¿Qué hacer frente a un incidente de ciberseguridad?

Foto stock bloques ciberseguridad

Actuar rápido y de forma oportuna ante un incidente de ciberseguridad puede minimizar el impacto del incidente. Para ello, es importante que tengas (y uses) un plan para saber qué hacer en caso de una emergencia.

En el CSIRT de Gobierno vemos muchos incidentes. Durante un incidente, es importante mantener la calma y tratar de actuar con rapidez pero tomándose un tiempo prudente para pensar en lo que estás haciendo, porque usualmente no hay segundas oportunidades para capturar información útil para el proceso que vendrá después.

Los siguientes son los pasos que desde el CSIRT de Gobierno recomendamos para hacer frente a un incidente de ciberseguridad:

  1. Determina qué ocurre. ¿Tienes un sitio web o un sistema interno caído? ¿Tus usuarios no tienen acceso a algún sistema importante? ¿Salió publicada información de tu servicio en la prensa? Recopila la mayor cantidad de datos posibles y que sean relevantes para presentarlos de forma ordenada a tu jefatura o (si existe) al comité de emergencia.
  2. Responde a la emergencia. Una vez identificado el problema, actúa rápido y toma las medidas necesarias para resolver el problema. Así, en el caso de un sitio web afectado por un defacement, o una aplicación expuesta a Internet caída, redirígela a una página estática que diga, por ejemplo, “en mantención”. Si existen máquinas en tu red interna que estén infectadas y atacando a otras, desconéctalas físicamente de la red y retira los aparatos para que los usuarios no los sigan usando. Muchas personas en este etapa piensan inmediatamente en tomar medidas legales (en nuestra experiencia, más motivados por querer hacer algo y no saber cómo contribuir en lo técnico). Lo más importante durante un evento es recuperar las capacidades o activos perdidos. Luego de recuperadas las capacidades, habrá tiempo de sobra para discutir qué medidas legales puedes tomar.
  3. Avisa a la jefatura y a los usuarios o clientes oportunamente. Prepara un par de párrafos que expliquen brevemente qué ocurrió, que se está haciendo para solucionar el problema y qué se hará dentro de los próximos minutos u horas. Recuerda que además debes notificarnos (¡más sobre eso abajo!), según lo establecido en el decreto 273.
  4. Recopila información. Si la emergencia está controlada, continúa reuniendo información para realizar una investigación forense. Esto incluye: copias de los filesystems afectados, logs de las aplicaciones, listas de procesos en las máquinas infectadas, etc. Crea copias de la información afectada, calcula hashes de la información y guarda todo en un medio de almacenamiento permanente. Si no tienes posibilidad de hacer un análisis forense, contáctanos para ver si podemos ayudarte.
  5. Resuelve el problema. Dependiendo de cuál sea la causa del problema, resuélvela. Por ejemplo, ¿abusaron de un PhpMyAdmin que estaba expuesto a Internet? Deja de exponer la aplicación. ¿Hay un bucket en AWS mostrando datos sensibles? Baja el bucket o déjalo como privado. ¿Comprometieron tus máquinas internas a través de una vulnerabilidad de MS Windows? Aíslalas e instala las actualizaciones de seguridad no aplicadas. ¿Hay usuarios desconocidos o permisos en exceso otorgados a usuarios existentes? Arregla los permisos según las políticas oficiales. En esta etapa, el objetivo es tapar el agujero para evitar que siga entrando agua, no es sacar el agua. Si tienes la posibilidad de hacerlo, delega tareas a quienes puedan ayudarte con indicaciones muy claras sobre qué hacer.
  6. Recupera la operación de los sistemas afectados. Ahora sí, hay que sacar el agua del bote. Levanta una máquina limpia desde el último backup disponible y asegúrate que esté limpio. Una vez que el sistema esté disponible de nuevo, recupera la información faltante por el período en que el sistema estuvo caído o atacado. Cuando tengas una copia limpia y actualizada del sistema, redirige (e.g., DNS) el sitio público a la copia limpia.
  7. Avisa nuevamente. Infórmale a la jefatura y los usuarios que la operación volvió a la normalidad. Construye un relato breve sobre qué ocurrió y las medidas que se tomaron para solucionar el problema (post-mortem del incidente).
  8. Respira hondo y distribuye el post-mortem a la jefatura y los usuarios que corresponda. Vuelve a contactar al CSIRT para enviar una actualización de lo que ocurrió.

¿Cómo notificar un incidente de ciberseguridad al CSIRT de Gobierno?

Ingresa a https://csirt.gob.cl y haz clic en “Reportar incidente” arriba a la derecha.

¿Necesitas ayuda para responder al incidente? Ingresa tu nombre, email y/o tu teléfono para que un especialista del CSIRT te pueda contactar. La ayuda puede ser remota y/o física, dependiendo de la gravedad del incidente y de la disponibilidad del equipo.

Completa el formulario con tus datos y los de tu institución:

  • En "Nombre completo", ingresa tu nombre. Este dato es obligatorio, pero si deseas permanecer anónimo puedes solicitarlo más abajo.
  • En "Correo electrónico", ingresa tu dirección de correo. Si estás reportando un incidente ocurrido a una organización, por favor coloca tu email institucional; si estás reportando un incidente que descubriste en una organización pero no trabajas ahí, por favor pon tu email personal. Este dato es obligatorio.
  • En “Entidad de la persona que reporta”, registra el nombre de la institución donde trabajas.
  • En "Teléfono" pon el número de teléfono donde puedes ser contactado o contactada. No es obligatorio.
  • En “Institución afectada”, identifica el nombre de la institución afectada. Puede ser distinta a la tuya si estás reportando un incidente en otra institución. Este dato es obligatorio; necesitamos saberlo para poder apoyar a la institución.
  • En “Mensaje” escribe toda la información que tengas sobre el incidente, en el momento en que estés reportando:
    • ¿Estás respondiendo por primera vez y no tienes mucha información? No importa, luego puedes ampliar la información en un segundo reporte.
    • Incluye toda la información que tengas sobre el sistema afectado. ¿Es un sistema expuesto a Internet? Ingresa la IP del sistema, aunque el sistema esté actualmente abajo. ¿No sabes la IP? Coloca la URL del sitio web que afectado. ¿No es un sitio web? Registra lo que sepas sobre qué sistemas o aplicaciones fueron afectadas.
  • Finalmente, si podemos confirmar tu notificación, y deseas que tu nombre sea publicado en nuestro "Muro de la Fama", marca el checkbox debajo del título "Muro de la Fama".
  • Antes de poder enviar la notificación, debes hacer click en el botón de verificación de Cloudflare ("Verify you are a human"). Luego, haz click en "Enviar reporte" y enfócate en seguir respondiendo a la emergencia.

Si tienes dudas o necesitas apoyo, también puedes enviar un correo a [email protected] o llamar al 1510.