CONSIDERACIONES SOBRE LA DEFINICIN DE UN
PLAN DE RESPUESTA A INCIDENTES DE SEGURIDAD
lvaro Gmez Vieites
agomezvieites@gmail.com
Profesor de la Escuela de Negocios Caixanova
RESUMEN DE LA PONENCIA
En esta ponencia se analizan los principales
aspectos que se deberan tener en cuenta para
definir e implantar un Plan de Respuesta a Inci-
dentes de Seguridad en los sistemas informti-
cos.
Para ello, en primer lugar se revisa la im-
portancia adquirida por la Seguridad de la In-
formacin, y se realiza una breve revisin de las
principales consecuencias que podra tener para
una organizacin la falta de una adecuada Pol-
tica de Seguridad de la Informacin.
Seguidamente, se describen de forma deta-
llada los principales aspectos a tener en cuenta a
la hora de definir e implantar un Plan de Res-
puesta a Incidentes:
1. Constitucin de un Equipo de Respues-
ta a Incidentes.
2. Definicin de una Gua de Procedi-
mientos.
3. Deteccin de un incidente de seguri-
dad.
4. Anlisis del incidente.
5. Contencin, erradicacin y recupera-
cin.
6. Identificacin del atacante y posibles
actuaciones legales.
7. Comunicacin con terceros y relacio-
nes pblicas.
8. Documentacin del incidente de segu-
ridad.
9. Anlisis y revisin a posteriori del
incidente
Por ltimo, se describirn las prcticas re-
comendadas por el CERT/CC para mejorar la
respuesta de una organizacin ante los inciden-
tes de seguridad informtica.
Alvaro Gmez Vieites
1. LA IMPORTANCIA DE LA SEGU-
RIDAD DE LA INFORMACIN
Muchas de las actividades que se realizan
de forma cotidiana en los pases desarrollados
dependen en mayor o menor medida de sistemas
y de redes informticas. El espectacular creci-
miento de Internet y de los servicios telemticos
(comercio electrnico, servicios multimedia de
banda ancha, administracin electrnica, herra-
mientas de comunicacin como el correo elec-
trnico o la videoconferencia) ha contribuido
a popularizar an ms, si cabe, el uso de la in-
formtica y de las redes de ordenadores, hasta el
punto de que en la actualidad no se circunscri-
ben al mbito laboral y profesional, sino que
incluso se han convertido en un elemento coti-
diano en muchos hogares, con un creciente
impacto en las propias actividades de comuni-
cacin y de ocio de los ciudadanos.
Por otra parte, servicios crticos para una
sociedad moderna, como podran ser los servi-
cios financieros, el control de la produccin y
suministro elctrico (centrales elctricas, redes
de distribucin y transformacin), los medios de
transporte (control de trfico areo, control de
vas terrestres y martimas), la sanidad (historial
clnico informatizado, telemedicina), las redes
de abastecimiento (agua, gas y saneamiento) o
la propia Administracin Pblica estn soporta-
dos en su prctica totalidad por sistemas y redes
informticas, hasta el punto de que en muchos
de ellos se han eliminado o reducido de forma
drstica los papeles y los procesos manuales.
En las propias empresas, la creciente com-
plejidad de las relaciones con el entorno y el
elevado nmero de transacciones realizadas
como parte de su actividad han propiciado el
soporte automatizado e informatizado de mu-
chos de sus procesos, situacin que se ha acele-
rado con la implantacin de los ERP, o paquetes
software de gestin integral.
 Por todo ello, en la actualidad las activida-
des cotidianas de las empresas y de las distintas
Administraciones Pblicas e, incluso, las de
muchas otras instituciones y organismos, as
como las de los propios ciudadanos, requieren
del correcto funcionamiento de los sistemas y
redes informticas que las soportan y, en espe-
cial, de su seguridad.
De ah la gran importancia que se debera
conceder a todos los aspectos relacionados con
la seguridad informtica en una organizacin.
La proliferacin de los virus y cdigos malignos
y su rpida distribucin a travs de redes como ridad de los datos, en el contexto de los fiche-
Internet, as como los miles de ataques e inci-
dentes de seguridad que se producen todos los
aos han contribuido a despertar un mayor inte-
rs por esta cuestin.
Podemos definir la Seguridad Informtica
como cualquier medida que impida la ejecu-
cin de operaciones no autorizadas sobre un
sistema o red informtica, cuyos efectos puedan
conllevar daos sobre la informacin, compro-
meter su confidencialidad, autenticidad o inte-
gridad, disminuir el rendimiento de los equipos
o bloquear el acceso de usuarios autorizados al
sistema.
Desde un punto de vista ms amplio, en la
norma ISO/IEC 17799 se define la Seguridad de
la Informacin como la preservacin de su con-
fidencialidad, su integridad y su disponibilidad
(medidas conocidas por su acrnimo CIA en
ingls: Confidentialy, Integrity, Availability).
Integridad
Seguridad
de la
Informacin
Confidencialidad Disponibilidad
Figura 1: Seguridad de la Informacin segn la
norma ISO/IEC 17799
Por Incidente de Seguridad entendemos
cualquier evento que pueda provocar una inte-
rrupcin o degradacin de los servicios ofreci-
dos por el sistema, o bien afectar a la confiden-
cialidad o integridad de la informacin.
Un incidente de seguridad puede ser causa-
do por un acto intencionado realizado por un
Alvaro Gmez Vieites
usuario interno o un atacante externo para utili-
zar, manipular, destruir o tener acceso a infor-
macin y/o recursos de forma no autorizada.
