
Tabla de contenido
Introducción
Parte esencial de una buena política o protocolo de seguridad digital es contar con información sobre cómo reaccionar y responder ante incidentes digitales. En la labor de activistas, periodistas y defensoras de derechos humanos, esto es crítico, ya que pueden enfrentarlos de manera recurrente. Esta guía tiene como objetivo proporcionar un marco claro y práctico para responder eficazmente ante incidentes y mantener la integridad de sus datos, su privacidad y su misión de defensa de derechos.
Desde el espionaje mediante el uso de spyware hasta amenazas de grupos adversarios, la exposición a riesgos digitales es constante. El spyware, por ejemplo, es un software malicioso que se infiltra en dispositivos para recopilar información sin consentimiento, incluyendo mensajes, llamadas y ubicaciones. Grupos adversarios, que pueden ser actores estatales o no estatales, a menudo tienen la capacidad de llevar a cabo ataques digitales con el objetivo de obtener información sensible, desinformar o interrumpir actividades dentro y fuera de línea.
¿Por qué es importante?
- Atención inmediata: La atención inmediata ante un incidente es clave para mitigar sus efectos y reducir el daño potencial. La demora en la respuesta puede exponer a las personas a un mayor riesgo de pérdida de datos, y amenazas a su seguridad e integridad personal.
- Para mejorar las medidas de seguridad actuales o inexistentes: La respuesta a incidentes permite identificar vulnerabilidades en las medidas de seguridad existentes o la ausencia de ellas. A partir de estos incidentes, se pueden mejorar o implementar las políticas de seguridad, establecer medidas más efectivas y crear protocolos de respuesta sólidos para el futuro.
- Prepararse para escenarios indeseados: Observar los incidentes actuales puede ayudar a anticipar futuros ataques y adaptar las estrategias de seguridad para prevenirlos o responder eficazmente cuando ocurran.
Conceptos básicos
Qué es un incidente
Un incidente en seguridad digital es cualquier evento que representa un abuso de la seguridad establecida de un sistema, red o aplicación, y que compromete la privacidad, integridad o disponibilidad de la información.
Se caracterizan por ser eventos o acciones que no son dirigidas intencionalmente a una organización o persona en razón de su identidad, causa defendida o posiciones políticas; en contraste, hablamos de ataques digitales cuando son dirigidos e intencionados específicamente hacia la persona u organización atacada. Los incidentes pueden incluir intentos de acceso no autorizado, malware, pérdida o robo de dispositivos, daño, corrupción de archivos, entre otros.
Mitos
- «Nunca seré blanco de un ataque»
Esta es una idea común y se relaciona con no ser una figura pública. Sin embargo, los ataques digitales se dirigen a individuos y organizaciones de todos los tamaños. - «Mi antivirus me protege completamente»
Aunque contar con un buen antivirus es esencial, no proporciona una protección completa. Los antivirus pueden no detectar nuevas variantes de malware o pueden haber lagunas de seguridad que los atacantes pueden aprovechar. Es crucial complementar el uso de antivirus con otras medidas de seguridad, como mantener actualizado el software.
Pasos a seguir ante un incidente
- Identificación del incidente: Reconocer y confirmar que ha ocurrido un incidente de seguridad digital. Esto puede implicar la detección de comportamientos anómalos o alertas de seguridad.
- Clasificación y evaluación inicial: Determinar la naturaleza y gravedad del incidente, identificando el tipo de ataque, si se sospecha de alguno. Clasificarlo en función de su impacto, alcance y tipo para priorizar la respuesta.
- Contención y mitigación: Tomar medidas inmediatas para contener y mitigar el incidente. Esto puede incluir desconectar sistemas afectados, bloquear accesos no autorizados y detener la propagación de malware.
- Recopilación de evidencia: Documentar y recopilar evidencia relacionada con el incidente. Capturar información que ayude a entender cómo ocurrió el incidente y qué sistemas o datos se vieron afectados.
- Notificación y comunicación: Notificar a las partes pertinentes sobre el incidente, incluyendo equipos, personal, directivos y, en algunos casos, autoridades competentes. Comunicar la situación actual y las medidas tomadas.
