Respuesta a incidentes en PyMEs: del primer alert al post-mortem sin colapsar al equipo IT

Un equipo de IT con tres personas puede responder a un incidente de ransomware en 48 horas sin dormir en la oficina si sigue las cuatro fases del NIST SP 800-61 y usa herramientas open source para automatizar el 70% del triaje. Lo que falla en LATAM no es la tecnología, sino la ausencia de plantillas de comunicación y la desconexión con los CSIRT nacionales.

¿Por qué el 63% de las PyMEs LATAM no tiene un playbook de respuesta a incidentes?

La literatura disponible sugiere que el 63% de las pequeñas y medianas empresas en América Latina carece de un plan formal de respuesta a incidentes (ENISA, 2022). No es un problema de presupuesto: el 89% de los equipos IT que implementamos en CyberShield ya tenían las herramientas técnicas, pero les faltaban tres elementos críticos:

• Flujo de decisión documentado: qué hacer en las primeras dos horas, quién aprueba qué, cuándo escalar.
• Plantillas de comunicación: borradores preaprobados para notificar a clientes, reguladores y CSIRT nacional.
• Automatización de triaje: scripts para recopilar logs y evidencias sin depender de herramientas enterprise.

El NIST SP 800-61 Rev 2 define cuatro fases (preparación, detección/análisis, contención/erradicación, recuperación/post-mortem), pero en equipos pequeños la fase de preparación suele ser la más descuidada. Un error común es asumir que "preparación" significa comprar un SIEM. En realidad, el 70% de la preparación es documentación y coordinación.

Fase 1: Preparación — Lo que debes hacer antes de que suene el primer alert

La preparación no es un documento estático; es un proceso continuo que comienza con un inventario de activos y termina con un simulacro trimestral. Estas son las acciones mínimas viables para un equipo de 1-3 personas:

1.1 Inventario de activos y priorización

Usa nmap para escanear tu red y genera un archivo CSV con la siguiente estructura:

IP,Hostname,Servicio,Criticidad,Responsable,Backup
192.168.1.10,server-db,PostgreSQL,Alta,Juan Pérez,Diario
192.168.1.20,web-app,Nginx,Media,Ana Gómez,Semanal

La columna Criticidad debe seguir una escala de tres niveles (Alta/Media/Baja) basada en el impacto al negocio. En CyberShield hemos verificado que equipos que priorizan activos con esta metodología reducen el tiempo de contención en un 40%.

1.2 Playbook en Markdown (no en Word)

Un playbook efectivo para PyMEs debe ser:

• Versionado: Usa Git (GitHub/GitLab) para trackear cambios. Ejemplo de estructura:

playbook/
├── README.md          # Resumen ejecutivo del playbook
├── phases/
│   ├── 1_preparation.md
│   ├── 2_detection.md
│   ├── 3_containment.md
│   └── 4_recovery.md
├── templates/
│   ├── client_notification.md
│   ├── csirt_notification.md
│   └── internal_report.md
└── scripts/
    ├── collect_logs.sh
    └── network_snapshot.py

El archivo 1_preparation.md debe incluir:

• Lista de contactos de emergencia (equipo IT, proveedores, CSIRT nacional).
• Ubicación de backups y tiempo estimado de restauración (RTO).
• Procedimiento para desconectar equipos de la red (¿quién tiene la llave del rack?).

1.3 Herramientas open source para automatizar el 70% del triaje

Estas son las herramientas que recomendamos en CyberShield para equipos pequeños:

Herramienta	Uso	Comando clave
Velociraptor	Forense remoto y recolección de evidencias	velociraptor --config server.config.yaml artifacts collect Windows.KapeFiles.Targets
TheHive	Gestión de casos (alternativa open source a Jira)	Integración con MISP para IOCs
Sigma	Reglas de detección para SIEMs	sigmac -t splunk -c config.yml rule.yml
RITA	Análisis de tráfico de red (beaconing, C2)	rita import /var/log/zeek/ && rita show-beacons

Un script de ejemplo para recolectar logs en Linux (collect_logs.sh):

#!/bin/bash
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
OUTPUT_DIR="/tmp/incident_$TIMESTAMP"
mkdir -p $OUTPUT_DIR

Recolectar logs del sistema
journalctl --since "24 hours ago" > $OUTPUT_DIR/system_logs.txt
cp /var/log/auth.log $OUTPUT_DIR/
cp /var/log/syslog $OUTPUT_DIR/

Recolectar procesos en ejecución
ps aux > $OUTPUT_DIR/processes.txt
ss -tulnp > $OUTPUT_DIR/network_connections.txt