Aunque un incidente tambin podra ser la con-
secuencia de un error o trasgresin (accidental o
deliberada) de las polticas y procedimientos de
seguridad, o de un desastre natural o del entorno
(inundacin, incendio, tormenta, fallo elctri-
co...).
En Espaa, la Ley Orgnica de Proteccin
de Datos define una incidencia como cualquier
anomala que afecte o pudiera afectar a la segu-
ros con datos de carcter personal.
2. POSIBLES CONSECUENCIAS DE
LA FALTA DE SEGURIDAD
A la hora de analizar las posibles conse-
cuencias de la ausencia o de unas deficientes
medidas de seguridad informtica, el impacto
total para una organizacin puede resultar bas-
tante difcil de evaluar, ya que adems de los
posibles daos ocasionados a la informacin
guardada y a los equipos y dispositivos de red,
deberamos tener en cuenta otros importantes
perjuicios para la organizacin:
Horas de trabajo invertidas en las repa-
raciones y reconfiguracin de los equi-
pos y redes.
Prdidas ocasionadas por la indisponi-
bilidad de diversas aplicaciones y ser-
vicios informticos: coste de oportuni-
dad por no poder utilizar estos recur-
sos.
Robo de informacin confidencial y su
posible revelacin a terceros no autori-
zados: frmulas, diseos de productos,
estrategias comerciales, programas in-
formticos
Filtracin de datos personales de usua-
rios registrados en el sistema: emplea-
dos, clientes, proveedores, contactos
comerciales o candidatos de empleo,
con las consecuencias que se derivan
del incumplimiento de la legislacin en
materia de proteccin de datos perso-
nales vigentes en toda la Unin Euro-
pea y en muchos otros pases.
Posible impacto en la imagen de la
empresa ante terceros: prdida de cre-
dibilidad en los mercados, dao a la re-
putacin de la empresa, prdida de
 confianza por parte de los clientes y los
proveedores, etctera.
Retrasos en los procesos de produc-
cin, prdida de pedidos, impacto en la
calidad del servicio, prdida de oportu-
nidades de negocio...
Posibles daos a la salud de las perso-
nas, con prdidas de vidas humanas en
los casos ms graves.
Pago de indemnizaciones por daos y
perjuicios a terceros, teniendo que
afrontar adems posibles responsabili-
dades legales y la imposicin de san-
ciones administrativas. Las organiza-
ciones que no adoptan medidas de se-
guridad adecuadas para proteger sus
redes y sistemas informticos podran
enfrentarse a penas civiles y criminales
bajo una serie de leyes existentes y de-
cisiones de tribunales: proteccin de la
privacidad y los datos personales de
clientes y empleados; utilizacin de
aplicaciones P2P para intercambio de
contenidos digitales protegidos por de-
rechos de autor; etctera.
Segn un estudio publicado a principios de
2006 y realizado por la consultora especializada
Computer Economics, la creacin y difusin de
programas informticos maliciosos a travs de
Internet (virus, troyanos, gusanos) ha repre-
sentado durante esta ltima dcada un coste
financiero para las empresas de todo el mundo
de unos 110.000 millones de dlares.
En otro estudio realizado en esta ocasin
por el FBI, se pona de manifiesto que casi un
90% de las empresas de Estados Unidos haban
sido infectadas por virus o sufrieron ataques a
travs de Internet en los aos 2004 y 2005, pese
al uso generalizado de programas de seguridad.
Estos ataques haban provocado unos daos por
un importe medio de unos 24.000 dlares en las
empresas e instituciones afectadas. Adems,
segn los propios datos del FBI, cerca de un
44% de los ataques provenan del interior de las
organizaciones.
Los nuevos delitos relacionados con la in-
formtica y las redes de ordenadores se han
convertido en estos ltimos aos en uno de los
mayores problemas de seguridad a escala glo-
bal. As, segn datos publicados por el Depar-
tamento de Hacienda de Estados Unidos a fina-
les de 2005, los delitos informticos (entre los
que se incluyen las estafas bancarias, casos de
phishing, pornografa infantil o espionaje
industrial) constituyen un lucrativo negocio que
Alvaro Gmez Vieites
genera ya ms dinero que el propio narcotrfico.
Slo en Estados Unidos estos delitos, unidos a
las consecuencias de la propagacin de los virus
y de los ataques de denegacin de servicio,
causan prdidas anuales superiores a los 50.000
millones de euros.
3. TAREAS A CONSIDERAR EN UN
PLAN DE RESPUESTA A INCIDENTES
La definicin e implantacin de un Plan de
Respuesta a Incidentes debera tener en cuenta
una serie de actividades y tareas, entre las cuales
podramos destacar todas las que se presentan
en la siguiente relacin:
Constitucin de un Equipo de Respues-
ta a Incidentes.
Definicin de una Gua de Procedi-
mientos.
Deteccin de un incidente de seguri-
dad.
Anlisis del incidente.
Contencin, erradicacin y recupera-
cin.
Identificacin del atacante y posibles
actuaciones legales.
Comunicacin con terceros y relacio-
nes pblicas.
Documentacin del incidente de segu-
ridad.
Anlisis y revisin a posteriori del
incidente.
3.1. CONSTITUCIN DEL EQUIPO
DE RESPUESTA A INCIDENTES DE SE-
GURIDAD INFORMTICA (CSIRT)
El Equipo de Respuesta a Incidentes de Se-
guridad Informtica (CSIRT, Computer Security
Incident Response Team) deber estar constitui-
do por las personas que cuentan con la expe-
riencia y la formacin necesaria para poder
actuar ante las incidencias y desastres que pu-
dieran afectar a la seguridad informtica de una
organizacin.
Generalmente slo las grandes organizacio-
nes cuentan con un equipo de personas contra-
tadas para cumplir con esta funcin. En la ma-
yora de las organizaciones que no cuentan con
un Equipo de Respuesta formalmente constitui-
do, ser necesario identificar quines son las
personas responsables de acometer cada una de
las tareas que se hayan definido en el Plan de
Respuesta a Incidentes, definiendo claramente
las responsabilidades, funciones y obligaciones mientos de actuacin ante futuros incidentes y
de cada persona implicada en dicho Plan. reforzar la proteccin actual de los sistemas
informticos de la organizacin.
La organizacin deber mantener actualiza-
da la lista de direcciones y telfonos de contacto Por supuesto, tambin debe tratar de forma
para emergencias, para poder localizar rpida- adecuada las cuestiones legales que se pudieran
mente a las personas clave. derivar de cada incidente de seguridad, as como
los aspectos relacionados con la imagen y repu-
En algunos casos ser necesario contratar a
tacin de la organizacin y las relaciones pbli-
las personas con la necesaria experiencia y cua-
cas.
lificacin profesional (conocimientos tcnicos,
habilidades de comunicacin). La experiencia 3.3. DETECCIN DE UN INCIDENTE
es un factor determinante para poder actuar de DE SEGURIDAD
forma correcta evitando errores a la hora de
La organizacin debera prestar especial
responder de forma rpida y eficaz ante los
atencin a los posibles indicadores de un inci-
incidentes de seguridad.
dente de seguridad, como una actividad a con-
Asimismo, conviene prestar especial aten- templar dentro del Plan de Respuesta a Inciden-
cin a la formacin continua de los miembros tes. Seguidamente se presenta una relacin de
del Equipo de Respuesta a Incidentes (o de las los principales indicadores de posibles inciden-
personas que deban asumir esta responsabilidad tes de seguridad:
si no existe el equipo como tal), contemplando
Precursores de un ataque: actividades
tanto los aspectos tcnicos como los aspectos
previas de reconocimiento del sistema
legales (delitos informticos).
informtico, como el escaneo de puer-
Estas personas deben contar con la dotacin tos, el escaneo de vulnerabilidades en
de medios tcnicos y materiales necesarios para servidores, el reconocimiento de ver-
poder cumplir con eficacia su misin. Para siones de sistemas operativos y aplica-
comprobar la idoneidad de los medios disponi- ciones
bles, el entrenamiento de los miembros del
Alarmas generadas en los Sistemas de
equipo y las actividades definidas en el Plan de
Deteccin de Intrusiones (IDS), en los
Respuesta a Incidentes, conviene llevar a cabo
cortafuegos o en las herramientas anti-
simulacros de forma peridica en la organiza-
virus.
cin.
Registro de actividad extraa en los
3.2. GUA DE PROCEDIMIENTOS Y
logs de servidores y dispositivos de
ACTIVIDADES A REALIZAR EN RES-
red o incremento sustancial del nmero
PUESTA A UN INCIDENTE
de entradas en los logs.
Como parte integrante del Plan de Respues-
Aparicin de nuevas carpetas o fiche-
ta a Incidentes, la organizacin debe definir una
ros con nombres extraos en un servi-
gua de actuacin clara y detallada con los pro-
dor, o modificaciones realizadas en de-
cedimientos y acciones necesarias para la res-
terminados ficheros del sistema (libre-
tauracin rpida, eficiente y segura de la capa-
ras, kernel, aplicaciones crticas...),
cidad de procesamiento informtico y de comu-
que se pueden detectar mediante
nicaciones de la organizacin, as como para la
herramientas de revisin de la integri-
recuperacin de los datos daados o destruidos.
dad de ficheros.
El objetivo perseguido con la Gua de Pro-
Cada o mal funcionamiento de algn
cedimientos es conseguir una respuesta sistem-
servidor: reinicios inesperados, fallos
tica ante los incidentes de seguridad, realizando
en algunos servicios, aparicin de men-
los pasos necesarios y en el orden adecuado
sajes de error, incremento anormal de
para evitar errores ocasionados por la precipita-
la carga del procesador o del consumo
cin o la improvisacin.
de memoria del sistema
Una buena Gua de Procedimientos permiti-
Notable cada en el rendimiento de la
r minimizar los daos ocasionados y facilitar la
red o de algn servidor, debido a un in-
recuperacin del sistema afectado.
cremento inusual del trfico de datos.
Adems, esta gua debe completar la adqui-
Cambios en la configuracin de deter-
sicin de informacin detallada sobre cada inci-
minados equipos de la red: modifica-
dente de seguridad para mejorar los procedi-
cin de las polticas de seguridad y au-

Alvaro Gmez Vieites

 ditora, activacin de nuevos servicios,
puertos abiertos que no estaban autori-
zados, activacin de las tarjetas de red
en modo promiscuo (para poder captu-
rar todo el trfico que circula por la red
interna mediante sniffers), etctera.
Existencia de herramientas no autori-
zadas en el sistema.
Aparicin de nuevas cuentas de usuario
o registro de actividad inusual en algu-
nas cuentas: conexiones de usuarios en
unos horarios extraos (por ejemplo,
por las noches o durante un fin de se-
mana), utilizacin de la misma cuenta
desde distintos equipos a la vez, blo-
queo reiterado de cuentas por fallos en
la autenticacin, ejecucin inusual de
determinados servicios desde algunas
cuentas, etctera.
Informes de los propios usuarios del
sistema alertando de algn comporta-
miento extrao o de su imposibilidad
de acceder a ciertos servicios.
Deteccin de procesos extraos en eje-
cucin dentro de un sistema, que se ini-
cian a horas poco habituales o que con-
sumen ms recursos de los normales
(tiempo de procesador o memoria).
Generacin de trfico extrao en la red:
envo de mensajes de correo electrni-
co hacia el exterior con contenido sos-
pechoso, inusual actividad de transfe-
rencia de ficheros, escaneo de otros
equipos desde un equipo interno
Notificacin de un intento de ataque
lanzado contra terceros desde equipos
pertenecientes a la propia organizacin.
Desaparicin de equipos de la red de la
organizacin.
Aparicin de dispositivos extraos co-
nectados directamente a la red o a al-
gunos equipos de la organizacin (en
este ltimo caso podran ser, por ejem-
plo, dispositivos para la captura de pul-
saciones de teclado en los equipos).
Conviene tener en cuenta que los ataques
informticos se estn volviendo cada vez ms
sofisticados, por lo que es difcil conseguir
detectarlos a tiempo. Incluso existen herramien-
tas que facilitan este tipo de ataques ocultando
su actividad y que se pueden obtener de forma
gratuita en Internet.
Alvaro Gmez Vieites
Por otra parte, la gran cantidad de informa-
cin que se genera en los logs y en las distin-
tas herramientas de seguridad puede dificultar
su posterior estudio, debido sobre todo a la
prdida de tiempo provocada por los falsos
positivos. Por este motivo, es necesario contar
con herramientas y filtros que faciliten la detec-
cin y clasificacin de los incidentes.
3.4. ANLISIS DE UN INCIDENTE DE
SEGURIDAD
El Plan de Respuesta a Incidentes debe de-
finir cmo el equipo de respuesta debera proce-
der al anlisis de un posible incidente de seguri-
dad en cuanto ste fuese detectado por la orga-
nizacin, determinando en primer lugar cul es
su alcance: qu equipos, redes, servicios y/o
aplicaciones se han podido ver afectados? Se
ha podido comprometer informacin confiden-
cial de la organizacin o de sus usuarios y clien-
tes? Ha podido afectar a terceros?
Seguidamente, el equipo de respuesta debe-
ra determinar cmo se ha producido el inciden-
te: qu tipo de ataque informtico (si lo ha habi-
do) ha sido el causante, qu vulnerabilidades del
sistema han sido explotadas, qu mtodos ha
empleado el atacante, etctera.
Se podra utilizar una Matriz de Diagns-
tico para facilitar la actuacin del equipo en
momentos de mximo estrs, evitando que se
puedan tomar decisiones precipitadas que con-
duzcan a errores, constituyendo adems un
valioso apoyo para el personal con menos expe-
riencia en la actuacin frente a incidentes de
seguridad.
Sntoma Cdigo Denegacin de Acceso no
malicioso Servicio (DoS) autorizado
Escaneo de puertos Bajo Alto Medio
Cada de un servidor Alto Alto Medio
Modificacin de ficheros de un equipo Alto Bajo Alto
Trfico inusual en la red Medio Alto Medio
Ralentizacin de los equipos o de la red Medio Alto Bajo
Envo de mensajes de correo sospechosos Alto Bajo Medio
Tabla 1: Ejemplo de Matriz de Diagnstico
Asimismo, conviene realizar una valoracin
inicial de los daos y de sus posibles conse-
cuencias, para a continuacin establecer un
orden de prioridades en las actividades que
debera llevar a cabo el equipo de respuesta,
teniendo para ello en consideracin aspectos
como el posible impacto del incidente en los
recursos y servicios de la organizacin y en el
desarrollo de su negocio o actividad principal.
En este sentido, los documentos RFC 1244
y RFC 2196 (del IETF, Internet Engineering
Task Force) proponen la siguiente priorizacin
de las actividades a realizar por parte de un
equipo de respuesta a incidentes:
1. Prioridad uno: proteger la vida humana
y la seguridad de las personas.
2. Prioridad dos: proteger datos e infor-
macin sensible de la organizacin.
3. Prioridad tres: proteger otros datos e
informacin de la organizacin.
4. Prioridad cuatro: prevenir daos en los
sistemas informticos (prdida o modi-
ficacin de ficheros bsicos para las
aplicaciones y los servidores).
5. Prioridad cinco: minimizar la interrup-
cin de los servicios ofrecidos a los
distintos usuarios (internos y externos).
3.5. CONTENCIN, ERRADICACIN
Y RECUPERACIN
Dentro del Plan de Respuesta a Incidentes,
el equipo de respuesta debe elegir una determi-
nada estrategia de contencin del incidente de
seguridad. Una primera opcin sera llevar a
cabo una rpida actuacin para evitar que el
incidente pueda tener mayores consecuencias
para la organizacin: apagar todos los equipos
afectados, desconexin de estos equipos de la
red informtica, desactivacin de ciertos servi-
cios, etctera. Esta estrategia de contencin es la
ms adecuada cuando se puedan ver afectados
servicios crticos para la organizacin, se pueda
poner en peligro determinada informacin con-
fidencial, se estn aprovechando los recursos de
la organizacin para lanzar ataques contra terce-
ros o cuando las prdidas econmicas puedan
ser considerables.
