Un ciberataque de proporciones, que afecte la infraestructura, datos u otros activos críticos en compañías o instituciones públicas o privadas, puede tener consecuencias graves. No solo hablamos del costo monetario, sino que existe un daño aún peor: que se ponga en riesgo la continuidad operacional.
Tras un ataque, factores críticos como el tiempo de respuesta, así como la preparación del equipo ante incidentes, puede escalar a niveles graves para la organización, como son su reputación y, algo muy nefasto, afectar a sus clientes, o bien, la pérdida de estos. Contar con una respuesta a incidentes eficaz minimiza estos impactos negativos. A estas alturas, esto no es un lujo, sino que es una necesidad que toda organización debe preocuparse y ocuparse.
Un efectivo plan de respuesta a incidentes ayuda a los equipos de respuesta a detectar y contener las ciber amenazas, restaurar los sistemas afectados, reduciendo pérdidas monetarias, transgresiones regulatorias, otre otros costos operativos. El principal objetivo de la respuesta a incidentes es prevenir los ciberataques antes de que ocurran y, luego, minimizar el costo y la interrupción comercial resultante de cualquier ciberataque que acontezca. La respuesta a incidentes es la parte técnica de la gestión de incidentes, que también incluye la gestión ejecutiva, de recursos humanos y aspectos legales de un incidente grave.
Atención con estos datos. Para el 2026, las organizaciones que inviertan al menos 20% de sus fondos de seguridad informática en programas de resiliencia y diseño flexible, reducirán a la mitad el tiempo total de recuperación cuando se produzca un gran ataque, indica el eBook 3 Must-Haves in Your Cybersecurity Incident Response de Gartner. Mientras que el informe Cost of a Data Breach de IBM, indica el costo promedio global de una filtración de datos en 2024 fue de US$4.88 millones, un aumento de 10% con respecto al año pasado y el total más alto alcanzado. Como podemos ver el tema no es menor.
¿Cómo se gestiona el trabajo del equipo ante incidentes?
Primero que todo, se genera una sensación de crisis en el equipo. Desde la Agencia Nacional de Ciberseguridad (ANCI), señalan que contar con un plan de crisis es crucial. Estamos hablando de una estrategia diseñada para ser implementada durante un incidente con efectos significativos. En la práctica, cuando ocurre un incidente importante, los equipos de trabajo suelen entrar en un estado de crisis, lo que dificulta la toma de decisiones y las comunicaciones internas y externas necesarias para mantener informados a los ciudadanos y colaboradores, reduciendo la incertidumbre.
El plan de crisis, puntualiza la ANCI, ayuda a mitigar la improvisación, permite enfocar los esfuerzos de manera más efectiva y reduce los tiempos de indisponibilidad de servicios críticos.
La ANCI señala que un equipo de respuesta a incidentes, que garantice una actuación rápida y eficiente debe estructurarse de la siguiente forma. Aclaran los expertos de ANCI, que existen diversos modelos para estructurar un equipo de respuesta a incidentes, sin embargo, recomiendan incluir al menos los siguientes roles:
- Técnico: encargado de la contención, erradicación y recuperación de sistemas.
- Comunicacional: responsable de mantener informados a colaboradores y comunidad, respondiendo preguntas derivadas de la incertidumbre.
- Directivo o ejecutivo (CISO): gestiona los hallazgos técnicos, define medidas correctivas, informa al nivel directivo y establece una estrategia de recuperación de servicios priorizada. Este rol también debe elaborar y probar planes de continuidad operacional y recuperación ante desastres.
La agencia señala, además, que los errores más frecuentes son las fallas en controles básicos, como la presencia de vulnerabilidades conocidas expuestas en servicios accesibles desde internet, dispositivos sin agentes de antivirus, portales sin autenticación de doble factor o sin bloqueo tras intentos fallidos de autenticación.
Se debe, además, realizar periódicamente ejercicios de alto nivel, como los Table Top Exercises, TTX, que entrenan a los tomadores de decisiones y asesores para manejar situaciones de crisis, identificar brechas y planificar mejor. Mientras que los ejercicios técnicos, como los CTF o Cyber Range, entrenan a analistas, jefes de SOC y Blue Teams, fortaleciendo su capacidad para proteger activos críticos.
Todas estas estrategias resultan vitales para la continuidad operacional, tomando en consideración el aumento y complejidad de los ataques. Por ejemplo, el ransomware afectó al 66 % de las organizaciones en 2023, el abuso de credenciales válidas representó el 44,7 % de las violaciones de datos, mientras que se produjo un aumento del 400% en los ataques de malware de IoT en varias industrias, siendo la industria manufacturera el sector más atacado a nivel mundial, señala el Annual Cyber Threat Trends Report 2024 de Deloitte.
Mientras que 21% de las infracciones de seguridad en las empresas en los últimos 12 meses se debieron a un ataque externo dirigido al entorno de trabajo remoto o en el hogar de un empleado, detalla el reporte The State of Data Security 2024 de Forrester.
Finalmente, las comunicaciones juegan un papel fundamental en la respuesta ante incidentes. Desde la ANCI explican que antes de una crisis por ciberataque de alto impacto, es necesario planificar la respuesta que será coordinada por el equipo de comunicaciones, principalmente para mantener informados a los ciudadanos, así como definir expectativas respecto a la recuperación de los servicios. El equipo de comunicaciones debe gestionar los mensajes a la opinión pública, mantener informado al personal interno, evitando que aparezcan signos de descontrol y pánico en los casos más extremos.
¿Y qué sucede en Chile?
La Asociación de Empresas Chilenas de Tecnología, Chiletec, indicó recientemente que existió durante la primera mitad del 2024, un incremento de ciberataques en el país, creciendo 30%, enfocado a industrias críticas como salud, servicios financieros y telecomunicaciones.
Por su parte Fortinet, señaló que el país sufrió 6,4 mil millones de intentos de ciberataques el 2024. El informe de la compañía de ciberseguridad dice que 44% de estos ataques fueron ransomware y wiper, con foco en sectores industriales, como transporte y logística, manufactura, automotriz y salud.
Sin embargo, Chile está mejorando y optimizando sus políticas y estrategias en la materia. Así lo indica el Índice Nacional de Seguridad Cibernética (NCSI), elaborado por el gobierno de Estonia, al ubicar al país en el puesto 25 a nivel global y segundo en América. Recordemos que este ranking evalúa la capacidad de las naciones para gestionar los ciberataques, tanto en su planificación, estrategia, prevención y reacción. No olvidemos que este mismo ranking posicionó a Chile en el lugar número 56.
