PLAN DE CONTINGENCIA DE TI

Cómo prepararse para un

ciberataque

Mayor información en:

www.eset.com/pe
 De repente, todos los equipos entran en modo de
suspensión, el sitio web no funciona y ninguno de sus
empleados puede acceder a la red ni a los datos. Todo se
paraliza en forma inesperada. La situación se mantiene
así durante las cuatro semanas posteriores porque la
empresa no estaba preparada para este incidente. Muchas
organizaciones, sobre todo las pequeñas y medianas, no
son capaces de hacer frente a este tipo de crisis provocada
por los ciberdelincuentes. ¿Qué debería hacer en caso de un
ciberataque?
Aunque los ataques cibernéticos han ido en aumento durante los últimos
años, y la pandemia de COVID-19 incluso aceleró esta tendencia, todavía
son muchas las empresas que subestiman el problema. Según la Encuesta
para Pequeñas Empresas del tercer cuatrimestre de 2021 llevada a cabo
por CNBC | Momentive, el 56% de los propietarios de pequeñas empresas
de Estados Unidos afirmaron que no les preocupaba ser víctimas de un

2 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 ataque informático en los próximos 12 meses, y el 24% aseguraron que “no
les preocupaba en absoluto”.
Además, solo el 28% de las pequeñas empresas declararon que, en caso de
un ciberataque, disponían de un plan de respuesta, el 42% afirmaron que
no tenían ningún plan y el 11% revelaron que “no estaban seguras” de si sus
empresas tenían planes.

13%
Proporción de pequeñas empresas que capacitan
a sus empleados en temas de ciberseguridad.
Solo el 19% de las empresas han puesto a prueba
las reacciones de su personal, por ejemplo, con
simulacros de phishing.

Fuente: Encuesta de Ipsos MORI y el Departamento de Digital, Cultura,

Medios de Comunicación y Deporte del Reino Unido, 2021

Los expertos califican este comportamiento de negligente. Ya no es

cuestión de si se producirán ciberataques, sino de cuándo. Así lo confirma
una encuesta publicada en 2021 por la asociación digital alemana Bitkom.

3 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 9 de cada 10
Casi el 90% de las 1.000 empresas de todos los sectores
encuestadas en Alemania declararon haber sufrido ciberataques.
¿Qué tipos de ataques fueron los más mencionados?

XSS
Malware Phishing

Ataques a contraseñas

Ransomware DDoS
Ataques Man-in-the-Middle attack

Inyección SQL

Suplantación de identidad

86%
de las empresas sufrieron daños causados por un ciberataque.
En 2019, esta cifra era solo del 70%.

Fuente: Investigación de Bitkom, Alemania, comparación de encuestas de 2019 y 2021

4 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 Cómo poner en marcha un plan de
contingencia eficaz
Los expertos en medicina de agudos y emergencias llaman “la hora de oro” a
la etapa decisiva tras una lesión grave o en una enfermedad potencialmente
mortal. Cuanto más rápida sea la atención, mayores serán las posibilidades de
una recuperación completa. En un contexto operativo, la gestión profesional
de la continuidad del negocio es un requisito para el éxito en la hora de oro.
El objetivo es aumentar la fiabilidad de los procesos y responder rápida y
sistemáticamente en caso de emergencia, en especial frente a un ataque de
hackers o malware.

El plan de contingencia, también conocido como gestión de incidentes

informáticos, normalmente abarca todo el proceso organizativo y técnico para
responder a incidentes de seguridad detectados o sospechosos, o a errores de
funcionamiento en las áreas de TI, así como los procesos de preparación y las
medidas a tomar. El espectro de posibles incidentes incluye desde problemas
técnicos y puntos vulnerables hasta ataques específicos a la infraestructura
informática. La gestión de incidentes informáticos en el sentido más estricto
debe tener en cuenta todos los detalles organizativos, legales y técnicos.

Las posibilidades de que los hackers completen un ataque con éxito son
múltiples y extremadamente elevadas. Los propios ciberdelincuentes son
ahora profesionales altamente capacitados. Hoy en día, los hackers tienen a su
disposición diversos medios rentables de manipulación y formas de propagar
troyanos de extorsión, virus, etc. por la red. Y un ciberataque no siempre
se advierte de inmediato, porque no todos los niveles del sistema suelen
monitorearse.