Una segunda alternativa sera retrasar la
contencin para poder estudiar con ms detalle
el tipo de incidente y tratar de averiguar quin
es el responsable del mismo. Esta estrategia se
puede adoptar siempre y cuando sea posible
monitorizar y controlar la actuacin de los ata-
cantes, para de este modo reunir las evidencias
necesarias que permitan iniciar las correspon-
dientes actuaciones legales contra los responsa-
bles del incidente. No obstante, se corre el ries-
go de que el incidente pueda tener peores con-
secuencias para la organizacin o para terceros
(y en este ltimo caso la organizacin podra ser
considerada culpable por no haber actuado a
tiempo).
Por otra parte, en algunos tipos de ataque
las medidas de contencin adoptadas podran
desencadenar mayores daos en los sistemas
informticos comprometidos. As, por ejemplo,
Alvaro Gmez Vieites
un equipo controlado por un cracker podra estar
ejecutando un servicio que se encargara de
realizar pings peridicos a determinados ser-
vidores o comprobar el estado de las conexiones
de red, de tal modo que si se detectase una des-
conexin del equipo del resto de la red, se des-
encadenara otro proceso encargado de eliminar
todas las pruebas del disco duro del equipo.
Tambin hay que tener en cuenta que en los
ataques de Denegacin de Servicio (DoS) puede
resultar necesario contar con la colaboracin de
las empresas proveedoras de acceso a Internet o
de administradores de las redes de otras organi-
zaciones para contener el ataque.
Por su parte, la erradicacin es la etapa del
Plan de Respuesta a Incidentes en la que se
llevan a cabo todas las actividades necesarias
para eliminar los agentes causantes del incidente
y de sus secuelas, entre las que podramos citar
posibles puertas traseras instaladas en los
equipos afectados, rootkits u otros cdigos
malignos (virus, gusanos...), contenidos y mate-
rial inadecuado que se haya introducido en los
servidores, cuentas de usuario creadas por los
intrusos o nuevos servicios activados en el inci-
dente. Tambin ser conveniente llevar a cabo
una revisin de otros sistemas que se pudieran
ver comprometidos a travs de las relaciones de
confianza con el sistema afectado.
Por ltimo, la recuperacin es la etapa del
Plan de Respuesta a Incidentes en la que se trata
de restaurar los sistemas para que puedan volver
a su normal funcionamiento. Para ello, ser
necesario contemplar tareas como la reinstala-
cin del sistema operativo y de las aplicaciones
partiendo de una copia segura, la configuracin
adecuada de los servicios e instalacin de los
ltimos parches y actualizaciones de seguridad,
el cambio de contraseas que puedan haber sido
comprometidas, la desactivacin de las cuentas
que hayan sido utilizadas en el incidente, la
revisin de las medidas de seguridad para pre-
venir incidentes similares y la prueba del siste-
ma para comprobar su correcto funcionamiento.
3.6. IDENTIFICACIN DEL ATA-
CANTE Y POSIBLES ACTUACIONES
LEGALES
Dentro del Plan de Respuesta a Incidentes,
la identificacin del atacante es necesaria para
poder emprender acciones legales para exigir
responsabilidades y reclamar indemnizaciones.
No obstante, conviene tener en cuenta que gene-
ralmente slo se podr identificar la mquina o
mquinas desde las que se ha llevado a cabo el
ataque, pero no directamente al individuo res-
ponsable de su utilizacin.
La identificacin del atacante puede ser una
tarea que consuma bastante tiempo y recursos,
por lo que no debera interferir en la contencin
y erradicacin del incidente. Algunas organiza-
ciones optan por no perseguir legalmente a los
atacantes por el esfuerzo necesario: costes, tr-
mites judiciales, publicacin en los medios...
Adems, los ataques realizados desde otros
pases con ciertas lagunas legales en el trata-
miento de los delitos informticos pueden difi-
cultar las reclamaciones judiciales, ya que se
complica en gran medida el proceso de extradi-
cin de los responsables .
Existen distintas tcnicas para determinar la
direccin IP del equipo (o equipos) desde el que
se ha llevado a cabo el ataque contra el sistema
informtico: utilizacin de herramientas como
ping, traceroute o whois; consulta en los
registros inversos de servidores DNS; etctera.
No obstante, es necesario tener en cuenta
una serie de obstculos que pueden dificultar
esta tarea:
Mediante tcnicas de IP Spoofing se
podra enmascarar la direccin en al-
gunos tipos de ataque.
El atacante podra estar utilizando
equipos de terceros para realizar sus
acciones, situacin que se produce con
bastante frecuente hoy en da.
El atacante podra haber empleado una
direccin IP dinmica, asignada a su
equipo por un proveedor de acceso a
Internet.
El equipo del atacante podra estar si-
tuado detrs de un servidor proxy con
el servicio NAT activo (traduccin de
direcciones internas a una direccin ex-
terna), compartiendo una direccin IP
pblica con otros equipos de la misma
red.
Por este motivo, en muchos casos ser ne-
cesario solicitar la colaboracin de los respon-
sables de otras redes y de los proveedores de
acceso a Internet que pudieran haber sido utili-
zados por los atacantes.
Una tarea que tambin podra contribuir a
la identificacin del atacante es el anlisis de las
actividades de exploracin (escaneos de puertos
y de vulnerabilidades en el sistema) que suelen
anteceder a un ataque, sobre todo si stas han
podido ser registradas por los logs de los
Alvaro Gmez Vieites
equipos afectados o por el Sistema de Deteccin
de Intrusiones (IDS).