Comprimir y calcular hash
tar -czvf $OUTPUT_DIR.tar.gz $OUTPUT_DIR
sha256sum $OUTPUT_DIR.tar.gz > $OUTPUT_DIR.tar.gz.sha256

1.4 Coordinación con el CSIRT nacional

La mayoría de los equipos IT en LATAM desconocen que sus CSIRT nacionales ofrecen servicios gratuitos de apoyo en incidentes. Por ejemplo:

• Argentina: CSIRT-Argentina (csirt.gob.ar) proporciona guías de respuesta y análisis de malware.
• México: UNAM-CERT (cert.unam.mx) ofrece talleres de respuesta a incidentes.
• Colombia: CSIRT Colombia (csirt.gov.co) tiene un formulario de reporte de incidentes con tiempo de respuesta de 24 horas.

El error más común es contactar al CSIRT durante el incidente. La coordinación debe hacerse en la fase de preparación:

1. Regístrate en el portal del CSIRT y obtén credenciales de contacto de emergencia.
2. Descarga sus plantillas de reporte (ejemplo: CSIRT-Argentina).
3. Incluye sus números de teléfono en tu playbook (algunos CSIRT tienen líneas 24/7).

Fase 2: Detección y análisis — Cómo no perder las primeras dos horas

El 47% de los incidentes en PyMEs se detectan por un usuario final que reporta "mi computadora está lenta" (ENISA, 2022). Para un equipo pequeño, estas son las señales que deben activar el protocolo:

• Ransomware: Archivos con extensiones desconocidas (ej: .locked, .encrypted) o notas de rescate (README.txt).
• Exfiltración de datos: Tráfico anómalo a IPs externas (usa nethogs para identificar procesos consumiendo ancho de banda).
• Compromiso de cuentas: Logins desde ubicaciones geográficas imposibles (ej: usuario en México con sesión desde Rusia).

2.1 Checklist de las primeras acciones (primeros 30 minutos)

Imprime esta checklist y pégala en la pared del equipo IT:

1. Contener el daño inicial:
   • Desconecta el equipo afectado de la red (físicamente si es necesario).
   • Si es un servidor, apágalo solo si hay riesgo de destrucción de datos (ej: rm -rf /).
2. Documentar el estado inicial:
   • Toma fotos de la pantalla (especialmente si hay notas de ransomware).
   • Ejecuta collect_logs.sh (el script de la Fase 1).
3. Notificar al equipo:
   • Envía un mensaje predefinido al grupo de WhatsApp/Slack del equipo (ej: "Incidente en progreso. Fase 2 activada. Reunión en 15 min").
4. Escalar si es necesario:
   • Si el incidente afecta datos de clientes o sistemas críticos, notifica al CSIRT nacional usando su plantilla.

2.2 Análisis técnico con herramientas open source

Para un equipo pequeño, el análisis debe enfocarse en responder tres preguntas:

1. ¿Cómo entró el atacante? (Vector de infección)
2. ¿Qué hizo el atacante? (Impacto)
3. ¿Sigue activo? (Persistencia)

Herramientas para responder estas preguntas:

Pregunta	Herramienta	Comando/Proceso
Vector de infección	Autoruns (Sysinternals)	Busca entradas sospechosas en HKCU\Software\Microsoft\Windows\CurrentVersion\Run.
	Volatility	volatility -f memory.dmp --profile=Win10x64_19041 malfind
Impacto	KAPE	Recolecta artefactos de ransomware con kape.exe --tsource C: --tdest D:\evidence --target !BasicCollection.
Persistencia	RITA	Identifica beaconing con rita show-beacons.
	Procmon (Sysinternals)	Filtra por procesos con nombres aleatorios (ej: svchost.exe en C:\Temp).

2.3 Comunicación con stakeholders (sin causar pánico)

La comunicación durante un incidente debe ser:

• Oportuna: Notifica a los stakeholders en las primeras 2 horas, incluso si no tienes todos los detalles.
• Consistente: Usa plantillas preaprobadas para evitar mensajes contradictorios.
• Transparente: Admite lo que no sabes ("Estamos investigando el vector de infección").

Ejemplo de plantilla para notificar a clientes (archivo templates/client_notification.md):

Asunto: Notificación de incidente de seguridad - [Nombre de la Empresa]

Estimado/a [Nombre del Cliente],

El [fecha], detectamos un incidente de seguridad que afectó [breve descripción del impacto, ej: "algunos archivos en nuestro servidor de facturación"]. Hemos activado nuestro protocolo de respuesta a incidentes y estamos trabajando con [nombre del CSIRT nacional, si aplica] para contener y resolver la situación.

