Plan de respuesta ante incidentes de ciberseguridad

Un incidente de ciberseguridad es cuestión de cuándo, no de si ocurrirá. La diferencia entre una organización que se recupera rápidamente y una que sufre consecuencias devastadoras está en la preparación. Un plan de respuesta ante incidentes (IRP, por sus siglas en inglés) es un documento estructurado que define cómo la organización detecta, contiene, erradica y se recupera de incidentes de ciberseguridad.

En Chile, la Ley 21.663 Marco de Ciberseguridad establece obligaciones de reporte de incidentes que hacen imprescindible contar con un plan formal. Para un marco más amplio, consulta análisis de riesgos de ciberseguridad.

¿Por qué necesitas un plan de respuesta?

• Requisito legal: La Ley 21.663 obliga a reportar incidentes significativos al CSIRT Nacional dentro de plazos específicos.
• Requisito normativo: ISO 27001 incluye controles específicos de gestión de incidentes (A.5.24 a A.5.28).
• Reducción de impacto: La respuesta rápida y coordinada minimiza el daño, el tiempo de inactividad y las pérdidas.
• Protección de reputación: Una respuesta profesional protege la confianza de clientes y socios.
• Evidencia forense: Un plan asegura la preservación de evidencia para investigación y posibles acciones legales.

Fases del plan de respuesta

1. Preparación

Antes de que ocurra un incidente:

• Definir el equipo de respuesta (CSIRT interno) con roles y responsabilidades claras.
• Establecer canales de comunicación seguros para coordinar durante un incidente.
• Documentar el inventario de activos críticos y sus dependencias.
• Implementar herramientas de detección (SIEM, IDS/IPS, EDR).
• Realizar simulacros periódicos (tabletop exercises).
• Mantener contactos actualizados: CSIRT Nacional, proveedor de servicios de seguridad, asesores legales, aseguradora.

2. Detección y análisis

Identificar que un incidente está ocurriendo y evaluar su alcance:

• Monitorear alertas de seguridad y correlacionar eventos.
• Clasificar el incidente por severidad (crítico, alto, medio, bajo).
• Determinar el vector de ataque, los sistemas afectados y los datos comprometidos.
• Documentar todo desde el primer momento: hora de detección, acciones tomadas, personas involucradas.

3. Contención

Limitar el daño sin destruir evidencia:

• Contención a corto plazo: Aislar sistemas comprometidos, bloquear cuentas, desconectar de la red.
• Contención a largo plazo: Aplicar parches, cambiar credenciales, implementar controles adicionales.
• Preservar evidencia forense antes de limpiar sistemas.

4. Erradicación

Eliminar completamente la amenaza:

• Identificar y eliminar el malware o acceso no autorizado.
• Cerrar la vulnerabilidad que permitió el ataque.
• Verificar que no queden puertas traseras o persistencia del atacante.

5. Recuperación

Restaurar operaciones normales:

• Restaurar sistemas desde respaldos verificados.
• Monitorear intensivamente los sistemas restaurados.
• Validar que los servicios funcionan correctamente antes de declarar el fin del incidente.

6. Lecciones aprendidas

Después del incidente:

• Reunión post-mortem con todos los involucrados.
• Documentar la cronología completa del incidente.
• Identificar qué funcionó bien y qué debe mejorarse.
• Actualizar el plan de respuesta con las lecciones aprendidas.
• Implementar acciones correctivas para prevenir recurrencia.

Clasificación de incidentes

Comunicación durante un incidente

La comunicación es crítica y debe planificarse previamente:

• Interna: Quién informa a quién, qué canales usar (no usar los canales comprometidos).
• Regulatoria: Notificación al CSIRT Nacional según Ley 21.663, a la Agencia de Protección de Datos si hay datos personales comprometidos.
• Clientes y afectados: Cuándo, cómo y qué comunicar a las personas cuyos datos fueron comprometidos.
• Medios: Designar un vocero único, preparar comunicados con asesoría legal.

Revisa también ransomware en Chile, phishing y la guía sobre NIST Cybersecurity Framework.