Plan de Respuesta a Incidentes (IRP)

La ciberseguridad al 100% no existe. Tarde o temprano, las defensas caerán. El Plan de Respuesta a Incidentes (IRP) define exactamente qué hacer cuando eso ocurre para minimizar el impacto, expulsar al atacante y recuperar el control. Utilizaremos el marco de trabajo estándar de la industria desarrollado por el SANS Institute (PICERL).

Las 6 Fases de Respuesta (PICERL)

1. Preparación (Preparation)

El 90% del éxito en la respuesta a un incidente se basa en esta fase. No puedes defender lo que no conoces ni actuar si no tienes las herramientas.

• Inventario de activos: ¿Qué servidores y datos tenemos?
• Logging centralizado (SIEM): Configurar la retención de logs. Si te atacan y no hay logs, estás ciego.
• Playbooks: Guías paso a paso para ataques específicos (Ej: "Playbook contra Ransomware").
• Equipo CSIRT: ¿Quién manda? ¿Quién avisa a la policía/medios? ¿Quién desconecta los cables?

2. Identificación (Identification / Detection)

El momento en el que saltan las alarmas (Alertas del EDR, del SIEM, o un usuario diciendo "mi pantalla tiene una calavera").

# Triage de alertas comunes
- Inicios de sesión desde IPs geolocalizadas en zonas anómalas (Imposible Travel).
- Ejecución de PowerShell codificado en Base64.
- Picos de tráfico saliente de madrugada (Exfiltración de datos).

# Objetivo: Declarar formalmente si es un "Falso Positivo" o un "Incidente de Seguridad Crítico".

3. Contención (Containment)

Detener la hemorragia. REGLA DE ORO: ¡No apagues el equipo infectado! Si lo apagas, destruirás la memoria RAM donde el malware suele ocultar sus claves o procesos activos.

• Contención a corto plazo: Aislar el servidor de la red (desconectar el cable de red o aplicar reglas restrictivas de Firewall/VLAN) para que no propague el malware lateralmente, pero manteniéndolo encendido para análisis forense (DFIR).
• Contención a largo plazo: Cambiar contraseñas comprometidas de administradores, revocar tokens de sesión.

4. Erradicación (Eradication)

Eliminar la causa raíz y las puertas traseras (backdoors) que dejó el atacante.

# Acciones típicas de erradicación:
- Borrar tareas Cron y claves de registro de persistencia (Run/RunOnce).
- Eliminar cuentas de usuario creadas por el atacante.
- Parchear la vulnerabilidad explotada (Ej: Actualizar un plugin de WordPress).

5. Recuperación (Recovery)

Devolver los sistemas a producción de forma cuidadosa y monitorizada.

• Restaurar servidores desde copias de seguridad limpias (Backups Offline).
• Monitorizar la red intensivamente durante las próximas 48h buscando señales de que el atacante sigue dentro.

6. Lecciones Aprendidas (Lessons Learned)

El paso más ignorado pero el más vital. Redactar un informe post-mortem respondiendo a: ¿Qué pasó? ¿Por qué pasó? ¿Qué hicimos bien? ¿Qué hicimos mal? ¿Cómo evitamos que nos pase el mes que viene?