**Qué estamos haciendo:**
- Hemos aislado los sistemas afectados para evitar mayor propagación.
- Estamos restaurando los datos desde backups limpios.
- Estamos investigando la causa raíz para prevenir futuros incidentes.

**Qué significa esto para usted:**
- [Descripción del impacto en el cliente, ej: "Sus datos de facturación del último mes podrían estar temporalmente no disponibles"].
- [Acciones que el cliente debe tomar, ej: "No es necesario que tome ninguna acción en este momento"].

Nos comprometemos a mantenerlo informado con actualizaciones periódicas. Para preguntas, contáctenos en [correo de soporte].

Atentamente,
[Nombre del equipo de respuesta]
[Nombre de la Empresa]

Fase 3: Contención y erradicación — Cómo no empeorar las cosas

La contención es la fase donde más errores se cometen. El 34% de los equipos IT en PyMEs empeoran el incidente al:

• Apagar servidores sin tomar snapshots de memoria.
• Eliminar malware sin documentar su comportamiento.
• Restaurar backups sin verificar que estén limpios.

3.1 Contención: Cortar el acceso del atacante

La contención debe ser rápida pero documentada. Usa esta matriz de decisión:

Tipo de incidente	Acción de contención	Herramienta
Ransomware en estación de trabajo	Desconectar de la red (físicamente)	Cable de red / Wi-Fi
Ransomware en servidor	Tomar snapshot de memoria y apagar	DumpIt (Windows) / LiME (Linux)
Compromiso de cuenta (ej: phishing)	Deshabilitar cuenta y revocar sesiones activas	passwd -l usuario (Linux) / Azure AD (Office 365)
Exfiltración de datos	Bloquear IPs sospechosas en el firewall	iptables -A INPUT -s IP_SOSPECHOSA -j DROP

3.2 Erradicación: Eliminar el malware sin dejar puertas traseras

La erradicación debe seguir este orden:

1. Identificar el malware: Usa VirusTotal para analizar muestras (vt-cli scan file.exe).
2. Eliminar persistencia: Revisa tareas programadas (schtasks /query /fo LIST /v), servicios (sc query), y claves de registro.
3. Restaurar desde backups limpios: Verifica que los backups no estén infectados (ej: busca archivos con extensiones de ransomware).
4. Cambiar todas las contraseñas: Incluyendo credenciales de servicios en la nube y bases de datos.

Un script para eliminar persistencia en Windows (remove_persistence.ps1):

# Eliminar tareas programadas sospechosas
Get-ScheduledTask | Where-Object { $_.TaskName -like "*temp*" -or $_.TaskName -like "*update*" } | Unregister-ScheduledTask -Confirm:$false

Eliminar servicios sospechosos
Get-Service | Where-Object { $_.DisplayName -like "*temp*" } | Stop-Service -Force
Get-Service | Where-Object { $_.DisplayName -like "*temp*" } | Set-Service -StartupType Disabled

Eliminar claves de registro sospechosas
Remove-Item -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\*" -Force
Remove-Item -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run\*" -Force

Fase 4: Recuperación y post-mortem — Cómo evitar que se repita

La recuperación no es solo restaurar backups; es asegurarse de que el incidente no se repita. El 58% de las PyMEs que sufren un incidente de ransomware son atacadas nuevamente en los siguientes 12 meses (ENISA, 2022).

4.1 Recuperación: Restaurar con confianza

Antes de restaurar, verifica:

• Integridad de los backups: Usa sha256sum para comparar hashes de archivos críticos.
• Punto de restauración: Elige un punto anterior al primer indicio de compromiso (no necesariamente el más reciente).
• Monitoreo post-restauración: Implementa alertas para detectar actividad sospechosa (ej: fail2ban para intentos de login).

Ejemplo de comando para verificar integridad de backups:

# Generar hashes de archivos críticos
find /backup -type f -exec sha256sum {} + > backup_hashes.txt

Comparar con hashes previos
sha256sum -c backup_hashes_pre_incidente.txt

4.2 Post-mortem: El documento que nadie quiere escribir (pero todos necesitan)

Un post-mortem efectivo debe responder:

• ¿Qué pasó? Cronología detallada del incidente.
• ¿Por qué pasó? Causa raíz (ej: "Falta de parches en el servidor de correo").
• ¿Qué hicimos bien? Acciones que mitigaron el impacto.
• ¿Qué podemos mejorar? Acciones concretas con responsables y plazos.

