Respuesta a incidentes en PyMEs: del alerta al post-mortem sin equipo dedicado

Un equipo de IT con tres personas puede responder a un incidente de seguridad en menos de 4 horas si sigue un playbook basado en NIST SP 800-61 y usa herramientas open source. La diferencia entre contener un ransomware en minutos o perder días en recuperación está en documentar cuatro fases: preparación, detección, contención y post-mortem — no en el presupuesto.

¿Por qué el equipo pequeño es más rápido que el grande?

Las PyMEs latinoamericanas responden a incidentes un 37% más rápido que las empresas con equipos de seguridad dedicados, según datos de CyberShield en 2023. La razón no es técnica: es organizacional. Un equipo de 1-3 personas no tiene capas de aprobación, reuniones de alineación ni escalamientos burocráticos. Pero esa misma agilidad se convierte en caos si no existe un playbook escrito.

En 2022, una PyME mexicana de logística perdió 18 horas en contener un ataque de ransomware porque el único administrador de sistemas intentó "arreglarlo" reiniciando servidores sin aislarlos primero. El malware se propagó a los backups. La empresa pagó rescate no por falta de herramientas, sino por falta de proceso. Lo hemos documentado en CyberShield: el 82% de los incidentes en PyMEs LATAM se agravan por acciones improvisadas en las primeras dos horas.

NIST SP 800-61 Rev 2 define cuatro fases para respuesta a incidentes. En equipos pequeños, estas fases no son secuenciales: son paralelas. Mientras un miembro aísla un endpoint, otro notifica al CSIRT nacional y el tercero documenta en un ticket. La clave está en dividir responsabilidades por habilidades, no por roles.

Fase 1: Preparación — el playbook que cabe en una página

Un playbook útil para PyMEs debe tener tres características: ser corto, ser ejecutable por alguien que no es especialista en seguridad, y estar impreso en un lugar visible. La plantilla que usamos en CyberShield para clientes tiene este formato:

1. Detección inicial
- Herramienta: Wazuh (open source) con reglas personalizadas para LATAM (ej: detección de phishing en español).
- Acción: Si Wazuh genera un alerta de nivel "High" o "Critical", el equipo debe:
a) Verificar en la consola de Wazuh si el evento está correlacionado con otros.
b) Tomar screenshot del dashboard y adjuntarlo al ticket.
c) Notificar al responsable designado (ej: "Juan es el POC para incidentes esta semana").

2. Contención
- Endpoint: Desconectar el equipo de la red (cable físico o WiFi). No apagar.
- Servidor: Aislar VLAN en el switch (comando: switchport access vlan 999).
- Cloud: Revocar permisos IAM temporales y rotar claves API.

3. Comunicación
- Interno: Grupo de WhatsApp/Telegram con todos los empleados. Mensaje preaprobado: "Incidente de seguridad en curso. No abrir correos ni descargar archivos hasta nuevo aviso."
- Externo: Plantilla de notificación a clientes (ver sección 5).
- CSIRT: Enviar reporte inicial al CSIRT nacional dentro de las primeras 2 horas (obligatorio en México, Colombia y Chile).

El playbook debe incluir también:

• Lista de contactos: CSIRT nacional, proveedor de hosting, abogado especializado en protección de datos.
• Inventario de activos críticos: IP de servidores, dominios, bases de datos con PII.
• Credenciales de emergencia: usuario administrador local en servidores, claves de recuperación de cloud.

Herramientas open source esenciales para esta fase:

• Wazuh: SIEM ligero con reglas preconfiguradas para detección de ransomware y phishing.
• TheHive: Plataforma de gestión de incidentes con integración a MISP para threat intelligence.
• Velociraptor: Forense remoto para recolección de evidencia en endpoints.

En CyberShield hemos verificado que un equipo de dos personas puede desplegar estas herramientas en menos de 4 horas usando contenedores Docker. El costo: cero, más el tiempo de configuración.

Fase 2: Detección — cómo distinguir un falso positivo de un ataque real en 15 minutos

El 68% de los alertas en PyMEs son falsos positivos, según datos de ENISA. La diferencia entre ignorar un alerta real y perder tiempo en uno falso está en tres preguntas:

1. ¿El evento afecta un activo crítico? (Ej: servidor de facturación, base de datos de clientes).
2. ¿Hay correlación con otros eventos? (Ej: un login fallido en un servidor + un proceso desconocido ejecutándose).
3. ¿El comportamiento es anómalo para ese usuario/equipo? (Ej: un contador que de repente ejecuta PowerShell).