- Investigación y análisis: Realizar una investigación para comprender completamente el incidente. Identificar el origen, las vías de acceso y las vulnerabilidades explotadas.
- Respuesta adecuada: Tomar las medidas necesarias para restaurar la operatividad normal, garantizando la seguridad y protección de la información. Esto puede incluir la recuperación de datos, aplicar parches de seguridad y configuraciones seguras.
- Reporte post-incidente: Elaborar un informe detallado del incidente, que incluya los hallazgos, las acciones tomadas, las lecciones aprendidas y las recomendaciones para evitar futuros incidentes.
⚠️ NOTA IMPORTANTE
Si el incidente tiene las características de alguna forma de violencia digital, considera lo siguiente:
- Apoyo y protección: En el contexto de violencia digital, es fundamental contar con una estrategia específica de respuesta. Esto implica tomar medidas para apoyar y proteger a las víctimas, así como abordar los aspectos legales y sociales del incidente. La respuesta puede incluir la asistencia a la persona afectada, la documentación adecuada del incidente, la denuncia a las autoridades competentes y la concientización sobre seguridad digital.
- Apoyo emocional y legal: Brindar apoyo emocional a la persona afectada es crucial. Esto puede incluir proporcionar recursos para asesoramiento, asistencia legal y orientación sobre cómo proceder legalmente contra el atacante.
Documentación de incidentes
A primera vista, lo que nos parece un incidente puede en realidad tratarse de un ataque digital dirigido a la persona o la organización. Para determinarlo, será necesario documentar tanto los incidentes como las situaciones experimentadas. El propósito de hacer esto es que, al documentar y recabar detalles sobre los eventos, será posible analizar y buscar patrones que puedan ayudar a determinar la naturaleza o intencionalidad de los eventos. De esta manera podemos tener cierta seguridad de que un incidente ha sido solo eso y que no estamos siendo blanco de ataques digitales dirigidos.
La documentación es útil para comprender su alcance, evaluar el impacto y formular una respuesta efectiva. Aquí se describen los elementos clave que deben documentarse durante un incidente de seguridad digital:
Qué ocurrió: Descripción detallada del incidente, incluyendo cómo se descubrió, el tipo de incidente (por ejemplo, ataque de phishing, infección con malware, etc.) y cualquier acción inusual que se haya observado.
- Qué información se comprometió: Identificación y descripción de la información que fue accesible o comprometida durante el incidente. Puede incluir datos personales, contraseñas, registros financieros u otra información confidencial.
-
- Cuándo ocurrió: Fecha y hora exactas del incidente, y si es un incidente en curso, se debe actualizar la información a medida que se desarrolla.
- Dónde ocurrió: Identificación de los sistemas, redes o aplicaciones afectadas. Especificar si fue en un servidor, dispositivo móvil, cuenta en línea, etc.
-
- A quién afectó: Identificar a las personas o entidades afectadas por el incidente, ya sea personal interno, clientes, proveedores u otras partes interesadas.
- Cómo ocurrió: Explicación sencilla y clara de cómo el incidente tuvo lugar. Puede ser que te hayan enviado un mensaje engañoso o que hayas hecho clic en un enlace.
- Indicadores y evidencia: Los indicadores son pistas o señales que nos indican que algo inusual o sospechoso está ocurriendo. Pueden ser cosas como mensajes extraños, enlaces desconocidos o comportamientos inesperados en tu dispositivo o cuenta. La evidencia es cualquier información que recolectamos sobre lo que sucedió; pueden ser capturas de pantalla, registros de URLs sospechosas o de actividades inusuales en tus cuentas.
