1.1.3 🛡️ Fase de Contención, Erradicación y Recuperación

Una vez finalizada la investigación y comprendido el tipo de incidente y su impacto sobre el negocio (basándonos en todas las pistas recopiladas y la información incluida en la cronología del incidente), es momento de pasar a la contención para evitar que el daño continúe o se expanda.

🔒 Contención

Objetivo: Evitar que el incidente se propague o escale a otros sistemas.

🔹 Contención a Corto Plazo

• Acciones inmediatas que limitan el alcance del incidente, manteniendo el sistema afectado lo más intacto posible.

• Esto permite ganar tiempo para planificar una estrategia de remediación más amplia y preservar evidencia forense.

Ejemplos:

• Aislar el sistema afectado en una VLAN separada.

• Desconectar el cable de red.

• Redirigir o bloquear dominios de comando y control (C2).

• Realizar copias forenses si no se hicieron durante la investigación.

⚠️ Nota: Si es necesario apagar un sistema como parte de esta contención, debe comunicarse con el negocio y obtener la autorización correspondiente.

🔹 Contención a Largo Plazo

• Acciones más persistentes y definitivas para asegurar los sistemas.

• Incluyen la aplicación de medidas de seguridad que eviten nuevas intrusiones.

Ejemplos:

• Cambiar contraseñas de usuarios.

• Aplicar parches de seguridad.

• Reglas en el firewall.

• Implementar sistemas de detección de intrusiones (HIDS/NIDS).

💡 Importante: Contener no significa que el incidente haya terminado. Aún debemos eliminar la causa raíz (erradicación) y restaurar servicios (recuperación).

🧹 Erradicación

Objetivo: Eliminar el origen del incidente y cualquier rastro del adversario dentro del entorno.

Acciones comunes:

• Eliminar malware detectado.

• Reinstalar o reconstruir sistemas comprometidos.

• Restaurar desde respaldos limpios.

• Aplicar parches adicionales o medidas de fortalecimiento del sistema.

• Revisar políticas de seguridad y segmentación de red.

Se recomienda aplicar estas medidas también a sistemas no afectados para evitar futuros compromisos.

🔄 Recuperación

Objetivo: Devolver los sistemas a un estado operativo normal y seguro.

Proceso:

1. Verificar funcionalidad y datos de los sistemas restaurados.

2. Reintroducirlos al entorno de producción.

3. Activar monitoreo intensivo post-incidente para detectar comportamientos sospechosos.

Eventos que se deben vigilar:

• Inicios de sesión inusuales (usuarios o cuentas de servicio).

• Procesos extraños o no autorizados.

• Cambios sospechosos en el registro del sistema.

🧠 Nota: En incidentes grandes, la recuperación puede tardar semanas o meses, y suele realizarse en fases:

• Fase temprana: Soluciones rápidas para mitigar riesgos inmediatos ("quick wins").

• Fase avanzada: Implementación de cambios estructurales y duraderos en la seguridad.