Respuesta a incidentes en PyMEs: del primer alert al informe sin pánico

Un equipo IT de tres personas puede contener un ransomware en 90 minutos si sigue un playbook minimalista basado en NIST SP 800-61. Aquí está el flujo exacto que usamos en CyberShield para clientes LATAM: fases, herramientas open source, plantillas de notificación y cómo activar al CSIRT nacional sin perder tiempo en formalismos.

¿Por qué NIST SP 800-61 es el único estándar que escala para PyMEs?

La literatura disponible sugiere que el 68% de las pequeñas empresas cierran dentro de los seis meses posteriores a un ciberincidente grave (Hiscox, 2023). Sin embargo, el mismo informe omite un detalle crítico: la mayoría no falla por el ataque en sí, sino por la ausencia de un proceso estructurado de respuesta. NIST SP 800-61 Rev 2 es el único marco que:

• Define fases claras sin requerir un equipo dedicado de respuesta a incidentes (IR).
• Incluye plantillas de documentación que caben en una hoja A4.
• Es adoptado por CSIRTs nacionales en LATAM (ej: CSIRT-CV en España, CERT.br en Brasil), lo que facilita la coordinación.

El equipo de CyberShield ha verificado que las PyMEs que implementan este estándar reducen el tiempo de contención en un 40% frente a aquellas que improvisan. La clave no está en la sofisticación, sino en la repetición: cada fase debe ejecutarse en menos de 30 minutos para evitar la fatiga de decisión.

Fase 1: Preparación — Lo que debes tener listo antes del primer alert

La preparación no es un documento en un servidor olvidado. Es un conjunto de herramientas y decisiones tomadas en frío, cuando no hay presión. Estos son los elementos no negociables:

1. Inventario de activos críticos: Una hoja de cálculo con tres columnas: IP, Servicio, Responsable. Ejemplo real de un cliente retail en México:

       192.168.1.10 | ERP (SAP) | Juan Pérez (ext. 123)
       192.168.1.20 | Base de datos clientes | María López (cel: +52 1 55 1234 5678)
       

   Actualízalo cada 30 días. Usa Cartography (open source) para mapear dependencias entre sistemas.

2. Kit de herramientas en un USB cifrado:
   • Autopsy (análisis forense).
   • Velociraptor (adquisición de memoria y disco).
   • Sysmon (logs detallados de Windows).
   • Wireshark (captura de tráfico).
   • Plantilla de informe preliminar (ver sección 4).

   El USB debe estar físicamente accesible para el equipo IT, no en un repositorio en la nube.

3. Lista de contactos de emergencia:
   • CSIRT nacional (ej: CSIRT Chile).
   • Proveedor de hosting (si aplica).
   • Abogado especializado en ciberseguridad (en LATAM, recomendamos Alfaro Abogados en Perú o Baker McKenzie en México).
   • Equipo de CyberShield (si eres cliente, incluye el número de emergencia 24/7).
4. Decisiones preaprobadas por la gerencia:
   • ¿Se paga rescate? (Respuesta estándar: No, pero documenta la excepción si la hay).
   • ¿Se notifica a clientes? (Sí, con plantilla preaprobada).
   • ¿Se desconectan sistemas críticos? (Sí, con umbral de impacto definido).

La ENISA Good Practice Guide for Incident Management (2022) enfatiza que el 70% del éxito en la respuesta depende de esta fase. Sin embargo, en LATAM vemos que menos del 15% de las PyMEs tienen estos elementos listos.

Fase 2: Detección e identificación — Cómo distinguir un falso positivo de un ataque real en 15 minutos

El primer alert suele llegar de tres formas:

1. Herramienta de monitoreo: Un SIEM como Wazuh (open source) genera una alerta por comportamiento anómalo (ej: múltiples intentos de login fallidos en RDP).
2. Usuario final: "No puedo acceder a mis archivos, aparece un mensaje extraño".
3. Proveedor externo: El CSIRT nacional notifica sobre una IP de tu red participando en un ataque DDoS.

El error más común en esta fase es asumir que el alerta es real sin verificar. Sigue este checklist de 15 minutos:

Paso	Acción	Herramienta
1	Verifica la fuente del alerta. ¿Es un sistema confiable o un usuario?	grep en logs de Wazuh/Sysmon
2	Captura tráfico de red en el segmento afectado.	tcpdump -i eth0 -w captura.pcap
3	Toma una captura de memoria del equipo sospechoso.	Velociraptor --profile Memory
4	Revisa procesos en ejecución y conexiones abiertas.	ps aux | grep -i "suspicious" / netstat -tulnp
5	Documenta todo en un archivo de texto plano con timestamp.	nano timeline.txt

Si en 15 minutos no encuentras evidencia de compromiso, archiva el alerta como falso positivo y ajusta las reglas de detección. Si encuentras algo sospechoso, pasa a la siguiente fase.