Una buena preparación es crucial a la hora de crear un plan de contingencia.

De hecho, en el peor de los casos, lo más importante es reaccionar con rapidez,
deteniendo el ataque lo antes posible, protegiendo los datos almacenados y
restableciendo también cuanto antes el funcionamiento normal de la empresa.

5 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 Por lo tanto, es necesario definir una serie de medidas inmediatas: por ejemplo,
por si colapsa por completo la red de comunicaciones de la oficina, si los sitios
web dejan de estar disponibles o incluso si todo el proceso de producción se
paraliza tras un ataque.

Qué cosas debe tener en cuenta al

elaborar un plan de contingencia

• Desarrolle un plan de contingencia operativo: Registre

todas las medidas necesarias que deben tomarse en caso de
emergencia. Lo mejor es buscar asesoramiento profesional
de expertos. También puede buscar modelos de planes de
contingencia para tener una idea preliminar general.

• Designe un responsable de TI: Designe a un responsable

que se ocupe de las cuestiones de seguridad corporativa.
Desde que se introdujo el reglamento GDPR, las empresas
con más de 10 empleados tienen la obligación de nombrar a
un responsable de protección de datos.

• Verifique su plan de contingencia actual: Si ya dispone

de un plan de contingencia, debería hacerlo revisar y aplicar
por expertos. También debe asegurarse de que el plan
de contingencia sea comprensible para quienes no son
especialistas.

• Prepare su empresa para cualquier eventualidad: Para

saber si el plan funciona, hay que probarlo en la práctica con
anticipación.

6 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 Ciberataque: Qué hacer en caso de crisis
A medida que pasa el tiempo, los ciberdelincuentes causan cada vez más
daños, infiltrándose en la arquitectura de TI hasta llegar al elemento más
pequeño, o sustrayendo datos extremadamente confidenciales. Por lo
tanto, los administradores de TI tienen la tarea de reconocer la actividad
dañina en una etapa temprana y actuar con rapidez. Es la única manera
de minimizar los daños causados, e incluso de evitar el colapso del sistema
en su totalidad. Además de las consecuencias financieras, las empresas
deben temerle, sobre todo, a la enorme pérdida de imagen y confianza
de los clientes. Entonces, ¿qué deben hacer las organizaciones cuando los
delincuentes han secuestrado los datos corporativos y las comunicaciones
de la oficina no funcionan?

A dónde acudir en caso de un ciberataque

• Los minoristas de TI y los proveedores de sistemas tienen mucha

experiencia en ciberataques y pueden prestar una ayuda rápida y
específica.

• Si es posible en su país, debe notificar el incidente. Por ejemplo,

en el Reino Unido puede hacer una denuncia online en Action
Fraud, y en los Estados Unidos, en el sitio web del FBI.

7 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 9 consejos que lo ayudarán
a reducir el impacto de un
ciberataque al mínimo

1. Mantenga la calma y actúe tácticamente

Si el software de seguridad informática activa la alarma, lo primero
que hay que hacer es mantener la calma. El éxito de un ciberataque suele
tomarnos por sorpresa. Un malware puede permanecer oculto en la red
durante semanas sin ser detectado si el departamento de TI no supervisa
todos los niveles del sistema. Pero cuando se produce un incidente, es
importante tomar las decisiones correctas en el menor tiempo posible. Sin
un plan de contingencia con medidas inmediatas bien definidas, es posible
preprogramar eficazmente el caos.

2. Determine el alcance de la infección

Muchos departamentos informáticos de empresas que fueron víctimas
de ataques de malware se basan en su intuición en lugar de realizar un
análisis en profundidad para determinar las consecuencias de dichos
ataques. Por supuesto, es importante responder, pero no basándose
en suposiciones. Si una empresa cuenta con un plan vigente de gestión
de emergencias informáticas, el departamento de TI puede encontrar
rápidamente las respuestas adecuadas a las preguntas centrales:

☑ ¿Cuáles son los sistemas infectados?

☑ ¿Cómo ocurrió el ataque?

☑ ¿Se han perdido datos críticos para la empresa?

☑ ¿La infección afecta solo a componentes individuales o a una subred

completa?