Regla práctica: Si dos de estas tres preguntas tienen respuesta afirmativa, el evento es un incidente hasta que se demuestre lo contrario.

Ejemplo concreto: En 2023, una PyME argentina recibió un alerta de Wazuh sobre un proceso mimikatz.exe en un servidor. El administrador lo descartó como falso positivo porque "el servidor no tiene usuarios interactivos". El ataque escaló a ransomware en 3 horas. La empresa perdió acceso a 5 años de facturación electrónica. Lo correcto habría sido:

1. Verificar en Wazuh si había otros eventos en ese servidor (había: múltiples intentos de login RDP fallidos).
2. Aislar el servidor inmediatamente (comando iptables -A INPUT -s IP_SERVIDOR -j DROP).
3. Ejecutar Velociraptor para recolectar evidencia (velociraptor -v collect Windows.KapeFiles.Targets --output evidence.zip).

Herramientas para acelerar la detección:

• Sigma rules: Reglas de detección en formato abierto que se pueden importar en Wazuh o TheHive. Ejemplo: regla para detectar lsass.exe accediendo a memoria de otros procesos (técnica común de Mimikatz).
• MISP: Plataforma de threat intelligence para correlacionar IPs, dominios y hashes con feeds públicos (ej: AlienVault OTX, Abuse.ch).
• RITA: Análisis de tráfico de red para detectar beaconing (comunicación periódica con C2).

Fase 3: Contención — aislar sin destruir evidencia

La contención tiene dos objetivos contradictorios: detener el ataque y preservar evidencia. En equipos pequeños, esto se traduce en:

1. Contención inmediata (minutos):
   - Endpoints: Desconectar de la red (no apagar).
   - Servidores: Aislar VLAN o bloquear IP en el firewall.
   - Cloud: Revocar permisos IAM y rotar claves API.
   - Correo: Bloquear dominio del remitente en el gateway de correo (ej: postfix access).
2. Contención a mediano plazo (horas):
   - Crear un snapshot de la máquina virtual o disco duro.
   - Ejecutar herramientas de forense remoto (Velociraptor, KAPE).
   - Cambiar todas las contraseñas de cuentas privilegiadas.

Error común: Apagar un equipo comprometido. Esto borra la memoria volátil, donde suelen residir artefactos críticos como claves de cifrado de ransomware o conexiones activas a C2. En su lugar, usar herramientas como dd para crear una imagen forense del disco:

dd if=/dev/sda of=/mnt/backup/evidencia.img bs=4M status=progress

En cloud, tomar snapshots de instancias y volúmenes antes de cualquier acción. Ejemplo para AWS:

aws ec2 create-snapshot --volume-id vol-1234567890abcdef0 --description "Snapshot pre-incidente"

Documentación obligatoria durante la contención:

• Hora exacta de cada acción (para timeline forense).
• Comandos ejecutados (para reproducibilidad).
• Hashes de archivos críticos (para integridad de evidencia). Ejemplo: sha256sum evidencia.img.

Fase 4: Post-mortem — el informe que salva a la empresa (y al equipo)

El post-mortem no es un trámite: es el documento que determina si la empresa sobrevive al incidente. Debe responder tres preguntas:

1. ¿Qué pasó? (Timeline detallado con horas y acciones).
2. ¿Por qué pasó? (Causa raíz: vulnerabilidad explotada, error humano, falta de proceso).
3. ¿Qué haremos para que no vuelva a pasar? (Acciones concretas con responsables y plazos).

Plantilla de post-mortem para PyMEs (basada en ENISA Good Practice Guide):

1. Resumen ejecutivo
- Fecha y hora del incidente: [DD/MM/AAAA HH:MM].
- Tipo de incidente: [Ransomware/Phishing/Fuga de datos/etc.].
- Impacto: [Ej: "Pérdida de acceso a 3 servidores durante 8 horas. Datos de clientes no comprometidos"].
- Tiempo de detección: [Minutos/horas desde el inicio del incidente].
- Tiempo de contención: [Minutos/horas desde la detección].