En este ejemplo, consideraremos un incidente de phishing que compromete información de autenticación en Facebook:
Incidente de phishing | |
Qué ocurrió | Dos personas activistas asociadas a un colectivo de defensa del territorio recibieron correos electrónicos fraudulentos supuestamente de Facebook, alertándolas sobre un intento de inicio de sesión desde un dispositivo desconocido. Se les pedía que verificaran su identidad haciendo clic en un enlace y proporcionaran sus credenciales de inicio de sesión. Ambas proporcionaron la información solicitada. |
Qué información se comprometió | Las credenciales de inicio de sesión (nombre de usuario y contraseña) de las cuentas de Facebook de los activistas. |
Cuándo ocurrió | Entre el 15 y el 20 de septiembre de 2023. |
Dónde ocurrió | Los correos electrónicos fueron enviados a los usuarios a través de sus cuentas de correo electrónico asociadas con Facebook. |
A quién afectó | Dos activistas asociados a un colectivo de defensa del territorio en Facebook que recibieron y respondieron a los correos electrónicos fraudulentos. |
Cómo ocurrió | Los atacantes enviaron correos electrónicos falsificados a los activistas, alegando un intento de inicio de sesión desde un dispositivo desconocido. Estos correos incluían un enlace (por ejemplo, «faceboook.com» en lugar de «facebook.com») que llevaba a una página fraudulenta que tenía un diseño similar al legítimo de Facebook. Los activistas, al hacer clic en estos enlaces, fueron redirigidos a estas páginas y proporcionaron sus credenciales de inicio de sesión. |
Indicadores y evidencia | URLs de los sitios de phishing, correos electrónicos de phishing, capturas de pantalla de los sitios de phishing, registros de acceso de la cuenta de Facebook que muestran actividad inusual. |
La documentación de un incidente proporciona una base sólida para analizar lo sucedido, identificar las lecciones aprendidas y fortalecer las medidas de seguridad para prevenir futuros incidentes.
Bitácora de Incidentes
Una bitácora de incidentes es un registro detallado y organizado de todos los sucesos relacionados con un incidente de seguridad digital. Proporciona una narrativa cronológica y estructurada del incidente, lo que facilita la revisión, el análisis y la mejora continua de las estrategias de seguridad.
Este registro sirve para comprender la secuencia de eventos, las acciones tomadas y las personas involucradas en la respuesta al incidente. La bitácora puede, o no, contener elementos asociados a la respuesta al incidente. En esta guía hemos optado por tenerlos en otro apartado. Estos son sus elementos clave:
- Fecha y hora: Registrar la fecha y la hora exactas en que ocurrieron los eventos relacionados con el incidente. Esto es fundamental para establecer una secuencia de eventos.
- Descripción del incidente/ataque: Detalles sobre lo que sucedió, incluyendo cómo se detectó, los sistemas o redes afectadas y cualquier acción inusual observada. Este punto es básicamente la documentación del incidente, pero concisa.
- Nivel de riesgo: Indica el nivel de riesgo del incidente, de manera tal que sea fácil de identificar la potencial gravedad del evento.
- Comunicaciones: Documentar todas las comunicaciones relevantes relacionadas con el incidente, tanto internas como externas. Esto puede incluir correos electrónicos, chats, llamadas telefónicas y reuniones.
- Seguimiento: Registrar cualquier acción de seguimiento necesaria después de que se haya contenido el incidente, como actualización de políticas, mejoras en la seguridad o capacitación adicional.
- Notas y observaciones: Aquí puedes registrar cualquier observación adicional, comentario o nota que consideres relevante para comprender mejor el incidente o para futuras referencias. Incluso pequeños detalles pueden ser importantes para mejorar la seguridad en el futuro.
A continuación, detallamos la bitácora de un incidente de phishing, retomando el ejemplo de la sección 3.2. En este caso, dos activistas, asociados a un colectivo de defensa del territorio, tuvieron un mismo incidente con un phishing convencional que intentaba obtener sus credenciales de inicio de sesión en Facebook.
