1.

Identificación de los activos

En la gestión de riesgos, los activos representan aquello que la organización necesita

proteger. Según el caso de estudio, los activos clave de NTI son:

Activos críticos identificados:

1. Centros de Procesamiento de Datos (CPD):

o Infraestructura crítica que gestiona servicios de alta disponibilidad.
o Soporte para servicios en la nube y hosting B2B.
2. Sistemas y redes:
o Redes internas de telecomunicaciones y redes públicas para clientes.
o Servidores responsables del redireccionamiento de llamadas.
3. Base de datos de clientes:
o Información confidencial como contraseñas, datos personales y registros de
servicios.
o Acceso por departamentos de marketing y ventas.
4. Equipos de endpoints:
o Portátiles de los empleados, incluyendo ingenieros de I+D con acceso sin
restricciones a internet.
o Estaciones de trabajo utilizadas para pruebas de herramientas y productos.
5. Servicios de telecomunicaciones y de TI:
o Servicios como telefonía, internet y televisión digital.
o Software CRM en la nube utilizado por el departamento de ventas.
6. Propiedad intelectual:
o Algoritmos de compresión y desarrollo de tecnologías como fibra óptica y
5G.
o Software y proyectos adquiridos de Suplex, como la interfaz VOD.
7. Canales de comunicación:
o Redes sociales corporativas (YouTube, Twitter).
o Campañas de marketing digital y phishing awareness.

2. Metodología de riesgos

La gestión de riesgos de ciberseguridad sigue estos pasos basados en la norma ISO 27032:

A. Identificación del contexto:

 Entorno interno: NTI opera en un entorno de alta competencia en

telecomunicaciones, con amenazas específicas como espionaje industrial y ataques
internos.
 Entorno externo: Amenazas relacionadas con hackers, activistas y regulaciones
gubernamentales (como la vinculación de tarjetas SIM a identidades).
 Alcance: Proteger la infraestructura crítica y los servicios en la nube.
B. Identificación de amenazas y vulnerabilidades:

 Amenazas externas: Ataques de ransomware, espionaje industrial, publicación de

datos en la Darknet, técnicas de ingeniería social.
 Amenazas internas: Acceso no controlado por empleados, configuraciones
inseguras (uso de antivirus gratuito, reinstalación de sistemas operativos).

C. Evaluación del riesgo:

Usa una matriz de riesgos combinando probabilidad e impacto:

 Riesgos críticos (Alta probabilidad, alto impacto): Ransomware en Suplex, fuga de

base de datos de clientes.
 Riesgos moderados: Vulnerabilidades en sistemas operativos, campañas de phishing
mal gestionadas.

D. Tratamiento del riesgo:

 Prevenir: Implementar políticas de acceso y control (contraseñas seguras,

herramientas de monitoreo).
 Mitigar: Uso de soluciones como backups, actualizaciones automáticas y antivirus
robustos.
 Transferir: Subcontratación de servicios gestionados con acuerdos de nivel de
servicio (SLA).
 Aceptar: Riesgos de bajo impacto relacionados con pruebas y prototipos.

3. Identificación de los riesgos

Con base en el caso de estudio, los principales riesgos identificados son:

Riesgos críticos:

1. Ransomware en Suplex:
o Impacto: Pérdida de acceso a los servidores y potencial publicación de
código fuente en GitHub.
o Mitigación: Asegurar sistemas con segmentación de red y actualizaciones
regulares.
2. Fuga de la base de datos de clientes:
o Impacto: Exposición de contraseñas y datos privados en la Darknet.
o Mitigación: Encriptación de datos sensibles y auditorías regulares.
3. Fraude por llamadas redirigidas:
o Impacto: Pérdida de confianza de los clientes y daño reputacional.
o Mitigación: Implementación de sistemas de detección de fraudes en tiempo
real.
Riesgos moderados:

4. Endpoints mal configurados:

o Impacto: Riesgo de infección por malware debido al uso de antivirus no
confiables.
o Mitigación: Políticas de gestión centralizada de endpoints y soluciones
antivirus corporativas.
5. Accesos no controlados:
o Impacto: Acceso no autorizado a datos sensibles y sistemas críticos.
o Mitigación: Implementación de controles de acceso basados en roles y
autenticación multifactor.
6. Fallas en las redes internas:
o Impacto: Técnicas de enumeración que comprometen la seguridad de las
redes internas.
o Mitigación: Implementar sistemas de monitoreo de red y detección de
intrusiones (IDS/IPS).