2. Timeline
| Hora | Evento | Responsable | Evidencia | |------------|------------------------------------------------------------------------|-------------|--------------------| | 14:32 | Wazuh alerta: proceso mimikatz.exe en SRV-DB-01 | Ana | Screenshot #1 | | 14:35 | SRV-DB-01 aislado de la red (VLAN 999) | Luis | Logs de switch | | 14:45 | Velociraptor recolecta evidencia en SRV-DB-01 | Carlos | evidence.zip | | 15:10 | Notificación enviada a CSIRT nacional | Ana | Ticket #INC-2023-04|

3. Causa raíz
- Vulnerabilidad explotada: [Ej: "Cuenta de administrador con contraseña débil (Password123)"].
- Vector de ataque: [Ej: "Phishing: empleado hizo clic en enlace malicioso"].
- Fallo en el proceso: [Ej: "No había MFA en cuentas privilegiadas"].

4. Acciones correctivas
| Acción | Responsable | Plazo | Estado | |---------------------------------------------|-------------|------------|------------| | Implementar MFA en todas las cuentas admin | Luis | 7 días | Pendiente | | Capacitación en phishing para empleados | RRHH | 14 días | Pendiente | | Actualizar reglas de Wazuh para detección de Mimikatz | Ana | 3 días | Completado |

El post-mortem debe ser revisado por la dirección de la empresa y compartido con el CSIRT nacional si el incidente involucró datos personales. En México, la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) obliga a notificar al INAI en casos de brechas de seguridad. La plantilla anterior cumple con los requisitos de documentación para estas notificaciones.

Comunicación con el CSIRT nacional: qué decir y qué no decir

Los CSIRT nacionales (ej: CSIRT-MX en México, CSIRT-COL en Colombia) son aliados, no auditores. Su objetivo es ayudar a contener el incidente y prevenir ataques similares en otras empresas. Lo que debes incluir en el reporte inicial (dentro de las primeras 2 horas):

• Tipo de incidente (ransomware, phishing, fuga de datos, etc.).
• IPs/dominios involucrados (si los conoces).
• Herramientas de malware detectadas (ej: LockBit, QakBot).
• Impacto inicial (ej: "5 servidores cifrados, datos de clientes no afectados").
• Acciones tomadas hasta el momento (ej: "Servidores aislados, evidencia recolectada").

Lo que no debes incluir en el reporte inicial:

• Especulaciones sobre el atacante ("creemos que fue un empleado descontento").
• Detalles técnicos no verificados ("el ataque vino de Rusia").
• Información confidencial de la empresa (ej: nombres de clientes, contratos).

Ejemplo de reporte inicial a CSIRT-MX (vía correo o formulario web):

Asunto: Reporte de incidente - Ransomware LockBit - [Nombre de la Empresa]

Estimado equipo de CSIRT-MX,

Les notificamos un incidente de seguridad en [Nombre de la Empresa] ocurrido el [fecha] a las [hora]. Detalles:

• Tipo de incidente: Ransomware (LockBit 3.0).
• IPs involucradas: 192.168.1.100 (servidor comprometido), 185.143.223.43 (C2 sospechoso).
• Impacto: 3 servidores cifrados. Datos de clientes no comprometidos.
• Acciones tomadas: Servidores aislados de la red, evidencia recolectada con Velociraptor.

Adjuntamos logs iniciales y estamos a su disposición para coordinar acciones.

Atentamente,
[Nombre]
[Puesto]
[Teléfono de contacto]

El CSIRT puede solicitar información adicional, como muestras de malware o logs completos. En CyberShield hemos visto que las PyMEs que colaboran con el CSIRT nacional contienen incidentes un 40% más rápido, gracias al threat intelligence compartido.

Notificación a clientes: plantilla que cumple con regulaciones LATAM

Si el incidente involucró datos personales, la notificación a clientes es obligatoria en la mayoría de los países LATAM. La plantilla debe ser clara, empática y cumplir con los requisitos legales. Ejemplo para México (LFPDPPP):

Asunto: Notificación de incidente de seguridad - [Nombre de la Empresa]

Estimado/a [Nombre del Cliente],

En [Nombre de la Empresa] nos tomamos muy en serio la seguridad de sus datos. Lamentamos informarle que el [fecha] detectamos un incidente de seguridad que pudo haber afectado la confidencialidad de algunos de sus datos personales almacenados en nuestros sistemas.

¿Qué pasó?
El [fecha] a las [hora], detectamos un acceso no autorizado a uno de nuestros servidores. Inmediatamente activamos nuestro protocolo de respuesta a incidentes y aislamos el sistema afectado. Hemos trabajado con expertos en ciberseguridad para contener el incidente y estamos colaborando con las autoridades competentes.

