dispositivos personales. Usar un navegador con fuertes protecciones de privacidad y seguridad, como el navegador Brave, puede ayudar a limitar el riesgo de que tus datos caigan en las manos equivocadas:
- El navegador Brave incluye Safe Browsing, lo que puede ayudar a prevenir violaciones de datos al proteger contra sitios web maliciosos.
- El bloqueador de anuncios incorporado de Brave—Escudos de Brave—puede bloquear anuncios maliciosos y engañosos, en parte mediante el uso de listas de filtros. También es más seguro que las extensiones del navegador, que pueden introducir nuevos riesgos de seguridad por sí mismas.
- Brave actualiza automáticamente las conexiones a la más segura HTTPS. Asegúrate de que tu navegador no te esté alertando sobre una advertencia de seguridad, o verifica que la URL comience con https:// (no con “http://”). Estas señales indican que tus datos están cifrados durante la transferencia. Esto no garantiza que tus datos se almacenen cifrados, pero podría mejorar las probabilidades.
A veces podemos optar por hacer negocios con empresas que tienen un buen historial de seguridad de los datos (o que no recopilan datos en primer lugar, como Brave), y evitar empresas con historiales de violaciones de datos. También puedes limitar la cantidad de lugares donde se almacenan tus datos, reduciendo así la posibilidad de que se involucren en una filtración. Usar contraseñas fuertes y únicas, y la autentificación multifactor cuando esté disponible, puede ayudar a proteger tus datos en caso de una violación.
Si recibes un aviso de que tus datos pueden haber sido violados, o ves en las noticias que hubo una violación en una empresa con la que haces negocios, toma medidas inmediatas para proteger tus cuentas y datos:
- Cambia tu contraseña en ese sitio de inmediato, así como en cualquier otro sitio donde uses la misma contraseña. Y establece contraseñas y PINs fuertes y únicos en adelante.
- Verifica la fecha de la violación y revisa la actividad de las cuentas afectadas en esa fecha o después. Busca actividad inusual como un cambio de dirección, número de teléfono o detalles de facturación.
- Ten en cuenta que no todas las violaciones se detectan rápidamente—puede haber un retraso entre cuando tus cuentas fueron comprometidas y cuando fuiste notificado. Por lo tanto, deberías repetir periódicamente esta revisión de la actividad de la cuenta, y estar atento a futuras actividades inusuales revisando detenidamente los estados de cuenta mensuales.
- Mantén la carta o correo electrónico de notificación de la violación de datos, en caso de que necesites prueba en el futuro de que tus datos fueron comprometidos.
- Presenta alertas de fraude con las principales oficinas de crédito para protegerte contra el uso de datos robados para obtener un préstamo o tarjeta de crédito a tu nombre.