Plan de Respuesta a Incidentes

Framework de respuesta a incidentes de ciberseguridad basado en el marco NIST SP 800-61, cubriendo las 4 fases: preparación, detección, contención/erradicación y recuperación.

Fases del plan de respuesta (NIST)

Fase 1 — Preparación

• Definir el equipo de respuesta (CSIRT/SOC) y sus roles.
• Clasificar activos críticos y datos sensibles.
• Establecer canales de comunicación de emergencia.
• Preparar herramientas forenses (Volatility, Autopsy, FTK).
• Implantar SIEM (Splunk, Elastic SIEM, Wazuh) para centralizar logs.
• Definir y probar los procedimientos con simulacros.

Fase 2 — Detección y Análisis

# Fuentes de alertas:
# - IDS/IPS (Snort, Suricata)
# - SIEM
# - Logs del sistema
# - Usuarios finales
# - Threat intelligence feeds

# Comandos de triage inicial en Linux:
# Procesos activos:
ps aux | grep -v "^\[" | sort -k4 -r | head -20

# Conexiones de red activas:
netstat -antp | grep ESTABLISHED
ss -tulnp

# Últimos logins:
last -20
lastb | head -20    # Intentos fallidos

# Archivos modificados recientemente:
find /etc /bin /sbin /usr -mtime -1 -type f 2>/dev/null

# Crontabs (persistencia):
crontab -l
cat /etc/crontab
ls /etc/cron.*

Fase 3 — Contención

# CONTENCIÓN A CORTO PLAZO:
# Aislar el sistema de la red (sin apagarlo para preservar memoria):
ip link set eth0 down
# o desconectar cable físico

# Bloquear IP del atacante en firewall:
iptables -A INPUT -s [IP_ATACANTE] -j DROP
iptables -A OUTPUT -d [IP_ATACANTE] -j DROP

# Cambiar contraseñas comprometidas:
passwd [usuario_comprometido]

# Revocar certificados/tokens comprometidos

# CAPTURA DE EVIDENCIAS (antes de erradicar):
# Volcado de memoria RAM (preserva procesos, conexiones):
avml /media/usb/memory.lime
# o con LiME:
insmod lime.ko "path=/media/usb/ram.lime format=lime"

# Imagen del disco:
dd if=/dev/sda of=/media/usb/disk.img bs=4M status=progress

# Hash de integridad:
sha256sum /media/usb/disk.img > /media/usb/disk.img.sha256

Fase 4 — Erradicación

# Identificar el vector de entrada:
# - Revisar logs de Apache/Nginx para la primera request maliciosa
# - Analizar imagen de disco con Autopsy o Sleuth Kit
# - Buscar webshells:
find /var/www -name "*.php" -newer /var/www/index.php 2>/dev/null
grep -r "eval(base64_decode" /var/www/ 2>/dev/null
grep -r "system\($_" /var/www/ 2>/dev/null

# Eliminar malware y backdoors identificados
# Parchear la vulnerabilidad explotada
# Eliminar cuentas no autorizadas:
cat /etc/passwd | grep "/bin/bash"

Fase 5 — Recuperación

# Restaurar desde backup limpio verificado
# Restablecer contraseñas de todos los usuarios
# Monitorización intensiva post-incidente:
tail -f /var/log/auth.log
tail -f /var/log/apache2/access.log

# Verificar integridad del sistema:
apt install aide
aide --init && cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db
aide --check

Fase 6 — Lecciones Aprendidas

En las 2 semanas posteriores al incidente, documentar:

• ¿Qué pasó? ¿Cuándo se detectó? ¿Cuál fue el impacto?
• ¿Qué funcionó bien en la respuesta?
• ¿Qué falló? ¿Qué mejorar?
• Acciones concretas para prevenir incidentes similares.

Clasificación de incidentes por gravedad

Nivel	Descripción	Tiempo de respuesta
P1 — Crítico	Brecha activa, datos sensibles comprometidos, sistemas caídos	Inmediato (< 1h)
P2 — Alto	Acceso no autorizado, ransomware, exfiltración detectada	< 4h
P3 — Medio	Malware no propagado, fuerza bruta activa, phishing exitoso	< 24h
P4 — Bajo	Escaneo de puertos, phishing bloqueado, anomalía menor	< 72h