¿Qué datos pudieron verse afectados?
De acuerdo con nuestra investigación, los datos que pudieron verse comprometidos son: [ej: "nombre, dirección de correo electrónico y número de teléfono"]. Queremos aclarar que [ej: "no se vieron afectados datos financieros como números de tarjetas de crédito o contraseñas"].

¿Qué estamos haciendo?
Hemos tomado las siguientes medidas para proteger sus datos y prevenir incidentes futuros:

• Contuvimos el incidente y eliminamos el acceso no autorizado.
• Reforzamos nuestros controles de seguridad, incluyendo [ej: "autenticación multifactor en todas las cuentas administrativas"].
• Estamos colaborando con el INAI y el CSIRT-MX para investigar el incidente.

¿Qué puede hacer usted?
Le recomendamos:

• Estar atento a comunicaciones sospechosas que puedan usar sus datos personales.
• Cambiar sus contraseñas en otros servicios si usa la misma contraseña que en [Nombre de la Empresa].
• Reportar cualquier actividad sospechosa a [correo de soporte].

Entendemos la preocupación que este tipo de situaciones puede generar y lamentamos sinceramente cualquier inconveniente. Para cualquier pregunta, puede contactarnos a [teléfono] o [correo de soporte].

Atentamente,
[Nombre del CEO o responsable]
[Nombre de la Empresa]

Regulaciones clave en LATAM que exigen notificación a clientes:

• México: Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP). Plazo: sin demora injustificada.
• Colombia: Ley 1581 de 2012. Plazo: 15 días hábiles desde la detección.
• Chile: Ley 19.628 sobre Protección de la Vida Privada. Plazo: sin demora.
• Argentina: Ley 25.326 de Protección de Datos Personales. Plazo: 72 horas desde la detección.
• Brasil: Lei Geral de Proteção de Dados (LGPD). Plazo: sin demora.

El incumplimiento de estas notificaciones puede resultar en multas de hasta el 4% de los ingresos anuales de la empresa (LGPD en Brasil) o sanciones penales (Ley 1581 en Colombia).

En CyberShield operamos ciberseguridad 24/7 para PyMEs LATAM con stack propio: agente endpoint multi-OS, monitoreo CVE en tiempo real y response 24/7. Hemos visto que las empresas que implementan estos procesos no solo responden más rápido a incidentes, sino que reducen su exposición a multas regulatorias. La preparación no es un gasto: es un seguro contra la interrupción del negocio.

La respuesta a incidentes en equipos pequeños no se trata de tener más herramientas, sino de tener procesos claros y personas entrenadas para ejecutarlos. Un playbook de una página, herramientas open source bien configuradas y comunicación proactiva con autoridades y clientes pueden marcar la diferencia entre un incidente contenido en horas y una crisis que ponga en riesgo la continuidad del negocio. La próxima vez que suene un alerta de seguridad, el reloj empezará a correr. La pregunta es: ¿estará su equipo listo para actuar, o para improvisar?

Fuentes

1. NIST Special Publication 800-61 Revision 2 (2012) — Computer Security Incident Handling Guide. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
2. ENISA (2018) — Good Practice Guide for Incident Management. https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management
3. CSIRT-MX (2023) — Guía para la Notificación de Incidentes de Seguridad. https://www.gob.mx/cms/uploads/attachment/file/548932/Guia_Notificacion_Incidentes_Seguridad.pdf
4. INAI (2021) — Guía para la Notificación de Brechas de Seguridad. https://home.inai.org.mx/wp-content/uploads/2021/03/Guia-Notificacion-Brechas-Seguridad.pdf
5. CyberShield System (2023) — Informe Anual de Incidentes en PyMEs LATAM. Datos internos de 124 incidentes respondidos en 2022-2023. https://cybershieldsystem.site
6. Cichonski, P. et al. (2012) — Computer Security Incident Handling Guide. NIST Special Publication 800-61 Revision 2. https://doi.org/10.6028/NIST.SP.800-61r2
7. ENISA (2022) — Threat Landscape for Ransomware Attacks. https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks
8. Caso público: Ataque a PyME mexicana de logística (2022). Fuente: Comunicado interno de la empresa (documentado en informe CyberShield).
9. Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), México. https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
10. Lei Geral de Proteção de Dados (LGPD), Brasil. http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm