Primera Fase: Reconocimiento o Recopilación de Información

Esta fase, también conocida como footprinting o information gathering, tiene como objetivo obtener la mayor cantidad de datos sobre el objetivo. Se divide en dos modalidades: Reconocimiento Externo (External Footprinting), que implica la recolección de información de fuentes públicas sin interactuar directamente con la organización; y Reconocimiento Interno (Internal Footprinting), que se lleva a cabo una vez que se ha obtenido acceso a la red interna.

Reconocimiento Pasivo

Consiste en adquirir información sin interactuar directamente con el objetivo. Para ello, se busca en registros de dominio público, prestando especial atención a Internet, utilizando técnicas y herramientas de búsqueda de fácil acceso.

• Información de la red: nombres de dominio, direcciones IP, arquitectura y tipología de red, protocolos y máscara de red, etc.
• Información de sistemas y equipos: arquitectura del sistema, nombres de usuarios y grupos, direcciones IP de servidores, aplicaciones y servicios, versión de los sistemas operativos, contraseñas de usuarios, etc.
• Información de la organización: se recopilarán datos del personal, ubicación física y lógica, sitio web, socios comerciales, etc.

Reconocimiento Activo

La información se adquiere interactuando directamente con el objetivo, por ejemplo, a través de llamadas telefónicas, comunicaciones vía correo electrónico o técnicas de ingeniería social, entre otras.

Segunda Fase: Modelado de Amenazas

El modelado de amenazas es crucial para identificar los riesgos de seguridad y comprender cómo podrían materializarse los ataques. Su propósito es determinar qué amenazas requieren mitigación y de qué manera. Esta fase permite priorizar los activos y grupos de riesgo más críticos, lo que facilita el diseño de un ataque que simule el perfil y los conocimientos de un atacante real. El proceso es el siguiente:

• Recopilar información relevante.
• Identificar y categorizar activos principales y secundarios.
• Identificar y categorizar amenazas y grupos de riesgo.
• Emparejar los grupos de riesgo con los activos.

Tercera Fase: Análisis de Vulnerabilidades

Una vulnerabilidad de seguridad se define como una debilidad en un producto que podría permitir a un usuario malintencionado comprometer la integridad, disponibilidad o confidencialidad de dicho producto. Esta fase está orientada a detectar:

• Equipos que puedan estar accesibles.
• Puertos accesibles.
• Otros dispositivos que puedan presentar vulnerabilidades explotables.

Al concluir esta etapa, si se ha ejecutado correctamente, el profesional de la ciberseguridad (o el atacante) dispondrá de la información necesaria para intentar completar el ataque con éxito.

Cuarta Fase: Explotación

Esta fase busca obtener el control de un sistema o recurso vulnerable. Dado que cada sistema y objetivo es único, los vectores de ataque varían significativamente, dependiendo del sistema operativo, los servicios en ejecución, el software instalado, entre otros factores.

Quinta Fase: Post-Explotación

El objetivo principal es evaluar el valor del sistema comprometido y asegurar la persistencia del acceso. El valor de un sistema se mide por la criticidad de los datos que alberga y su potencial utilidad como punto de pivote para futuros ataques dentro de la misma red. Dado que la mayoría de los exploits no garantizan un acceso persistente, una de las primeras acciones en esta fase es establecer mecanismos para mantener el control, como la instalación de backdoors. Los backdoors son fragmentos de código o programas que permiten el acceso remoto a un sistema sin necesidad de autenticación convencional. Durante esta fase, se pueden realizar diversas acciones, como la eliminación o modificación de archivos, la exfiltración de información, o la apertura de puertos para mantener el control remoto del sistema.

Sexta Fase: Borrado de Huellas

En esta fase, el profesional de la ciberseguridad (o el atacante) implementa medidas para eliminar u ocultar cualquier rastro de su presencia, con el fin de evitar ser detectado y, potencialmente, mantener el acceso al objetivo para futuras interacciones. Esta etapa es crucial para impedir que la organización afectada utilice técnicas de análisis forense para identificar la intrusión y las acciones llevadas a cabo. Las actividades comunes incluyen la modificación de archivos de registro (eliminación o sobrescritura de logs del servidor), la ocultación de archivos y la anonimización de la navegación para evitar la identificación de la acción, el lugar o el autor.

Séptima Fase: Informe

En esta fase final, se elabora un informe exhaustivo que detalla los resultados de la actividad, los hallazgos, las pruebas realizadas y las metodologías empleadas. El informe debe presentar las conclusiones obtenidas y proponer recomendaciones de mejora. Es fundamental documentar las acciones en todas las fases (excepto la de reconocimiento pasivo) para respaldar las conclusiones y recomendaciones del informe. El formato y el contenido del informe varían según el público objetivo, las características del proyecto, el objetivo y el alcance. No obstante, es crucial incluir ciertos aspectos cuya omisión podría llevar a interpretaciones parciales, incompletas o erróneas por parte del destinatario.

Formato del Informe

• Resumen Ejecutivo
• Objetivo y Alcance
• Autorización, Restricciones y Limitaciones
• Metodología Utilizada
• Herramientas Utilizadas
• Hallazgos
• Vulnerabilidades e Intrusiones
• Conclusiones, Recomendaciones y Propuestas

Contenido del Informe

• Descripción detallada de la metodología utilizada y de las pruebas realizadas.
• Vulnerabilidades encontradas; clasificadas por algún criterio; indicando su alcance, severidad y riesgo, así como sugerencias.
• Intrusiones realizadas.
• Propuestas de mejora o recuperación de cada vulnerabilidad.
• Apéndices o Anexos: se adjuntarán los necesarios, por ejemplo, para incluir gráficos o tablas, explicación de metodologías, resúmenes de herramientas, etc.

1. Detección y Contención Inmediata

• Detección Temprana: monitoreo y sistemas de detección; alertas y respuesta inicial rápida; protocolos de escalada de incidentes.
• Contención y Mitigación: aislamiento de la brecha de seguridad; evaluación inicial de la brecha; medidas de mitigación inmediatas para reducir el impacto.
• Análisis Forense: recolección de evidencia digital; investigación forense detallada.
• Comunicación Interna y Preparación para la Respuesta: informar al equipo de respuesta a incidentes; preparación para la comunicación externa.

2. Evaluación del Riesgo

• Evaluación Inicial: comprensión del alcance; análisis del tipo de brecha; evaluación de la exposición de datos.
• Análisis del Impacto: impacto en los individuos afectados y en la organización.
• Consideraciones Legales y de Cumplimiento: obligaciones legales y normativas de cumplimiento; análisis de la necesidad de notificación.
• Documentación y Registro: documentación detallada del incidente; revisión de las políticas de seguridad y protección de datos relevantes.

3. Notificación a la AEPD

• Preparación para la Notificación: revisión de los requisitos legales; recopilación de información detallada sobre el incidente.
• Proceso de Notificación: determinación del plazo legal de notificación; contenido requerido de la notificación; comunicación formal a la AEPD.
• Después de la Notificación: seguimiento y diálogo continuo con la AEPD; análisis interno y procesos de mejora continua.

4. Comunicación a los Afectados

• Determinación de la Necesidad de Comunicación: evaluación del riesgo para los interesados; consultas con las autoridades de protección de datos pertinentes.
• Preparación de la Comunicación: elaboración del mensaje; información sobre medidas correctivas y preventivas; puntos de contacto y recursos adicionales de información.
• Distribución de la Comunicación: selección de canales de comunicación adecuados; gestión proactiva de la comunicación.
• Gestión Post-Comunicación: monitoreo de la reacción y el impacto de la comunicación; análisis y mejora continua del proceso.

5. Documentación y Análisis

• Documentación Detallada del Incidente: creación de un registro de incidentes; recolección de evidencia digital; documentación de las acciones de respuesta al incidente.
• Análisis del Incidente: análisis forense; evaluación de la eficacia de la respuesta.
• Mejora de la Seguridad y de los Procesos de Respuesta a Incidentes: identificación de lecciones aprendidas; actualización de políticas y procedimientos de seguridad.
• Revisión y Auditoría: auditorías de seguridad externas e internas; preparación para futuras auditorías regulatorias y de cumplimiento.

6. Medidas Correctivas y de Prevención

• Evaluación y Planificación de Medidas Correctivas: análisis de la causa raíz del incidente; desarrollo de un plan de acción correctivo detallado.
• Implementación de Medidas de Seguridad Mejoradas: fortalecimiento de la infraestructura de TI y sistemas; mejora de las políticas de acceso y control.
• Capacitación y Concienciación del Personal: programas de formación y concienciación en seguridad de la información; simulacros de seguridad y pruebas de penetración.
• Revisión y Mejora de los Procesos de Respuesta a Incidentes: actualización del plan de respuesta a incidentes (PRI); evaluación continua de la eficacia de los procesos.

7. Revisión y Actualización de Protocolos de Seguridad

• Evaluación Integral de los Protocolos Actuales: análisis de las políticas y procedimientos de seguridad existentes; identificación de vulnerabilidades y deficiencias actuales.
• Actualización de Protocolos de Seguridad: implementación de mejoras en la infraestructura de TI; refuerzo de las políticas de control de acceso y autenticación.
• Mejora Continua de los Procedimientos Organizativos: revisión y optimización del plan de respuesta a incidentes; capacitación y concienciación continua del personal.
• Integración de Nuevas Tecnologías y Tendencias: adopción de tecnologías y medidas de seguridad emergentes; realización de pruebas y simulacros de seguridad periódicos.
• Revisión: auditorías de seguridad regulares y exhaustivas; retroalimentación y procesos de mejora continua.

8. Cumplimiento Continuo y Monitoreo

• Cumplimiento Continuo: evaluación de la conformidad con el RGPD y otras normativas aplicables; implementación de la privacidad por diseño y por defecto.
• Monitoreo Proactivo: implementación de sistemas de detección de intrusos (IDS) y anomalías; realización de auditorías y pruebas de penetración regulares.
• Gestión de Riesgos y Resiliencia: evaluación de riesgos continua y actualizada; desarrollo y prueba de planes de continuidad de negocio y recuperación ante desastres.
• Cultura de Seguridad y Concienciación: fomento de la formación y concienciación del personal en ciberseguridad; promoción de la comunicación y colaboración interna.
• Mejora Continua: revisión y actualización periódica de políticas y procedimientos; recopilación de feedback y aprendizaje de incidentes pasados.