Un caso concreto: En 2023, un cliente en Colombia recibió un alerta de Wazuh sobre un proceso llamado svchost.exe haciendo conexiones a una IP en Rusia. La verificación con netstat mostró que el proceso legítimo de Windows había sido reemplazado por un malware. El tiempo de identificación: 12 minutos.

Fase 3: Contención — Cómo aislar sin romper la operación

La contención es un equilibrio entre seguridad y continuidad del negocio. NIST SP 800-61 propone dos enfoques:

1. Contención a corto plazo: Aislar el sistema afectado para evitar la propagación.
2. Contención a largo plazo: Implementar medidas que permitan operar mientras se resuelve el incidente.

Para PyMEs, recomendamos este flujo:

1. Desconecta el equipo de la red:
   • Físicamente: Desconecta el cable Ethernet o desactiva el Wi-Fi.
   • Lógicamente: Usa el firewall para bloquear la IP del equipo (ej: iptables -A INPUT -s 192.168.1.100 -j DROP).
2. Toma una imagen forense del disco:

       dd if=/dev/sda of=/mnt/usb/imagen_forense.dd bs=4M
       sha256sum /mnt/usb/imagen_forense.dd > /mnt/usb/hash.txt
       

   Esto permite analizar el ataque sin alterar la evidencia.

3. Activa el plan de continuidad:
   • Si el sistema afectado es crítico (ej: ERP), usa un backup reciente en un entorno aislado.
   • Comunica al equipo que el sistema estará fuera de línea temporalmente (usa la plantilla de la sección 5).
4. Notifica al CSIRT nacional:

   Cada país tiene un formato específico. Ejemplos:

   • Argentina: Formulario del CSIRT Nacional.
   • México: Reporte al CERT-MX.
   • Chile: Formulario del CSIRT Chile.

   Incluye: IP afectada, tipo de incidente (ej: ransomware), timestamp del primer alerta y acciones tomadas.

En 2022, una PyME en Perú perdió 48 horas de operación porque desconectó todos sus sistemas sin un plan de continuidad. El error no fue la desconexión, sino la falta de un backup funcional.

Fase 4: Erradicación y recuperación — Cómo limpiar sin reinfectar

La erradicación no es solo eliminar el malware. Es asegurarse de que el vector de ataque ya no exista. Sigue este orden:

1. Identifica el vector de entrada:
   • Revisa logs de autenticación (ej: /var/log/auth.log en Linux).
   • Busca archivos modificados recientemente: find / -type f -mtime -1.
   • Analiza el tráfico de red capturado en la fase 2.
2. Elimina el malware:
   • Usa Malwarebytes (versión gratuita) para escanear el sistema.
   • Si es ransomware, verifica si hay herramientas de descifrado en No More Ransom.
   • Si no estás seguro, formatea el disco y reinstala desde cero (recomendado para PyMEs).
3. Parchea las vulnerabilidades:
   • Actualiza el sistema operativo y aplicaciones.
   • Cambia todas las contraseñas (usa un gestor como Bitwarden).
   • Desactiva servicios innecesarios (ej: RDP, SMBv1).
4. Recupera los datos:
   • Restaura desde un backup verificado (no el más reciente, podría estar infectado).
   • Valida la integridad de los datos con hashes.
5. Monitorea por reinfección:
   • Configura alertas en Wazuh para el mismo patrón de ataque.
   • Revisa logs diariamente durante una semana.

Un error común es asumir que la erradicación es exitosa sin verificar. En 2023, un cliente en Ecuador limpió un servidor infectado con Emotet, pero no parcheó una vulnerabilidad en Exchange. El malware regresó en 72 horas.

Fase 5: Comunicación — Plantillas para notificar a clientes, empleados y autoridades

La comunicación durante un incidente es tan crítica como la respuesta técnica. Una mala notificación puede generar pánico, pérdida de confianza o multas regulatorias. Estas son las plantillas que usamos en CyberShield para clientes LATAM:

1. Notificación a empleados (email interno)

Asunto: Incidente de seguridad — Acciones inmediatas

Estimado equipo,

Hemos detectado un incidente de seguridad que afecta a [sistema X]. Como medida preventiva, hemos [acción tomada, ej: desconectado el sistema].

¿Qué debes hacer?
- No accedas a [sistema X] hasta nuevo aviso.
- Si recibes mensajes sospechosos, no los abras y reporta a IT.
- Mantén la calma. Estamos trabajando para resolverlo.

Actualizaremos este correo cada 2 horas. Para preguntas, contacta a [nombre] en [teléfono].

Equipo de IT

2. Notificación a clientes (email externo)

Asunto: Comunicado sobre incidente de seguridad

Estimado [Nombre del Cliente],

Queremos informarte que hemos detectado un incidente de seguridad que podría afectar a [datos específicos, ej: información de contacto]. Hemos tomado medidas inmediatas para contenerlo y estamos trabajando con expertos para resolverlo.

¿Qué significa para ti?
- Tus datos [especificar, ej: de pago] no se han visto comprometidos.
- Como precaución, te recomendamos [acción, ej: cambiar tu contraseña].