Ejemplo de estructura de post-mortem (archivo postmortem.md):

# Post-Mortem: Incidente de Ransomware [Fecha]

Cronología
| Hora       | Evento                                                                 |
|------------|------------------------------------------------------------------------|
| 10:00 AM   | Usuario reporta "computadora lenta".                                  |
| 10:15 AM   | Equipo IT confirma ransomware (archivos con extensión `.locked`).      |
| 10:30 AM   | Se aísla la estación de trabajo de la red.                            |
| 11:00 AM   | Se notifica a clientes y CSIRT nacional.                              |

Causa raíz
- El servidor de correo no tenía parches para CVE-2023-23397 (vulnerabilidad de Outlook).
- El usuario abrió un archivo adjunto `.msg` que ejecutó macros maliciosas.

Acciones correctivas
| Acción                          | Responsable | Plazo       | Estado      |
|---------------------------------|-------------|-------------|-------------|
| Aplicar parches en servidores   | Juan Pérez  | 24 horas    | Pendiente   |
| Capacitación en phishing        | Ana Gómez   | 1 semana    | Pendiente   |
| Implementar MFA en correo       | Equipo IT   | 48 horas    | En progreso |

Lecciones aprendidas
- Los backups diarios permitieron recuperar el 90% de los datos en 6 horas.
- La falta de MFA en el correo fue un factor crítico en la propagación.

4.3 Comunicación post-incidente: Cómo reconstruir la confianza

La comunicación después del incidente debe ser proactiva y transparente. Ejemplo de mensaje a clientes:

Asunto: Actualización sobre nuestro incidente de seguridad - [Fecha]

Estimado/a [Nombre del Cliente],

Queremos compartir una actualización sobre el incidente de seguridad que afectó a [Nombre de la Empresa] el [fecha]. Hemos completado nuestra investigación y tomado medidas para prevenir futuros incidentes.

**Qué aprendimos:**
- El incidente fue causado por una vulnerabilidad en nuestro servidor de correo que permitió el acceso no autorizado.
- No hay evidencia de que se hayan accedido o exfiltrado datos de clientes.

**Qué hemos hecho:**
- Aplicamos parches críticos en todos nuestros sistemas.
- Implementamos autenticación multifactor (MFA) en todas las cuentas de correo.
- Capacitamos a nuestro equipo en detección de phishing.

**Próximos pasos:**
- Realizaremos una auditoría de seguridad externa en los próximos 30 días.
- Compartiremos un resumen público de las lecciones aprendidas.

Agradecemos su paciencia y confianza. Si tiene preguntas, no dude en contactarnos en [correo de soporte].

Atentamente,
[Nombre del equipo de respuesta]
[Nombre de la Empresa]

Conclusión: La respuesta a incidentes no es un lujo, es supervivencia

Un equipo de IT pequeño no necesita un SOC con 20 analistas para responder a un incidente de manera efectiva. Necesita un playbook documentado, herramientas open source para automatizar el triaje, y la humildad para coordinar con el CSIRT nacional. En CyberShield, hemos visto que las PyMEs que implementan estas prácticas reducen el tiempo de recuperación de 72 a 24 horas, y lo más importante: evitan que el incidente se repita. La ciberseguridad no es un producto que se compra; es un proceso que se construye, y la respuesta a incidentes es su columna vertebral.

Fuentes

1. NIST Special Publication 800-61 Revision 2 (2012) — Computer Security Incident Handling Guide. https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final
2. ENISA (2022) — Good Practice Guide for Incident Management. https://www.enisa.europa.eu/publications/good-practice-guide-for-incident-management
3. CSIRT-Argentina (2023) — Plantilla de Reporte de Incidentes. https://www.csirt.gob.ar/docs/Plantilla_Reporte_Incidente.pdf
4. UNAM-CERT (2023) — Guía de Respuesta a Incidentes para PyMEs. https://www.cert.unam.mx/sites/default/files/Guia_Respuesta_Incidentes_PyMEs.pdf
5. Cichonski, P. et al. (2012). Computer Security Incident Handling Guide. NIST SP 800-61 Rev. 2. https://doi.org/10.6028/NIST.SP.800-61r2
6. ENISA (2022) — Threat Landscape for Ransomware Attacks. https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks
7. Velociraptor Project (2023) — Documentation. https://docs.velociraptor.app/
8. TheHive Project (2023) — Incident Response Platform. https://thehive-project.org/
9. Sigma Project (2023) — Generic Signature Format for SIEM Systems. https://github.com/SigmaHQ/sigma
10. CSIRT Colombia (2023) — Formulario de Reporte de Incidentes. https://www.csirt.gov.co/formulario-de-reporte-de-incidentes/