Pasar al contenido principal

Ciberincidente

Evento cibernético que pone en peligro la ciberseguridad de un sistema, la información que el sistema procesa, almacena o transmite o que infringe las políticas, procedimientos de seguridad o las políticas de uso aceptable. Puede o no ser producto de una actividad maliciosa.

Se considera un ciberincidente cualquier hecho que tenga efectos adversos reales en la seguridad de las redes y de los sistemas de información. A menudo se usa esta palabra y la palabra ciberdelito como sinónimos. Sin embargo, no son lo mismo. En el ciberdelito influye la comisión del delito que es cualquier acción tipificada de acuerdo con lo establecido en el código penal y el uso de la tecnología para su consecución.

Este tipo de incidentes suponen un quebradero de cabeza para las empresas de cualquier tamaño. Y es que cada año aumenta el número de empresas que han sufrido un suceso de ciberseguridad, afectando mayoritariamente a las PYMEs (pequeñas y medianas empresas). Los ataques se dirigen hacia los sistemas, sus webs, aplicaciones o ataques de ingeniería social mediante redes sociales y provocar enormes pérdidas económicas y reputacionales.

Para ello, una empresa debe tener en cuenta qué elementos, equipos, redes, sistemas y datos necesita proteger, y asignar un empleado encargado de actualizarlos y manejarlos. Del mismo modo, debe hacer un listado con posibles incidentes y valorar la gravedad y consecuencias en caso de que ocurra, así como quién tomará las decisiones oportunas. Este ejercicio incluye reflexionar sobre qué ciberincidentes es capaz de gestionar internamente y para cuáles necesitaría apoyo externo, así como posibles contactos a los que acudir en caso de que sea necesario.

Es imprescindible contar con un plan de respuesta. Un plan de respuesta a incidentes es un conjunto de instrucciones que sirven para ayudar al departamento TI a detectar, responder y recuperarse de incidentes. Estos planes incluyen ataques producidos por cibercriminales y fugas de información que pueden durar días o meses. Los equipos encargados de responder en estas situaciones se llaman Equipos de respuesta ante incidentes (CIRT) cuyo papel ha tomado gran relevancia en los últimos años. Suelen estar formados por personal de seguridad (administrador, analistas, investigadores…), de TI, de legal, recursos humanos y relaciones públicas. El objetivo es enfrentarse técnicamente al incidente y también comunicar adecuadamente lo sucedido para minimizar los costes y los daños a la imagen pública y reputación.

En general, cuando estos suceden se recomienda no entrar en pánico, ser discreto y esperar las instrucciones de los expertos en seguridad antes de tomar decisiones como apagar los sistemas o introducir credenciales. En lugar de eso, lo aconsejable es recopilar tantos datos como sea posible con herramientas forenses y recopilar registros. Algunas herramientas que facilitan esta labor son los registros de SIEM, un antivirus, y soluciones de registros DLP (prevención de pérdida de datos).