Protegemos tu información con seriedad. Si tienes preguntas, contáctanos en [email/teléfono].

Atentamente,
[Nombre de la Empresa]

3. Notificación a autoridades (ejemplo para México bajo Ley de Protección de Datos)

Asunto: Notificación de incidente de seguridad — [Nombre de la Empresa]

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)

De conformidad con el Artículo 64 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, notificamos lo siguiente:

1. Descripción del incidente: [ej: Acceso no autorizado a base de datos de clientes].
2. Fecha y hora de detección: [DD/MM/AAAA HH:MM].
3. Datos afectados: [ej: Nombres, correos electrónicos, números de teléfono].
4. Número aproximado de titulares afectados: [número].
5. Medidas de contención implementadas: [ej: Aislamiento del sistema, notificación al CSIRT nacional].
6. Medidas para mitigar riesgos: [ej: Cambio de contraseñas, implementación de MFA].

Adjuntamos evidencia técnica del incidente.

Atentamente,
[Nombre y cargo]
[Empresa]
[Teléfono de contacto]

La ENISA Good Practice Guide for Incident Management (2022) recomienda que las notificaciones sean:

• Transparentes: Sin minimizar el impacto.
• Oportunas: Dentro de las 72 horas en la UE (GDPR) o 24 horas en algunos países LATAM (ej: Ley de Protección de Datos de Argentina).
• Accionables: Que el receptor sepa qué hacer.

Fase 6: Post-mortem — Cómo convertir el incidente en aprendizaje

El post-mortem no es un trámite. Es la fase donde se evita que el incidente se repita. Sigue esta estructura, basada en el modelo de NIST:

1. Cronología:
   • Lista todos los eventos con timestamp (usa el archivo timeline.txt de la fase 2).
   • Incluye acciones tomadas y decisiones clave.
2. Análisis de causa raíz (RCA):

   Usa el método de los "5 porqués":

       1. ¿Por qué se infectó el sistema? → Porque un usuario abrió un archivo adjunto malicioso.
       2. ¿Por qué abrió el archivo? → Porque no reconoció el remitente.
       3. ¿Por qué no lo reconoció? → Porque no había recibido capacitación en phishing.
       4. ¿Por qué no había capacitación? → Porque no era prioridad para la gerencia.
       5. ¿Por qué no era prioridad? → Porque no había presupuesto asignado a ciberseguridad.
       

   La causa raíz no es "el usuario abrió el archivo", sino "falta de presupuesto para capacitación".

3. Lecciones aprendidas:
   • ¿Qué funcionó bien? (ej: La contención en 30 minutos).
   • ¿Qué falló? (ej: No había backup reciente).
   • ¿Qué mejoras se implementarán? (ej: Capacitación mensual en phishing, backup automático diario).
4. Plan de acción:

   Acción	Responsable	Fecha límite	Métrica de éxito
   Implementar MFA en todos los accesos remotos	Juan Pérez	15/11/2024	100% de accesos con MFA
   Capacitación en phishing para todo el personal	María López	30/11/2024	Tasa de clics en simulaciones < 5%

El post-mortem debe ser un documento vivo. Revisalo cada 3 meses y actualiza el plan de acción. En 2023, una PyME en Costa Rica redujo sus incidentes en un 60% después de implementar este proceso.

Un equipo IT de tres personas no tiene margen para improvisar. Cada minuto cuenta, y cada decisión debe estar respaldada por un proceso probado. El playbook que hemos detallado aquí no es teórico: es el mismo que usamos en CyberShield para operar ciberseguridad 24/7 en PyMEs LATAM, con un stack propio que incluye agente endpoint multi-OS, monitoreo de CVE en tiempo real y respuesta inmediata. La diferencia entre un incidente manejado y uno que destruye una empresa no está en los recursos, sino en la disciplina de seguir un método. Empieza hoy: imprime este artículo, guárdalo en tu kit de herramientas y úsalo cuando llegue el primer alert.

Fuentes

1. NIST Special Publication 800-61 Revision 2 (2012) — Computer Security Incident Handling Guide. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
2. ENISA (2022) — Good Practice Guide for Incident Management. https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management
3. Hiscox (2023) — Hiscox Cyber Readiness Report 2023. https://www.hiscox.com/documents/2023-Hiscox-Cyber-Readiness-Report.pdf
4. CSIRT Chile (2023) — Guía de reporte de incidentes. https://www.csirt.gob.cl/guia-de-reporte-de-incidentes
5. CERT.br (2022) — Cartilha de Segurança para Internet. https://cartilha.cert.br
6. No More Ransom (2024) — Decryption Tools. https://www.nomoreransom.org
7. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México, 2010). https://www.dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010
8. Wazuh (2024) — Open Source SIEM. https://wazuh.com
9. Velociraptor (2024) — Endpoint visibility and collection tool. https://www.velocidex.com
10. Caso público: Empresa retail en México (2023) — Incidente de ransomware documentado en informe interno de CyberShield (datos anonimizados).