En cuanto a la ejecucin de acciones contra
el atacante, se recomienda presentar una denun-
cia ante las unidades policiales especializadas
en este tipo de incidentes o ataques informti-
cos, para poder emprender de este modo las
correspondientes actuaciones policiales y judi-
ciales.
Conviene destacar que si la organizacin
decidiese actuar por su propia cuenta, tomando
la justicia por su mano, es decir, realizar ata-
ques a modo de represalia contra los equipos
desde los que aparentemente se est producien-
do un intento de intrusin contra sus propios
equipos y redes informticas, esta actuacin
podra tener graves consecuencias para la orga-
nizacin. Si el atacante ha utilizado tcnicas de
enmascaramiento (como IP Spoofing), la
organizacin podra lanzar un ataque contra
equipos y redes inocentes, con las correspon-
dientes responsabilidades legales que se derivan
de esta actuacin, por lo que podra ser denun-
ciada por las organizaciones propietarias de
estos equipos atacados a modo de represalia.
3.7. COMUNICACIN CON TERCE-
ROS Y RELACIONES PBLICAS
El Plan de Respuesta a Incidentes tiene que
contemplar cmo la organizacin debera co-
municar a terceros la causa y las posibles conse-
cuencias de un incidente de seguridad inform-
tica.
As, dentro de este Plan de Respuesta debe-
ran estar previstos los contactos con organis-
mos de respuesta a incidentes de seguridad
informtica (como el CERT), con las fuerzas de
seguridad (Polica o Guardia Civil), con agen-
cias de investigacin y con los servicios jurdi-
cos de la organizacin.
Tambin podra ser necesario establecer
contactos con proveedores de acceso a Internet,
ya sea el proveedor de la propia organizacin o
el proveedor o proveedores que dan servicio a
equipos desde los que se ha originado un ataque
contra la organizacin.
Del mismo modo, en algunos casos sera
recomendable contactar con los fabricantes de
hardware y/o software que se hayan visto invo-
lucrados en el incidente, debido a una vulnerabi-
lidad o una mala configuracin de sus produc-
tos.
En el Plan de Respuesta a Incidentes tam-
bin se deben contemplar los contactos con
terceros que pudieran haber sido perjudicados
por el incidente de seguridad, como en el caso
de que se hubieran utilizado ordenadores de la
organizacin para realizar un ataque contra
sistemas y redes de otras entidades. De este
modo, se podran limitar las responsabilidades
legales en las que podra incurrir la organizacin
por culpa del incidente de seguridad.
Por otra parte, hay que tener en cuenta el
cumplimiento de la normativa existente ya en
algunos pases, que obliga a la notificacin de
los incidentes de seguridad a determinados
organismos de la Administracin, as como a los
ciudadanos (generalmente clientes de la organi-
zacin) que pudieran verse afectados por dicho
incidente. En los contactos con los clientes de la
organizacin, el personal debera poder transmi-
tir seguridad y tranquilidad, indicando en todo
momento que la situacin est controlada.
Por ltimo, tambin ser conveniente defi-
nir un Plan de Comunicacin con los Medios:
agencias de noticias, prensa, emisoras de radio y
TV Para ello, la organizacin debera estable-
cer quin se encargar de hablar con los medios
y qu datos se podrn facilitar en cada momen-
to. El interlocutor debera estar preparado para
responder a preguntas del estilo: quin ha sido
el responsable del ataque o incidente?, cmo
pudo suceder?, hasta qu punto se ha extendido
por la organizacin?, qu medidas estn adop- TERIORI DEL INCIDENTE
tando para contrarrestarlo?, cules pueden ser
sus consecuencias tcnicas y econmicas?,
etctera.
En la comunicacin con los medios, la or-
ganizacin debera procurar no revelar informa-
cin sensible, como los detalles tcnicos de las
medidas adoptadas para responder al incidente
de seguridad, y evitar en la medida de lo posible
las especulaciones sobre las causas o los respon-
sables del incidente de seguridad.
3.8. DOCUMENTACIN DEL INCI-
DENTE DE SEGURIDAD
El Plan de Respuesta a Incidentes debera
establecer cmo se tiene que documentar un
incidente de seguridad, reflejando de forma
clara y precisa aspectos como los que se presen-
tan en la siguiente relacin:
Descripcin del tipo de incidente.
Hechos registrados (eventos en los
logs de los equipos).
Daos producidos en el sistema infor-
mtico.
Decisiones y actuaciones del equipo de
respuesta.
Alvaro Gmez Vieites
Comunicaciones que se han realizado
con terceros y con los medios.
Lista de evidencias obtenidas durante
el anlisis y la investigacin.
Comentarios e impresiones del perso-
nal involucrado.
Posibles actuaciones y recomendacio-
nes para reforzar la seguridad y evitar
incidentes similares en el futuro.
La Trans-European and Education Network
Association (TERENA) ha desarrollado un
estndar para facilitar el registro e intercambio
de informacin sobre incidentes de seguridad: el
estndar RFC 3067, con recomendaciones sobre
la informacin que debera ser registrada en
cada incidente (Incident Object Description
and Exchange Format Requirements).
Conviene destacar que una correcta y com-
pleta documentacin del incidente facilitar el
posterior estudio de cules han sido sus posibles
causas y sus consecuencias en el sistema infor-
mtico y los recursos de la organizacin. Por
supuesto, ser necesario evitar que personal no
autorizado pueda tener acceso a esta documen-
tacin sensible.