Fecha y Hora | Descripción del Incidente | Nivel de Riesgo | Comunicaciones | Seguimiento | Notas |
15/09/2023 09:00 am | Correo electrónico de phishing alertando sobre intento de inicio de sesión desde dispositivo desconocido en Facebook. | Alto: debido a que puede llevar a una posible violación de la cuenta de Facebook y acceso no autorizado a la información personal. | Se identificó el correo electrónico de phishing. | Se bloqueó la página falsa y se registró la URL. | El correo de phishing fue especialmente convincente, simulando una comunicación real de Facebook. |
15/09/2023 09:15 am | Redirección a una página falsa que imitaba la página de inicio de sesión de Facebook al hacer clic en el enlace malicioso. | Alto: debido a que puede resultar en el acceso no autorizado a la cuenta de Facebook y robo de información. | Se recolectaron evidencias (capturas de pantalla). | Se desconectó la cuenta comprometida y se cambió la contraseña. | La página falsa tenía una URL muy similar a la de Facebook, utilizando typosquatting1 para engañar a los usuarios. |
15/09/2023 09:30 am | Un activista proporcionó sus credenciales de inicio de sesión en la página falsa de Facebook. | Crítico: debido a que se comprometieron credenciales reales de inicio de sesión, lo que puede llevar a un acceso completo no autorizado a la cuenta de Facebook. | Se registraron las credenciales comprometidas (nombre de usuario y contraseña). | Se notificó a las autoridades competentes sobre el incidente. | El activista afectado reportó la anomalía de inmediato, siguiendo los protocolos de seguridad establecidos. |
15/09/2023 10:00 am | Inicio del proceso de notificación a las autoridades competentes y brindar asesoramiento al activista afectado. | Crítico: se deben tomar medidas inmediatas para contener el incidente, notificar a las autoridades y mitigar posibles daños. | – Se elaboró un informe detallado del incidente. | – Se brindó apoyo emocional y asesoramiento legal al activista afectado. | – Se reforzó la necesidad de capacitación continua para detectar ataques de phishing entre los activistas. |
Recurso de consulta:
Registro de medidas implementadas
La bitácora puede incluir un registro de las acciones asociadas al incidente; sin embargo, también se puede optar por un registro aparte en el que se puedan consultar los cambios y medidas implementadas de forma independiente. Esto dependerá de las necesidades de cada persona y organización.
Llevar un registro detallado de las medidas implementadas en respuesta a un incidente es clave para evaluar la eficacia de la respuesta y mejorar las estrategias de seguridad en el futuro. Aquí se describen los elementos que deben registrarse sobre las medidas tomadas en respuesta a un incidente:
- Acciones tomadas: Enumerar las acciones específicas que se tomaron para contener y mitigar el incidente, como desconexión de sistemas, análisis de malware, limpieza de sistemas afectados, etc.
- Cambios realizados: Registrar cualquier cambio realizado en la infraestructura, políticas o procedimientos de seguridad como resultado del incidente. Esto puede incluir actualizaciones de software, cambios en las contraseñas, mejoras en la seguridad, entre otros.
- Evaluación de la respuesta: Analizar la efectividad de la respuesta al incidente, identificando lo que funcionó bien y lo que se puede mejorar. Esto puede incluir lecciones aprendidas y recomendaciones para futuros incidentes.
- Responsables de la respuesta: Especificar quiénes fueron los responsables de llevar a cabo las medidas implementadas y su rol en la respuesta al incidente.
- Fechas y horarios de implementación: Registrar las fechas y horas en que se implementaron las diferentes medidas en respuesta al incidente.
Siguiendo el ejemplo, que hemos venido trabajando, el registro de medidas implementadas se puede ilustrar así:
Fecha y Hora | Acciones Tomadas | Cambios Realizados | Evaluación de la Respuesta | Responsables de la Respuesta |
15/09/2023, 09:30 am | – Desconexión inmediata de la cuenta comprometida. | – Cambio de contraseña de la cuenta comprometida. | – Respuesta rápida y efectiva para mitigar el acceso no autorizado. | Persona de la sociedad civil con experiencia en TIC |
15/09/2023, 10:00 am | – Notificación a las autoridades competentes. | – Reforzamiento de las políticas de seguridad en comunicaciones electrónicas. | – Comunicación efectiva con las autoridades y mejora de la seguridad en la prevención de futuros incidentes. | Asistencia desde el Observatorio Nacional Ciudadano |
15/09/2023, 12:00 pm | – Revisión de otras cuentas relacionadas para detectar actividad inusual. | – Implementación de autenticación de dos factores para todas las cuentas relacionadas. | – Identificación de actividad inusual en otras cuentas, lo que permitió tomar medidas preventivas adicionales. | Activistas junto con persona de la sociedad civil con experiencia en TIC |
Evaluación del incidente
La evaluación de un incidente permite aprender de la experiencia y mejorar las estrategias de seguridad para reducir riesgos futuros. Aquí se describen los elementos clave que deben considerarse en la evaluación:
- Análisis del incidente: Realizar un análisis detallado del incidente, identificando cómo ocurrió, qué sistemas se vieron afectados y qué información se vio comprometida. Esto incluye una revisión de las etapas y técnicas utilizadas por el atacante.
