Gestión de Incidentes de Seguridad: Guía Exhaustiva de Definición, Normativa y Clasificación

Conceptos Fundamentales y Filosofía de la Información

• Modelo DIKW+D (Datos, Información, Conocimiento, Sabiduría + Decisiones):

  • Los datos se definen como la unidad semántica mínima. Corresponden a elementos primarios de información que, de forma aislada, carecen de relevancia para el soporte en la toma de decisiones.

  • Diferencia entre Conocimiento y Sabiduría: Se plantea la reflexión de si un libro de ciencia es más sabio que la mente humana por el simple hecho de recopilar más conocimiento científico. El conocimiento no equivale automáticamente a la sabiduría.

  • Cita Teórica: Aristóteles ($384\,a.\,C.$) afirmaba que "la inteligencia consiste no solo en el conocimiento, sino también en la destreza de aplicar los conocimientos en la práctica".

  • Principios de Resolución:

    • Navaja de Ockham: En igualdad de condiciones, la explicación más simple suele ser la correcta.

    • KISS (Keep It Short and Simple): Mantener las explicaciones y procesos breves y sencillos.

Definición y Matices: Evento vs. Incidente

• 01. El Concepto de Evento:

  • Definición General: Un cambio de estado significativo en un sistema, servicio o red. Puede afectar el nivel de riesgo, pero no daña necesariamente al negocio o a la información.

  • Fuentes Normativas:

    • UNE-ISO/IEC $27000$:$2014$: Ocurrencia detectada en el estado de un sistema que indica una posible violación de la política de seguridad o fallo de controles.

    • ITIL:$2007$: Alerta o notificación creada por un servicio de TI, elemento de configuración o herramienta de monitorización.

• 02. El Concepto de Incidente:

  • Definición Crítica: Eventos no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones y amenazar la seguridad.

  • Fuentes Normativas:

    • ISO/IEC $27001$: Eventos con probabilidad de comprometer operaciones comerciales.

    • INCIBE: Suceso que afecta a la tríada de la seguridad: confidencialidad, integridad o disponibilidad de los activos.

  • Diferencia Clave: El incidente afecta de forma negativa y tangible a los procesos de negocio o a la información, a diferencia de un evento simple.

El Paisaje de Amenazas y Motivaciones de los Actores

• Ejemplos Comunes de Incidentes:

  • Accesos No Autorizados: Intrusiones y Amenazas Persistentes Avanzadas (APT).

  • Código Dañino (Malware): Ransomware, troyanos, rootkits y virus.

  • Disponibilidad: Ataques de Denegación de Servicio ($DDoS$).

  • Contenidos: Defacement (alteración visual de sitios web) y distribución de contenido malicioso.

• Taxonomía de la Amenaza (Motivaciones de los Actores):

  • Ciberespionaje: Robo de información dirigido a estados u organizaciones.

  • Ciberactivismo: Reivindicación ideológica o protesta mediante medios digitales.

  • Ciberdelito: Búsqueda de beneficio económico o daño reputacional.

  • Ciberguerra: Búsqueda de superioridad en el ciberespacio.

  • Ciberterrorismo: Provocación de daño físico o ataques a infraestructuras críticas.

  • Accidentes: Los errores no intencionados también se categorizan como incidentes.

Normativa Internacional: ISO y NIST

• ISO $27035$ (Gestión de Incidentes de Seguridad de la Información):

  • Origen: Evolución del informe técnico ISO/IEC TR $18044$.

  • Ciclo de Vida Propuesto:

    • 1. Detección y Gestión: Determinar si un evento escala a incidente.

    • 2. Respuesta: Acción proporcional y ágil para minimizar el impacto.

    • 3. Aprendizaje: Extracción de lecciones aprendidas para la mejora global.

• NIST SP $800-61$ (Computer Security Incident Handling Guide):

  • Contexto: Basado en la Orden Ejecutiva $13636$ para la protección de infraestructuras críticas.

  • Objetivo: Proporcionar capacidad de respuesta y directrices de gestión.

  • Enfoque: Identificar, evaluar y gestionar el riesgo cibernético mediante un proceso repetible, flexible y prioritario.

Marco Nacional: El Esquema Nacional de Seguridad (ENS)

• Fundamento Legal: Real Decreto $3/2010$ y su modificación por el Real Decreto $951/2015$.

• Principios Básicos de Seguridad:

  • Proceso Integral: La seguridad consta de elementos técnicos, humanos, materiales y organizativos.

  • Líneas de Defensa: Estrategia de capas múltiples (organizativa, física y lógica).

  • Gestión de Riesgos: Análisis permanente y actualizado como parte esencial.

  • Reevaluación Periódica: Actualización constante ante la evolución de riesgos.

  • Prevención, Reacción y Recuperación: Minimizar la materialización de amenazas y su afectación.

  • Función Diferenciada: Separación de roles entre el Responsable de Información, del Servicio y de Seguridad.

• Objetivo del ENS: Crear condiciones de confianza en el uso de medios electrónicos (Art. $36$ RD $3/2010$).

Guías CCN-CERT y el Deber de Notificación

• Rol del CCN-CERT:

  • Articulación de la respuesta a incidentes a nivel nacional.

  • Coordinación nacional e internacional.