3.9. ANLISIS Y REVISIN A POS-
Dentro del Plan de Respuesta a Incidentes
se tiene que contemplar una etapa para el anli-
sis y revisin a posteriori de cada incidente de
seguridad, a fin de determinar qu ha podido
aprender la organizacin como consecuencia del
mismo.
Con tal motivo, ser necesario elaborar un
informe final sobre el incidente, en el que se
puedan desarrollar los siguientes aspectos de
forma detallada:
3.9.1. Investigacin sobre las causas y las
consecuencias del incidente:
Estudio de la documentacin generada
por el equipo de respuesta a incidentes.
Revisin detallada de los registros de
actividad (logs) de los ordenadores y
dispositivos afectados por el incidente.
Evaluacin del coste del incidente de
seguridad para la organizacin: equipos
daados, software que se haya visto
afectado, datos destruidos, horas de
personal dedicado a la recuperacin de
los equipos y los datos, informacin
confidencial comprometida, necesidad
de soporte tcnico externo, etctera.
 Anlisis de las consecuencias que haya
podido tener para terceros.
Revisin del intercambio de informa-
cin sobre el incidente con otras em-
presas e instituciones, as como con los
medios de comunicacin.
Seguimiento de las posibles acciones
legales emprendidas contra los respon-
sables del incidente.
3.9.2. Revisin de las decisiones y actua-
ciones del equipo de respuesta a incidentes:
Composicin y organizacin del equi-
po.
Formacin y nivel de desempeo de
los miembros.
Rapidez en las actuaciones y decisio-
nes: cmo respondi el personal invo-
lucrado en el incidente?, qu tipo de
informacin se obtuvo para gestionar el
incidente?, qu decisiones se adopta-
ron?
3.9.3. Anlisis de los procedimientos y de
los medios tcnicos empleados en la respuesta
al incidente:
Redefinicin de aquellos procedimien-
tos que no hayan resultado adecuados.
Adopcin de las medidas correctivas
que se consideren necesarias para me-
jorar la respuesta ante futuros inciden-
tes de seguridad.
Adquisicin de herramientas y recursos
para reforzar la seguridad del sistema y
la respuesta ante futuros incidentes de
seguridad.
3.9.4. Revisin de las Polticas de Seguri-
dad de la organizacin:
Definicin de nuevas directrices y revi-
sin de las actualmente previstas por la
organizacin para reforzar la seguridad
de su sistema informtico.
4. PRCTICAS RECOMENDADAS
POR EL CERT/CC
El CERT/CC (Computer Emergency Res-
ponse Team / Coordination Center) ha propues-
to una serie de actividades para mejorar la res-
puesta de una organizacin ante los incidentes
de seguridad informtica. Seguidamente se
presenta un extracto con algunas de las principa-
les actividades propuestas por este organismo,
agrupadas en tres fases o etapas:
Alvaro Gmez Vieites
4.1. Preparacin de la respuesta ante in-
cidentes de seguridad
Definicin del plan de actuacin y los
procedimientos para responder a los
incidentes, especificando, entre otras
cuestiones, a quin se debe informar en
caso de incidente o qu tipo de infor-
macin se debe facilitar y en qu mo-
mento (fase del incidente).
Documentacin del plan de actuacin y
de los procedimientos para responder a
los incidentes.
Comprobacin de que el plan de actua-
cin y los procedimientos previstos
cumplen con los requisitos legales y las
obligaciones contractuales con terceros
(como, por ejemplo, exigencias de los
clientes de la organizacin).
Adquisicin e instalacin de herra-
mientas informticas y dispositivos que
faciliten la respuesta ante incidentes.
Conviene disponer de equipos redun-
dantes, dispositivos de red y medios de
almacenamiento para poder recuperar
el funcionamiento normal del sistema.
Verificacin de los procedimientos y
dispositivos de copias de seguridad.
Creacin de un archivo de discos de
arranque y un conjunto de copias con
todas las aplicaciones y servicios nece-
sarios para el funcionamiento de los
sistemas informticos, as como de los
parches y actualizaciones correspon-
dientes.
Formacin y entrenamiento del perso-
nal afectado por este plan y procedi-
mientos de actuacin.
Mantenimiento actualizado de una base
de datos de contactos (personas y orga-
nizaciones).
4.2. Gestin del incidente de seguridad
Aislamiento de los equipos afectados
por el incidente, realizando adems una
copia de seguridad completa de sus
discos duros.
Captura y proteccin de toda la infor-
macin asociada con el incidente: re-
gistros de actividad (logs) de los
equipos y dispositivos de red, ficheros
dentro de los servidores, trfico inter-
cambiado a travs de la red, etctera.
 Catalogacin y almacenamiento seguro
de toda esta informacin para poder
preservar las evidencias. Convendra
disponer de copias de seguridad con la
informacin del estado previo y del es-
tado posterior al incidente de los equi-
pos y sistemas afectados.
Revisin de toda la informacin dispo-
nible para poder caracterizar el tipo de
incidente o intento de intrusin. Anli-
sis detallado de los registros de activi-
dad (logs) y del estado de los equi-
pos para determinar cul puede ser el
tipo de ataque o incidente, qu sistemas
se han visto afectados, qu modifica-
ciones han realizado o qu programas
han ejecutado los posibles intrusos de-
ntro de estos sistemas.
