1.1.1🧰 Etapa de Preparación

🎯 Objetivos principales

1. Establecer la capacidad de gestión de incidentes dentro de la organización

2. Implementar medidas para prevenir incidentes de seguridad (endpoints protegidos, MFA, gestión de accesos privilegiados, etc.)

Nota: Aunque prevenir incidentes no sea tarea directa del equipo de incidentes, es esencial para su éxito

✅ Requisitos durante la preparación

Equipo capacitado

Personal con conocimientos en gestión de incidentes (internos o externos, pero debe existir capacidad mínima dentro de la organización)

Personal entrenado

Formación continua mediante campañas de concienciación en seguridad o entrenamientos específicos

Políticas y documentación clara

Debe existir documentación actualizada que incluya:

• Información de contacto y roles del equipo de respuesta a incidentes

• Contactos legales, IT, medios, proveedores externos, autoridades, etc.

• Política y plan de respuesta a incidentes

• Procedimientos para compartir información durante incidentes

• Baselines o imágenes limpias de referencia

• Diagramas de red actualizados

• Inventario de activos de toda la organización

• Cuentas privilegiadas preparadas para usar en situaciones críticas

• Posibilidad de adquirir software o hardware sin proceso de compra completo

• Formularios de cadena de custodia

• Hojas resumen con instrucciones clave (cheat sheets) para análisis forense o investigaciones

🧰 Herramientas necesarias

Entre las herramientas que deben estar listas se incluyen:

• Portátiles o estaciones forenses por cada miembro del equipo

• Herramientas para adquisición y análisis de imágenes forenses

• Herramientas para captura y análisis de memoria

• Herramientas de respuesta en vivo

• Herramientas de análisis de logs y red

• Equipamiento físico (cables, switches, discos, herramientas de hardware)

• Herramientas para creación y búsqueda de IOCs

• Software de cifrado

• Sistema de tickets para seguimiento

• Instalación segura donde guardar y analizar evidencias

• Sistema de gestión de incidentes fuera de la infraestructura organizacional

🧳 Jump Bag (Bolsa lista para emergencias)

Debe estar siempre preparada con todas las herramientas necesarias para actuar rápidamente sin perder tiempo

🔐 Infraestructura y comunicación independientes

La documentación y la comunicación deben estar fuera de la infraestructura comprometida
Se asume que todo el entorno corporativo puede estar bajo control del atacante, incluso el correo electrónico

📝 Importancia de documentar durante el incidente

Es necesario registrar todo desde el inicio:

• Quién hizo qué

• Cuándo se hizo

• Qué se obtuvo como resultado

• Qué decisiones se tomaron y por qué
  Incluye siempre los elementos clave: quién, qué, cuándo, dónde, cómo y por qué

🔐 Etapa de Preparación (Parte 2) – Protección Contra Incidentes

Aunque no es tarea directa del equipo de incidentes, conocer las medidas de protección les permite investigar mejor y detectar posibles vectores o evidencias.

📧 Protección de Correo Electrónico (DMARC)

• DMARC (junto con SPF y DKIM): evita suplantación de identidad (phishing) en correos

• Permite rechazar correos falsificados antes de que lleguen

• Debe probarse antes de su implementación, para evitar bloquear correos legítimos

• Se puede complementar con reglas de filtrado avanzado en el encabezado del correo

• Cuidado con falsos positivos en servicios externos (envío de facturas, newsletters, etc.)

🖥️ Endurecimiento de Endpoints (y EDR)

Los endpoints son el punto de entrada más común de ataques

• Estándares de hardening: CIS Benchmark, Microsoft Baselines

• Acciones clave:

  • Deshabilitar LLMNR y NetBIOS

  • Implementar LAPS y eliminar privilegios administrativos innecesarios

  • Configurar PowerShell en modo restringido

  • Activar reglas ASR en Microsoft Defender

  • Lista blanca de aplicaciones (o al menos bloquear ejecución desde carpetas comunes como Descargas, Escritorio)

  • Bloquear scripts peligrosos: .hta, .vbs, .cmd, .bat, .js, etc.

  • Usar firewall local (bloquear comunicación entre estaciones de trabajo y salidas sospechosas)

  • Implementar un EDR con integración AMSI (para visibilidad en scripts ofuscados)

🧠 Consejo: No busques la perfección. Aplica lo posible, mejora continuamente.

🌐 Protección de Red

• Segmentación de red: evita expansión del ataque dentro de la organización

• Sistemas críticos deben estar aislados

• Recursos internos no deberían acceder directamente a internet (a menos que estén en una DMZ)

• IDS/IPS con intercepción SSL/TLS mejora detección basada en contenido

• Limitar dispositivos que acceden a la red (ej.: 802.1x)

• En entornos cloud (como Azure AD), usar acceso condicional para restringir por dispositivo gestionado

🧑‍💼 Gestión de Identidades y Accesos

• Contraseñas seguras: evitar contraseñas débiles pero "complejas" como ¡Contraseña1!

• Promover frases de contraseña

  • Ej.: Me gusta mi café caliente

  • Mezclar idiomas si es posible

• MFA obligatorio para TODO acceso administrativo a sistemas y apps

🔍 Escaneo de Vulnerabilidades

• Realizar escaneos continuos

• Corregir al menos las vulnerabilidades Altas y Críticas

• Si no puedes parchear: segmenta esos sistemas

🧠 Concienciación del Usuario

• Entrenamiento para detectar comportamientos sospechosos y reportarlos

• Incluir pruebas sorpresa:

  • Campañas de phishing simuladas

  • USBs "perdidos" en la oficina, etc.

🧾 Evaluación de Seguridad de Active Directory

• Simular ataques para detectar errores de configuración o rutas de escalada

• Es muy común que los administradores no estén al tanto de los últimos fallos

• Revisar Active Directory regularmente es crítico para evitar escaladas desde endpoints comprometidos

🥷 Ejercicios del Equipo Morado

• Combinación de equipo rojo (ataque) y azul (defensa)

• El equipo rojo informa de:

  • Técnicas utilizadas

  • Vulnerabilidades encontradas

  • Brechas en visibilidad o respuesta

• El equipo azul:

  • Mejora detección, análisis y respuesta

  • Prueba sus manuales y procedimientos