¿Qué hacer frente a un incidente de ciberseguridad?

Actuar rápido y de forma oportuna ante un incidente de ciberseguridad puede minimizar el impacto de un ataque de ciberseguridad. Para ello, es importante elaborar un plan para saber qué hacer en caso de una emergencia.  

Para prepararte con anticipación, el CSIRT de Gobierno entrega las siguientes recomendaciones sobre qué hacer frente a un incidente de ciberseguridad: 

1. Determina qué ocurre. ¿Tienes un sitio web o un sistema interno caído? ¿Tus usuarios no tienen acceso a algún sistema importante? ¿Salió publicada información de tu servicio en la prensa? Recopila la mayor cantidad de datos posibles y que sean relevantes para presentarlos de forma ordenada a tu jefatura o (si existe) al comité de emergencia.
2. Responde a la emergencia. Una vez identificado el problema, actúa rápido y toma las medidas necesarias para resolver el problema. Así, en el caso de un sitio web afectado por un defacement, o una aplicación expuesta a Internet caída, redirígela a una página estática que diga, por ejemplo, “en mantención”. Si existen máquinas en tu red interna que estén infectadas y atacando a otras, desconéctalas físicamente de la red y retira los aparatos para que los usuarios no los sigan usando.  
3. Avisa a la jefatura y a los usuarios o clientes oportunamente. Prepara un par de párrafos que expliquen brevemente qué ocurrió, que se está haciendo para solucionar el problema y qué se hará dentro de los próximos minutos u horas. Recuerda que además debes notificar al CSIRT de Gobierno, según lo establecido en el decreto 273. 
4. Recopila información. Si la emergencia está controlada, continúa reuniendo información para realizar una investigación forense. Esto incluye: copias de los filesystems afectados, logs de las aplicaciones, listas de procesos en las máquinas infectadas, etc. Crea copias de la información afectada, calcula hashes de la información y guarda todo en un medio de almacenamiento permanente. 
5. Resuelve el problema. Por ejemplo, si hay actualizaciones de seguridad no aplicadas, instálalas inmediatamente en las máquinas comprometidas; si hay servidores infectados, reinstala el SO y las aplicaciones necesarias; ¿hay usuarios desconocidos o permisos en exceso otorgados a usuarios existentes?, arregla los permisos según las políticas oficiales. 
6. Recupera la operación de los sistemas afectados. Levanta una máquina limpia desde el último backup disponible y asegúrate que esté limpio. Una vez que el sistema esté disponible de nuevo, recupera la información faltante por el período en que el sistema estuvo caído o atacado. Cuando tengas una copia “limpia” y actualizada del sistema, redirige (e.g., DNS) el sitio público a la copia limpia. 
7. Avisa nuevamente. Infórmale a la jefatura y los usuarios que la operación volvió a la normalidad. Construye un relato breve sobre qué ocurrió y las medidas que se tomaron para solucionar el problema (post-mortem del incidente). 
8. Respira hondo y distribuye el post-mortem a la jefatura y los usuarios que corresponda. Vuelve a contactar al CSIRT para enviar una actualización de lo que ocurrió. 

 ¿Cómo notificar un incidente de ciberseguridad al CSIRT de Gobierno? 

Ingresa a https://csirt.gob.cl y haz clic en “Notificar un incidente” arriba a la derecha.

Completa el formulario con tus datos y el de tu institución:

• ¿Necesitas ayuda para responder al incidente? Ingresa tu nombre, email y/o tu teléfono para que un especialista del CSIRT te pueda contactar. La ayuda puede ser remota y/o física, dependiendo de la gravedad del incidente y de la disponibilidad del equipo. 
• En “Entidad de la persona que reporta”, registra el nombre de la institución donde trabajas. 
• En “Asunto” coloca “Reporte incidente de seguridad #1”. Si se trata de actualizaciones, ingresa el número correspondiente. 
• En “Entidad afectada por el incidente”, identifica el nombre de la institución afectada. Puede ser distinta a la tuya si estás reportando un incidente en otra institución. 
• En “Activo afectado”, detalla el sistema que fue afectado. ¿Es un sistema expuesto a Internet? Ingresa la IP del sistema, aunque el sistema esté actualmente abajo. ¿No sabes la IP? Coloca la URL del sitio web que afectado. ¿No es un sitio web? Registra lo que sepas sobre qué sistemas o aplicaciones fueron afectadas. 
• En “Descripción del incidente” escribe toda la información que tengas sobre el incidente, en el momento en que estés reportando. ¿Estás respondiendo por primera vez y no tienes mucha información? No importa, luego puedes ampliar la información en un segundo reporte. 
• Finalmente, envía el formulario y enfócate en seguir respondiendo a la emergencia. 

 Si tienes dudas o necesitas apoyo, también puedes enviar un correo a incidentes@interior.gob.cl o llamar al 1510 

fuente: CSIRT