¿Conoces nuestros servicios de Respuesta ante Incidentes y Análisis Forense Digital, basados en NIST CSF?

19 de febrero de 2025 Iñigo Ladrón Morales

En Zerolynx somos especialistas en servicios profesionales para empresas en materia de ciberseguridad. Concretamente en seguridad corporativa, ciberseguridad corporativa, inteligencia corporativa, ciberinteligencia corporativa y seguridad patrimonial.

Nuestros servicios se alinean con las recomendaciones, frameworks y estándares internacionales de ciberseguridad, más importantes y reconocidos a nivel mundial. Por ese motivo, toda nuestra oferta está basada en el framework del NIST (Instituto Nacional de Estándares y Tecnologías de los Estados Unidos) y, en concreto en su propuesta de marco de ciberseguridad, conocido como el NIST Cybersecurity Framework (NIST CSF).

Así, la oferta de Zerolynx se articula a través de una amplia gama de servicios profesionales que machean con cada una de las seis funciones del framework NIST CSF:

Identificación.
Protección.
Detección.
Respuesta.
Recuperación.
Gobierno.

En este artículo, nos centraremos en la oferta de servicios de Zerolynx, destinados a la respuesta ante incidentes y el análisis forense digital.

El objetivo de los servicios de respuesta es enfrentarse a situaciones adversas, tales como los ciberataques, o cualquier otro tipo de ciberincidente. La clave no es solo darse cuenta a tiempo y actuar, sino dar una respuesta al inconveniente:

Tanto en tiempo (actuando lo más rápidamente posible, antes de que la situación vaya a más, antes de que el impacto y efectos sean superiores, o de que se llegue a un punto en el que se produzca un desastre ya irrecuperable).
Como en forma (empleando los mecanismos más adecuados, efectivos y eficientes, actuando como se deba actuar conforme al tipo de situación que se produzca, al tipo de amenaza, riesgo, ataque, elementos afectados y probable impacto).

En definitiva, la respuesta consiste en la contención de la amenaza, lo antes posible y del mejor modo posible, dependiendo del tipo de amenaza del que se trate y lo que ésta puede suponer. Algo, a priori, banal, pero nada trivial para personal no experto.

Además, el término “respuesta”, puede tener otras acepciones e implicar conceptos adicionales. Según la RAE (Real Academia de la Lengua Española), puede significar:

“Satisfacción a una pregunta, duda o dificultad”.
“Contestación…”.
“Réplica, refutación…”.
“Acción con que alguien corresponde…”.
“Efecto que se pretende conseguir con una acción”.
“Acción ofensiva ejecutada después de haber parado un ataque”. Esta, quizá, la más adecuada a la situación en la que nos encontramos, sonde podríamos matizar: “Acción ofensiva ejecutada después de haber parado un CIBERataque”.

En resumen, algunos de los términos que definen una respuesta, son:

Actuar (actuar ofensivamente).
Parar / Detener.
Replicar (refutar, rechazar).
Resolver.
Contestar.

Siendo así, la respuesta ante incidentes (respuesta ante ciberincidentes) se podría definir como la actividad consistente en actuar (en tiempo y forma) para detener, rechazar, resolver o solucionar y contestar a una amenaza (ciberamenaza) de la que tenemos constancia que se ha producido ya.

Como vemos, no se trata de una única tarea independiente y aislada, sino de un ciclo de actividades, dependientes y encadenadas en el tiempo.

Cada una de ellas, requiere de una especialización concreta y de unos tiempos de actividad en su correspondiente ciclo. Además, habrá que ser conscientes en todo momento de la fase de la respuesta en la que nos encontramos (detección inminente, actuaciones preliminares o definitivas, proceso de detención o rechazo del ataque, resolución del incidente y de sus efectos, o contestación contra dicho ataque o “ataque al ataque”) para poder actuar convenientemente.

Por ese motivo, es vital contar con expertos en la materia. No se trata, ni conduce a nada, sino que genera más problemas, de “tratar de dar respuesta, sea como sea”. Se trata de dar una respuesta concreta, exacta, a medida, con conocimiento, capacidad y experiencia, de forma inteligente, coordinada y profesional, acorde a la peligrosidad de la situación, sus riesgos, elementos afectados, posible impacto, e incluso efectos colaterales derivados de ella.

Este es el motivo por el que es necesario un asesoramiento y trabajo experto que permita contener y responder como se debe y espera. La experiencia en este tipo de situaciones evita situaciones de “pollos sin cabeza”, con perdón de la expresión.

En el caso de un atraco a un banco, ¿seríais capaces de actuar como intermediarios que analicen la situación, negocien, sean capaces de detener a los atracadores, resolver la situación y responder a los delincuentes… y, todo ello, a su debido tiempo y cadencia, dando los pasos necesarios en cada momento?... Pues los mismo en el caso de un incidente de seguridad digital (ciberincidente).

Para eso están a vuestra disposición los expertos equipos de Zerolynx, que aportan conocimiento, experiencia, asesoramiento profesional, responden, y realizan un análisis forense cuando todo a concluido para que no vuelva a suceder (incluso con periciales forenses, periciales judiciales, etc., alineados con lo que dictamina el Artículo 340 de la Ley de Enjuiciamiento Civil - 1/2000).

Tanto en la respuesta como en el forense posterior, nuestra labor aporta. En el momento inicial, la contención es la clave. Cuanto antes mejor, y del mejor modo posible. Además, es muy importante recoger las evidencias existentes en ese momento, pues luego es probable que desaparezcan.