☑ ¿Los datos de los clientes y empleados han caído en manos de los atacantes?

8 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 3. Garantice las operaciones de TI
Si personas no autorizadas han extraído información interna, antes que
nada hay que informar a los empleados y clientes afectados. Si los sistemas
informáticos se han visto gravemente perjudicados por un ataque, deben
activarse los sistemas de backup y las conexiones de red redundantes,
porque la continuidad del negocio no debe sufrir por el ciberataque. Para
garantizarlo, también es necesario tener un plan de contingencia que acorte
los tiempos de respuesta.

4. Contenga la infección
A continuación, hay que aislar los sistemas informáticos infectados. Para
evitar la propagación de la infección en la red, el departamento informático
puede desconectar los segmentos de red en los que se encuentran los equipos
infectados. Esto significa que los atacantes dejarán de tener acceso a los
sistemas y no podrán extraer datos utilizables.

De cualquier modo, el departamento de TI debe intentar descifrar el tráfico de

datos cifrados entre los sistemas informáticos infectados dentro de su propia
red y los equipos de los atacantes. Esto permitirá determinar si otros equipos
de la red han sido contaminados y qué reglas de firewall son necesarias para
impedir accesos no autorizados. Estas medidas correctivas pueden aplicarse
mucho más rápida y eficazmente si la organización utiliza una solución de
seguridad informática, como las nuevas soluciones corporativas de ESET.

5. Recopile y guarde la evidencia

Debe guardar la evidencia de los incidentes para que las autoridades policiales
actúen tras un ataque exitoso. La documentación exhaustiva también le servirá
para presentar un reclamo si tiene una póliza de seguro cibernético.

6. Elimine la infección y evite nuevos ataques

Una de las tareas más exigentes consiste en quitar el malware de los sistemas
informáticos afectados y poner fin a nuevos ataques similares. Una herramienta
de eficacia comprobada es el software antivirus o antimalware que desinfecta

9 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 automáticamente los sistemas informáticos. Para evitar nuevos ataques del
mismo tipo, deben eliminarse las lagunas de seguridad que hicieron posibles
las actividades maliciosas. Para estar completamente seguro, es aconsejable
analizar los paquetes de datos que se transportan por la red. El tráfico debe
investigarse, en particular, en busca de patrones de tráfico y comandos
utilizados previamente por los atacantes.

Otras precauciones de seguridad son comprobar las reglas del firewall y

cambiar las contraseñas que utilizan los empleados para conectarse a la red.
Es conveniente realizar un análisis más profundo del ciberataque, ya que, en
muchos casos, los ataques individuales forman parte de amenazas persistentes
avanzadas (APT). Son ataques cibernéticos continuos, complejos y dirigidos
contra las PYME o sus empleados. Si los directivos se convierten en el objetivo
de una APT, cabe suponer que se producirán nuevos ataques.

7. Legislación: el reglamento GDPR y otras normativas

pertinentes
Después de un ciberataque surgen problemas legales que deben
aclararse de antemano. Desde la llegada del reglamento GDPR, algunos
incidentes deben notificarse a las autoridades en un plazo determinado.
Las obligaciones de notificación necesarias deben haberse aclarado por
anticipado con su departamento jurídico, de modo que que su empresa siga
cumpliendo las leyes y no tenga que pagar multas adicionales más adelante.

10 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 8. No pague cuando se producen ataques de ransomware
El software de extorsión es un medio de ataque muy popular entre los
ciberdelincuentes. El malware cifra los datos de las víctimas y los hackers exigen
el pago de un rescate para desbloquearlos. Nunca pague el rescate exigido,
porque no puede estar seguro de que recuperará sus datos. Además, estaría
apoyando el modelo de financiación de los ciberdelincuentes y manifestando su
disposición a pagar, lo que para los hackers es una nueva invitación.

9. Aprenda de los ciberataques y los errores

Es importante que las empresas saquen las conclusiones correctas del análisis
de los ataques y tomen las precauciones adecuadas. Cualquier vulnerabilidad
previamente desconocida que haya sido remediada presenta en última
instancia una oportunidad para mejorar las medidas defensivas en el
perímetro de la red corporativa y cerrar posibles puntos de entrada. También
es crucial que el responsable de TI vigile de cerca todos los niveles del
sistema. Esto facilita la detección de un ciberataque en una fase temprana,
y no da a los intrusos la oportunidad de sumergirse en áreas específicas y
explorar el sistema antes de iniciar el ataque propiamente dicho.