  • Emisión de guías técnicas denominadas CCN-STIC.

• Documentación Operativa Clave:

  • Guía CCN-STIC $817$: Define la taxonomía oficial, niveles de peligrosidad y métricas de impacto.

  • Guía Nacional de Notificación ($2020$): Referencia estatal que define a quién notificar (autoridad competente) y el procedimiento de reporte.

• Imperativo Legal: La notificación es obligatoria para determinadas entidades. El sector privado debe consultar el procedimiento de INCIBE-CERT.

Marco Jurídico Español en Ciberseguridad

• Carácter General:

  • Código Penal (LO $10/1995$).

  • LOPD-GDD (LO $3/2018$).

  • Ley General de Telecomunicaciones ($9/2014$).

  • RD-ley $12/2018$ (Transposición de la Directiva NIS sobre seguridad de redes).

• Sector Público:

  • Ley de Régimen Jurídico ($40/2015$).

  • RD $3/2010$ (ENS).

  • Instrucción Técnica de Notificación ($2018$).

• Infraestructuras Críticas:

  • Ley PIC ($8/2011$) y Reglamento PIC (RD $704/2011$).

  • Plan Nacional (PNPIC).

• Defensa:

  • RD $998/2017$ (Estructura del Ministerio de Defensa).

  • Orden DEF $166/2015$ (Mando Conjunto de Ciberdefensa).

Taxonomía y Clasificación de Incidentes

• Factores de Clasificación:

  • Tipo y origen de la amenaza.

  • Categoría de sistemas afectados.

  • Perfil de usuarios comprometidos.

  • Impacto organizativo.

• Alineación Normativa: Basada en la ENISA Reference Incident Classification Taxonomy ($2018$), adoptada por la Guía CCN-STIC $817$.

• Clasificación por Categorías:

  • Contenido: Spam, Contenido Abusivo (odio, racismo), Contenido Inadecuado.

  • Código Dañino (Malware): Sistema infectado, Servidor de Comando y Control (C&C), Distribución.

  • Recolección de Información: Escaneo de redes, Sniffing (interceptación), Ingeniería Social.

  • Intrusión: Explotación de vulnerabilidades conocidas (CVE), vulneración de credenciales (fuerza bruta), ataques 0-day, compromiso de cuentas/aplicaciones e intrusión física.

  • Disponibilidad: DoS/DDoS, mala configuración interna que provoca caídas de servicio, sabotaje físico.

  • Información y Fraude: Acceso no autorizado, modificación de datos, pérdida de datos (robo de dispositivos), uso ilícito de recursos (criptominería), derechos de autor (piratería) y Phishing.

Métricas de Evaluación: Peligrosidad e Impacto

• Nivel de Peligrosidad (Naturaleza de la Amenaza):

  • CRÍTICO: Amenazas Persistentes Avanzadas (APT).

  • MUY ALTO: Distribución de malware, robo de información, sabotaje.

  • ALTO: Phishing, DoS/DDoS, Ransomware, servidores C&C.

  • MEDIO: Ingeniería social, mala configuración, escaneos.

  • BAJO: Spam y otros incidentes menores.

• Nivel de Impacto (Consecuencia Real):

  • CRÍTICO: Peligro para la vida humana, afectación a Infraestructuras Críticas, información clasificada como SECRET o afectación a más del $90\%$ de los sistemas.

  • MUY ALTO: Peligro para bienes materiales, información RESERVADA, afectación a Servicios Esenciales.

  • ALTO / MEDIO: Se mide según el porcentaje de sistemas afectados (ej. $50\%$ vs $20\%$) y la extensión geográfica del incidente.

Caso Práctico: Compromiso de Aplicación en Kubernetes

• Escenario: Navegación en Kubernetes usando una imagen pública de Docker Hub con vulnerabilidad crítica (RCE). El atacante obtiene una shell, intenta movimiento lateral y minería de criptomonedas.

• Aplicación del Ciclo de Vida del Incidente:

  • P – Preparation (Preparación): Existencia previa de RBAC restrictivo, NetworkPolicies, logging centralizado y seguridad en runtime (Falco/eBPF). Sin esto, el resto es improvisación.

  • I – Identification (Identificación): Falco dispara alerta de "Shell spawned". El SOC confirma el incidente viendo una CPU al $300\%$ y conexiones a IPs de minería. Clasificación: Incidente de seguridad activo.

  • C – Containment (Contención): Aislamiento del pod mediante kubectl delete pod (sin reinicio), bloqueo de tráfico saliente y revocación de tokens/secrets. El objetivo es detener el daño sin destruir evidencia.

  • E – Eradication (Erradicación): Análisis de la vulnerabilidad CVE, reconstrucción de la imagen actualizada, eliminación de paquetes innecesarios y escaneo completo del cluster para verificar que no queden CronJobs maliciosos.

  • R – Recovery (Recuperación): Despliegue de la imagen corregida con filesystem de solo lectura y capacidades de Linux reducidas. Monitorización reforzada durante $48$ a $72\,h$.

  • L – Lessons Learned (Lecciones aprendidas): Post-mortem sin culpar a individuos. Se detectó que la imagen no fue escaneada correctamente en CI/CD. Se aplican mejoras como firmas de imágenes y allowlists.