Propuesta de acción inmediata:

1. Implementar un CSIRT (Equipo de Respuesta a Incidentes):

o Liderado por el CISO y coordinado con equipos técnicos.
o Priorizar campañas de concientización y auditorías internas.
2. Desarrollar políticas claras para endpoints y redes:
o Asegurar la segregación de redes.
o Imponer políticas obligatorias para el uso de software y configuraciones
seguras.
3. Mejorar la resiliencia contra ransomware:
o Asegurar backups regulares.
o Entrenamiento continuo contra phishing y simulaciones de ataques.

Datos complementarios, para tenerlos en cuenta, posiblemente no estén incluidos en los

anterior presentado.

Por qué podría no ser suficiente la información actual:

1. Datos generales vs. detalles específicos:

o El caso de estudio ofrece un panorama general de NTI (activos, amenazas y
ejemplos de incidentes).
o Sin embargo, faltan datos más específicos, como:
 Inventarios detallados de activos (técnicos, humanos, documentales).
 Nivel de criticidad de cada activo.
 Detalles sobre configuraciones actuales de sistemas y redes.
 2. Faltan métricas cuantitativas:
o No se proporcionan datos sobre probabilidades, frecuencias de incidentes o
impactos económicos. Estas métricas son clave para priorizar riesgos y
justificar inversiones.
3. Ausencia de análisis técnico:
o No se incluye un análisis técnico profundo sobre vulnerabilidades actuales
en sistemas, aplicaciones y redes, ni los resultados de pruebas de penetración
o auditorías de seguridad.

Recomendaciones para un estudio más detallado:

1. Realizar un inventario exhaustivo de activos:

 Identificar y clasificar todos los activos críticos según:

o Importancia (confidencialidad, integridad, disponibilidad).
o Propietario del activo.
o Estado actual de seguridad.

2. Evaluar el estado actual de la ciberseguridad:

 Ejecutar pruebas de vulnerabilidad y auditorías de seguridad en los sistemas

críticos.
 Analizar configuraciones de endpoints, redes, y servidores para identificar brechas.

3. Estudio del contexto externo:

 Investigar las tendencias actuales de ciberataques en la industria de

telecomunicaciones (ransomware, phishing dirigido, etc.).
 Revisar normativas locales e internacionales relacionadas con privacidad y
seguridad (ej., GDPR, regulaciones canadienses).

4. Implementar evaluaciones de impacto cuantitativo:

 Usar metodologías como FAIR (Factor Analysis of Information Risk) para

calcular impactos económicos.
 Establecer una matriz de riesgos basada en probabilidad e impacto.

5. Diagnóstico del factor humano:

 Evaluar el nivel de concienciación en ciberseguridad de empleados.

 Simular escenarios de phishing para medir la efectividad de campañas de
concienciación.

6. Evaluación de proveedores externos:

  Analizar los riesgos asociados a la dependencia de terceros (CRM en la nube,
subcontratación del servicio técnico).
 Asegurarse de que los proveedores cumplan con estándares de seguridad.

¿Es necesario realizar más estudios?

Sí, realizar estudios adicionales es altamente recomendable, especialmente en las áreas

siguientes:

1. Análisis técnico de vulnerabilidades:

Herramientas como Nmap, Nessus o Metasploit pueden ser usadas para identificar
brechas en infraestructura y sistemas.
2. Evaluación del riesgo humano:
Analizar los procesos relacionados con empleados, como accesos no controlados y
el uso de dispositivos personales para teletrabajo.
3. Simulaciones y pruebas de incidentes:
o Realizar simulaciones de ransomware o DDoS para evaluar la capacidad de
respuesta de los equipos técnicos y del CSIRT.
4. Mapeo detallado de riesgos:
Crear un riesgo residual (tras aplicar controles) para priorizar mitigaciones más
efectivas.