11 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 En caso de un
ciberataque, asegúrese
de que:
• El ataque no pueda seguir causando más daños.

• Se puedan tomar medidas inmediatas independientemente de los

departamentos de rango superior o del nivel ejecutivo, de modo que no
se pierda tiempo en obtener la aprobación durante una crisis.

• Los datos de inicio de sesión puedan modificarse de inmediato. Las

contraseñas robadas, los inicios de sesión y las cuentas de correo
electrónico infectadas pueden causar más daños en el futuro. Por lo
tanto, su plan de contingencia debe incluir una estrategia sobre cómo
proceder cuando el hacker ataca utilizando los datos de acceso que son
propiedad de la empresa.

• Se desactiven incluso los accesos para invitados (si existen) y

se desconecte la red. En particular, los dispositivos invitados no
gestionados representan un alto riesgo de entrada de código malicioso
en el sistema.

• No se abran correos electrónicos, los dispositivos móviles no se

conecten a la red de la empresa ni a otras redes (como redes de
clientes), se desconecten todos los medios de almacenamiento
conectados a la red (como memorias USB, discos rígidos externos,
cámaras, etc.), y no se utilicen ni se retiren del lugar de trabajo.

12 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 5 consejos adicionales para una
mayor seguridad
Si ha adoptado las medidas descritas anteriormente, ya estará muy bien
preparado para afrontar una crisis. A continuación le ofrecemos otras cinco
recomendaciones que lo ayudarán a optimizar la seguridad en su empresa:

1. Automatice todo lo que pueda

En el mejor de los casos, el plan de emergencia podrá automatizarse en
su mayor parte mediante herramientas modernas. Todos los procesos que
se ejecuten en forma autónoma alivian la carga del administrador. Estas
acciones incluyen, por ejemplo, el encapsulamiento automático de las
endpoints afectadas, donde los firewalls de los equipos de escritorio cortan
todas las conexiones excepto las de administración remota.

Preste atención a la emisión de registros y a la

2.
documentación
También es importante que todas las acciones, ya sean automáticas o
manuales, se registren y documenten exhaustivamente. Es la única forma
de hacer un seguimiento retrospectivo del proceso de infección y adaptar el
plan de contingencia correspondiente, no solo en lo que respecta al cierre de
posibles brechas de seguridad, sino también al comportamiento humano.

3. Realice backups periódicos

Sea cual sea la causa del incidente de seguridad, la capacidad de las
empresas para recuperar los datos críticos perdidos lo antes posible es
crucial. Esto comienza haciendo backups periódicos. También en este
caso, la creación de backups automáticos de los datos es una buena
opción, ya que garantiza la consistencia de la información. Y además
así se asegura de que los empleados no olviden hacer sus backups. Los
backups deben guardarse en al menos dos soportes externos, y también
debe considerarse la posibilidad de cifrar una de las copias en la nube
(con respecto a la protección de datos, es recomendable confiar en las
ubicaciones de almacenamiento europeas). Una vez más, los sistemas de
creación de backups y recuperación deben probarse con regularidad.

13 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 4. Utilice una herramienta de detección y respuesta
para endpoints (EDR)
Una herramienta EDR permite la supervisión constante y exhaustiva
de todas las actividades de las endpoints. De este modo, se pueden
analizar los procesos sospechosos en detalle y los responsables de TI
serán capaces de responder a las amenazas en una fase temprana. Al
usar la tecnología EDR, las empresas multiplican considerablemente sus
medidas de seguridad, sobre todo en caso de ataques de amenazas 0-day,
ransomware, ataques dirigidos (amenazas persistentes avanzadas) o
violaciones de las políticas internas de la empresa.

5. Revise periódicamente su plan de contingencia

Al igual que los simulacros de incendio, los planes de contingencia de TI
deben probarse con frecuencia. No hay nada más perjudicial que confiar
en un plan que al final no funciona.