Así, contenemos el ataque / ciberataque o incidente / ciberincidente, al mismo tiempo que analizamos la situación mediante técnicas forenses que nos permiten recoger las evidencias de la situación, tal y como se debe hacer, para que éstas sean válidas y se puedan emplear en a efectos administrativos, legales, e incluso en sede judicial: preservación de evidencias y mantenimiento de la cadena de custodia de las evidencias recogidas.

“La experiencia es madre de la ciencia” e, igualmente, el haber sufrido un incidente nos puede ayudar con las lecciones aprendidas, que son de vital importancia. Es con ellas con las que debemos fortalecernos y construir un mejor proceso, sistema y mecanismos de defensa, detección y respuesta para próximas ocasiones (plan de respuesta).

Pero, ¿Cómo funcionan y cómo se prestan este tipo de servicios? ¿Cómo los ofrecemos desde Zerolynx para que sean lo más efectivos, eficientes y beneficiosos para tu negocio o empresa?

Sabemos que cada empresa es un mundo, con diferentes sectores de actividad, diferentes portfolios de servicios y/o productos, diferentes necesidades, objetivos y estrategias.

Por ese emotivo nos adaptamos a tu empresa, a cualquier tipo de empresa, objetivos y necesidades, ofreciendo servicios de respuesta totalmente personalizados a cada situación.

Así, en la prestación de este tipo de servicios, establecemos varios pasos a la hora de trabajar:

Analizamos al detalle la situación, revisando el escenario y su entorno, los activos, elementos y personal afectado (tanto interno como externo -proveedores, subcontratas o terceras partes, por ejemplo-) y os antecedentes si es que existiesen.
Con el objetivo de registrar el incidente, poder actuar y poder realizar actividades forenses de todo lo sucedido y lo que se pueda relacionar con él, realizamos la recogida de evidencias, aplicando los mecanismos necesarios para garantizar la cadena de custodia, generamos un registro documental con toda la información.
La información importante es la que podemos extraer de las evidencias recogidas, para lo cual empleamos diferentes tecnologías y técnicas forenses de última generación, poniendo especial cuidado y foco en garantizar la integridad de dicha información y el no repudio de la misma.
Basándonos en la norma UNE 71506, analizamos toda la información recogida.
Con todo ello ya estaremos en condiciones de poder preparar y emitir un informe forense pericial detallado (acorde lo que estipula la norma UNE 197001) de lo sucedido y las acciones llevadas a cabo para detener y dar respuesta.

En concreto, nuestros servicios de respuesta, inteligencia y ciberinteligencia, son los siguientes:

Peritajes Forenses. Cuando sois víctimas de un ciberincidente o ciberataque, analizamos al detalle la situación, lo sucedido, los elementos o activos afectados, las implicaciones, los motivos, los actores y vectores de ataque. Con todo ello, preparamos un informe forense y, de ese modo, además de ayudar, podremos actuar como peritos terceros de parte. Sobre este servicio, hablamos un poco hace un tiempo, desde diferentes perspectivas, en los artículos “Cazadores de evidencias: Navegando por el Análisis Forense de Correos Electrónicos” y “Sistema experto portátil para la Adquisición Segura y Semiautomática de Evidencias Digitales” y “Tan importante es protegerse como responder”.
Threat Hunting, o Caza de Amenazas. Nos encargamos de estar continuamente monitorizando todos los posibles escenarios en busca de amenazas que podrían afectar a tu empresa. Es como si asumiésemos que tu empresa va a ser ciberatacada por algún medio o mecanismo y estuviésemos continuamente vigilándolo y vigilando los posibles canales de entrada o vectores de ataque. Así podremos adelantarnos a un ciberataque y detectarlo “en tiempo real”. Digamos que es el “servicio chivato” que se encuentra analizando de forma proactiva (no reactiva) y emitiendo una alerta temprana en caso de detectar algo sospechoso. Para ello, estaremos continuamente analizando lo que se denominan los TTPs (Tácticas, Técnicas y Procedimientos) que emplean habitualmente los ciberdelincuentes.
Respuesta ante Incidentes. ¿Tenéis sospechas, o la certeza, de estar sufriendo, o de haber sufrido, un ciberataque? ¿No sabéis qué hacer y cómo comportaros, ni qué hacer? Este servicio es la respuesta, ya que os ayudaremos en todo el proceso, desde la evaluación de la situación, hasta la detención o contención de la misma y la evaluación de lo sucedido, los motivos que lo han provocado, los mecanismos empleados, etc., con el fin de poder reestablecer vuestra actividad con normalidad, sin repercusiones (o las menores posibles), siendo además capaces de establecer medidas para tratar de evitar que no vuelva a suceder. Sobre este servicio, ya dimos alguna pincelada en el artículo “Tan importante es protegerse como responder”.
Diseño de Playbooks. ¿El término playbook os suena a chino? Se trata de una lista o concatenación de acciones, de una guía estratégica y práctica de pasos a seguir, en respuesta en una determinada situación que, en este caso es un ciberincidente. ¿Qué hacer, cómo, y en qué orden, en este tipo de situaciones? Un playbook es la respuesta y guía a seguir paso a paso. Esta secuencia de instrucciones o actividades es empleada y aplicada por los equipos de respuesta ante ciberincidentes, de forma automatizada generalmente. Pero, antes de eso, hay que definirla. ¿Sois capaces de hacerlo en vuestra empresa? ¡No os preocupéis! Nosotros nos encargamos de definir ese playbook, adaptado y personalizado a vuestra empresa, actividad, características y necesidades.