Comunicacin con todas las personas y
organismos que deberan ser informa-
dos del incidente, cumpliendo con lo
establecido en las polticas y procedi-
mientos de respuesta a incidentes.
Mantenimiento de un registro detallado
de todas las comunicaciones y contac-
tos establecidos durante la respuesta
ante el incidente.
Participacin en las medidas de inves-
tigacin y de persecucin legal de los
responsables del incidente.
Aplicacin de soluciones de emergen-
cia para tratar de contener el incidente:
desconectar los equipos afectados de la
red corporativa; desactivar otros dispo-
sitivos y servicios afectados; apagar
temporalmente los equipos ms crti-
cos; cambiar contraseas e inhabilitar
cuentas de usuarios; monitorizar toda
la actividad en estos equipos; verificar
que se dispone de copias de seguridad
de los datos de los equipos afectados
por el incidente; etctera.
Eliminacin de todos los medios posi-
bles que faciliten una nueva intrusin
en el sistema: cambiar todas las contra-
seas de los equipos a los que hayan
podido tener acceso atacantes o usua-
rios no autorizados; revisar la configu-
racin de los equipos; detectar y anular
los cambios realizados por los atacan-
tes en los equipos afectados; restaurar
programas ejecutables y ficheros bina-
rios (como las libreras del sistema)
desde copias seguras; mejorar, si es po-
Alvaro Gmez Vieites
sible, los mecanismos de registro de la
actividad en estos equipos.
Recuperacin de la actividad normal de
los sistemas afectados: reinstalacin de
aplicaciones y servicios, incluyendo los
parches y actualizaciones de seguridad;
restauracin de los datos de los usua-
rios y las aplicaciones desde copias de
seguridad; recuperacin de las co-
nexiones y servicios de red; verifica-
cin de la correcta configuracin de es-
tos equipos.
4.3. Seguimiento del incidente de seguri-
dad
Identificacin de las lecciones y prin-
cipales conclusiones de cada incidente,
recurriendo para ello al anlisis post-
mortem de los equipos afectados por
el incidente y entrevistando a las per-
sonas implicadas en la gestin del inci-
dente.
Implementacin de las mejoras de se-
guridad propuestas como consecuencia
de las lecciones aprendidas en cada
incidente: revisin de las polticas y
procedimientos de seguridad, realiza-
cin de un nuevo anlisis detallado de
las vulnerabilidades y riesgos del sis-
tema, etctera.
REFERENCIAS BIBLIOGRFICAS
S. Barman, Writing Information Security
Policies, New Riders Publishing, 2001.
E. Casey, Digital Evidence and Computer
Crime: Forensic Science, Computers, and the
Internet, Academic Press, 2004.
J. Chirillo, Hack Attacks Revealed: A
Complete Reference, John Wiley & Sons, 2001.
E. Cole, Hackers Beware, New Riders,
2001.
E. Cole, R. Krutz, J. Conley, Network Se-
curity Bible, John Wiley & Sons, 2005.
J. Erickson, Hacking: The Art of Exploita-
tion, No Starch Press, 2003.
A. Gmez, Enciclopedia de la Seguridad
Informtica, Ra-Ma, 2006.
K. Kaspersky, Hacker Disassembling Un-
covered, A-LIST Publishing, 2003.
J. Long, Google Hacking for Penetration
Testers, Syngress, 2005.
 S. McClure, S. Shah, Web Hacking: At-
tacks and Defense, Addison Wesley, 2002.
J. Mirkovic, S. Dietrich, D. Dittrich, P.
Reiher, Internet Denial of Service: Attack and
Defense Mechanisms, Prentice Hall, 2004.
RFCs 1244, 2196 y RFC 3067.
R. Russell, Hack Proofing Your Network,
Syngress, 2000.
R. Russell, Stealing the Network: How to
Own the Box, Syngress, 2003.
J. Scambray, S. McClure, G. Kurtz, Hack-
ing Exposed: Network Security Secrets & Solu-
tions - 2nd Edition, Osborne/McGraw-Hill,
2001.
J. Scambray, M. Shema, Hacking Exposed
Web Applications, Osborne/McGraw-Hill,
2002.
M. Shema, Anti-Hacker Tool Kit, Os-
borne/McGraw-Hill, 2002.
H. Warren, Hacker's Delight, Addison
Wesley, 2002.

RESEA CURRICULAR DEL AUTOR

lvaro Gmez Vieites
Ingeniero de Telecomunicacin por la Uni-
versidad de Vigo. Especialidades de Telemtica
y de Comunicaciones. Nmero uno de su pro-
mocin (1996) y Premio Extraordinario Fin de
Carrera.
Ingeniero Tcnico en Informtica de Ges-
tin por la UNED (2004-2006). Premio al
mejor expediente acadmico del curso 2004-
2005 en la Escuela Tcnica Superior de Ingenie-
ra Informtica de la UNED
Executive MBA y Diploma in Business
Administration por la Escuela de Negocios
Caixanova.
Ha sido Director de Sistemas de Informa-
cin y Control de Gestin en la Escuela de Ne-
gocios Caixanova. Profesor colaborador de esta
entidad desde 1996, responsable de los cursos y
seminarios sobre Internet, Marketing Digital y
Comercio Electrnico.
Socio-Director de la empresa SIMCe Con-
sultores, integrada en el Grupo EOSA.
Autor de varios libros y numerosos artcu-
los sobre el impacto de Internet y las TICs en la
gestin empresarial.

Alvaro Gmez Vieites