- Identificación de vulnerabilidades: Identificar las vulnerabilidades y debilidades que permitieron que el incidente ocurriera. Esto puede incluir fallos en la configuración, falta de actualizaciones de seguridad, falta de capacitación, malas prácticas, etc.
- Evaluación de la respuesta: Evaluar cómo se manejó el incidente, destacando lo que se hizo bien y lo que podría mejorarse. Identificar si las medidas implementadas fueron efectivas y si se aplicaron de manera oportuna.
- Lecciones aprendidas: Extraer lecciones valiosas del incidente, como posibles áreas de mejora en políticas, procedimientos, formación y tecnología. Estas lecciones ayudan a fortalecer la postura de seguridad y a prevenir futuros incidentes.
- Mejoras y acciones preventivas: Proponer medidas específicas para mejorar la seguridad en el futuro. Estas mejoras deben abordar las vulnerabilidades identificadas y las lecciones aprendidas del incidente.
Siguiendo el ejemplo del incidente de phishing, obtendremos algo así:
Elemento de Evaluación | Descripción |
Análisis del Incidente | Se realizó un análisis detallado del incidente de phishing, identificando la simulación de un intento de inicio de sesión no autorizado en Facebook. Se examinaron las etapas y técnicas utilizadas por el atacante, incluyendo el envío de correos electrónicos engañosos y la creación de una página web fraudulenta similar a la de inicio de sesión de Facebook. |
Identificación de Vulnerabilidades | Se identificaron vulnerabilidades en la conciencia de seguridad de los activistas, evidenciando la necesidad de una mayor capacitación en reconocimiento de correos electrónicos phishing. Asimismo, se evidenció la vulnerabilidad en la falta de autenticación de dos factores en las cuentas relacionadas, permitiendo el acceso no autorizado a una cuenta vinculada. |
Evaluación de la Respuesta | La respuesta inicial fue efectiva al desconectar rápidamente la cuenta comprometida y cambiar la contraseña. Sin embargo, se identificó una oportunidad de mejora en la detección temprana de correos de phishing y en la educación continua sobre seguridad para evitar futuros incidentes de este tipo. |
Lecciones Aprendidas | Se extrajo la lección de la importancia de la conciencia y capacitación constantes sobre phishing para todos los miembros del colectivo. Además, se resaltó la necesidad de implementar autenticación de dos factores en todas las cuentas relacionadas para una mayor seguridad. |
Mejoras y Acciones Preventivas | Se propusieron mejoras concretas: reforzar la capacitación en reconocimiento de correos electrónicos de phishing, implementar la autenticación de dos factores para todas las cuentas relacionadas y establecer un proceso de notificación más eficiente en coordinación con las autoridades. Estas mejoras se diseñaron para abordar las vulnerabilidades identificadas y aplicar las lecciones aprendidas para prevenir futuros incidentes similares. |
Siguientes pasos:
¿Qué hacer en caso de ataques digitales dirigidos?
Previamente hemos repasado los insumos necesarios para abordar incidentes de seguridad digital, sin embargo, puede que llegues a encontrarte con ataques digitales dirigidos. En estos casos, aunque se conservan las prácticas de documentación de incidentes, lo mejor será seguir la guía específica de atención ante ataques digitales:

Este material ha sido posible gracias al apoyo del pueblo de los Estados Unidos de América a través de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El contenido de este material es responsabilidad única de SocialTIC y no refleja necesariamente los puntos de vista de USAID o los del Gobierno de los Estados Unidos.
- Typosquatting es un tipo de ataque oportunista que consiste en la creación de un sitio web con una dirección muy parecida a una legítima, esperando que la gente se equivoque al escribir y entre al sitio fraudulento. Ejemplo: Si el sitio real es «www.ejemplo.com», alguien podría registrar «www.ejemlo.com» (nótese que falta la ‘p’) esperando que alguien se equivoque y visite esa página por error. Aprende más en ¿Qué es el typosquatting?