Conclusión
La infección de computadoras personales, servidores o sistemas
móviles con software malicioso puede representar una grave
amenaza para las organizaciones, en especial cuando la
información interna cae en manos de atacantes. Sin embargo,
estos incidentes llaman la atención de los responsables sobre dos
cuestiones importantes: por un lado, qué medidas de seguridad
informática deben optimizarse y, por el otro, el hecho de que un
sistema de contingencia actualizado minimiza los daños.

14 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque

 4. Utilice una herramienta de detección y respuesta
para endpoints (EDR)
Una herramienta EDR permite la supervisión constante y exhaustiva
Cuando la tecnología permite
de todas las actividades de las endpoints. De este modo, se pueden

el progreso, ESET está aquí para

analizar los procesos sospechosos en detalle y los responsables de TI
serán capaces de responder a las amenazas en una fase temprana. Al
protegerla
usar la tecnología EDR, las empresas multiplican considerablemente sus
medidas de seguridad, sobre todo en caso de ataques de amenazas 0-day,
ransomware,
Por más de 30 años, ataques
ESET® ha dirigidos (amenazas
estado desarrollando persistentes
software avanzadas)
y servicios de seguridad o
informática
violaciones
líderes de las
en la industria políticas
para proteger ainternas de las
las empresas, la infraestructuras
empresa. críticas y los consumidores
de todo el mundo contra las amenazas digitales cada vez más sofisticadas. Desde la seguridad
para endpoints y dispositivos móviles hasta la detección y respuesta para endpoints, así como el

5. Revise periódicamente su plan de contingencia

cifrado y la autenticación en varias fases, las soluciones de alto rendimiento y fáciles de usar de ESET
protegen y supervisan en forma discreta las 24 horas del día, los 7 días de la semana, actualizando las
Al igualenque
defensas losreal
tiempo simulacros
para mantenerde aincendio,
los usuarios los planes
seguros y a lasde contingencia
empresas de TI
en funcionamiento
sin interrupciones.
deben probarse La evolución de las amenazas
con frecuencia. requiere
No hay nadaquemás
la empresa de seguridad
perjudicial quedeconfiar
TI también
evolucione y permita un uso seguro de la tecnología. Esto está respaldado por los centros de
en un plan que al final no funciona.
investigación y desarrollo de ESET en todo el mundo, que trabajan en pos de nuestro futuro común.
Para obtener más información, visite eset-la.com o síganos en LinkedIn, Facebook y Twitter.

Cuando la tecnología facilita el progreso ESET lo protege

Conclusión
La infección de computadoras personales, servidores o sistemas
Hogar
móviles con software malicioso puede representar una grave
amenaza para las organizaciones, en especial cuando la
información interna cae en manos de atacantes. Sin embargo,
estos incidentes llaman la atención de los responsables sobre dos
cuestiones importantes: por un lado, qué medidas de seguridad
Corporativo
informática deben optimizarse y, por el otro, el hecho de que un
sistema de contingencia actualizado minimiza los daños.

+600
Expertos en investigación y desarrollo
Grandes Compañías

© 1992–2022 ESET, spol. s r.o. - Todos los derechos reservados. Las marcas comerciales aquí
mencionadas son marcas comerciales o marcas comerciales registradas de ESET, spol. s r.o. o ESET
Estados Unidos. Los demás nombres o marcas comerciales son marcas comerciales registradas de
sus respectivas empresas.
14 PLAN DE CONTINGENCIA DE TI: Cómo prepararse para un ciberataque
15
Investigación de amenazas de clase mundial

Nuestros expertos comparten los principales ítems de sus investigaciones en

conferencias globales como RSA y Black Hat, realizan presentaciones en universidades y
difunden el conocimiento sobre el panorama de amenazas a través del blog de seguridad
líder en la industria de ESET, welivesecurity.com

Foro de ESET Canal de Investigación de

Youtube amenazas de ESET
en X

Repositorios de Centro de Noticias de

investigación de recursos de seguridad de ESET
amenazas de ESET ESET

Escanea QR para
obtener las
investigaciones

© 1992–2024 ESET, spol. s r.o. - Todos los derechos reservados. Las marcas comerciales aquí
mencionadas son marcas comerciales o marcas comerciales registradas de ESET, spol. s r.o. o
ESET Estados Unidos. Los demás nombres o marcas comerciales son marcas comerciales
registradas de sus respectivas empresas.