Mas partes para tener en cuenta.

Aquí tienes una ampliación detallada para complementar el análisis y realizar un estudio
más profundo en el caso de NTI:

1. Inventario exhaustivo de activos

Debes clasificar y priorizar los activos según su importancia para la organización.

Acciones recomendadas:

 Clasificar activos:
o Técnicos: Servidores, bases de datos, endpoints, sistemas CRM.
o Humanos: Empleados, contratistas, proveedores (especialmente quienes
manejan datos sensibles).
 o Documentales: Procedimientos, políticas internas, y datos sensibles
(contraseñas, algoritmos).
 Herramienta sugerida: Usa un software como CMDB (Configuration
Management Database) o Excel para documentar cada activo, propietario,
ubicación y criticidad.

Ejemplo de tabla de inventario:

Activo Tipo Propietario Criticidad Amenazas posibles

Departamento Acceso no autorizado,
Servidor de CRM Técnico Alta
Ventas malware
Base de datos de Robo de datos, fuga en
Documental Marketing Alta
clientes redes
Malware, configuraciones
Endpoints de I+D Técnico Departamento I+D Media
inseguras

2. Evaluación del estado actual de la ciberseguridad

Realiza auditorías técnicas para identificar vulnerabilidades existentes en la infraestructura.

Acciones recomendadas:

 Pruebas de vulnerabilidad:
o Herramientas: Nessus, OpenVAS.
o Objetivo: Identificar configuraciones inseguras en redes y servidores.
 Pruebas de penetración (pentesting):
o Simula ataques reales para verificar la eficacia de los controles existentes.
o Herramientas: Metasploit, Burp Suite.
 Revisión de configuraciones:
o Evalúa la configuración de firewalls, sistemas operativos, políticas de
contraseñas, etc.

Entregables esperados:

 Reporte de vulnerabilidades clasificadas por criticidad.

 Recomendaciones de mitigación inmediata.

3. Estudio del contexto externo

Debes investigar las amenazas más comunes en la industria de telecomunicaciones y las

normativas aplicables.

Acciones recomendadas:
  Tendencias de ciberataques:
o Analiza informes de ciberseguridad recientes (por ejemplo, informes de
Verizon, Kaspersky, Palo Alto).
o Identifica los tipos de ataque más comunes (ransomware, phishing, ataques
de denegación de servicio).
 Normativas aplicables:
o GDPR: Si NTI gestiona datos de clientes europeos.
o Regulaciones canadienses: Privacidad y protección de infraestructuras
críticas.

Entregables esperados:

 Mapa de amenazas externas relevantes.

 Lista de regulaciones aplicables y su impacto.

4. Evaluación de impacto cuantitativo

Es clave calcular el impacto potencial de los riesgos identificados, tanto en términos

económicos como operativos.

Acciones recomendadas:

 Método FAIR (Factor Analysis of Information Risk):

o Estima el impacto financiero de cada riesgo.
o Ejemplo: Si una fuga de datos afecta a 1,000 clientes y cada cliente implica
una multa de $500, el impacto sería $500,000.
 Herramienta sugerida: Plantillas en Excel o software especializado como
RiskLens.

Ejemplo de matriz de riesgos:

Riesgo Probabilidad Impacto Nivel de Riesgo

Ransomware en Suplex Alta Muy alto Crítico
Fuga de base de datos de clientes Media Alto Alto
Uso de antivirus gratuito en endpoints Media Moderado Moderado

5. Diagnóstico del factor humano

Evalúa el nivel de concienciación y preparación de los empleados para enfrentar amenazas.

Acciones recomendadas:

 Simulaciones de phishing:
 o Envía correos electrónicos simulados para evaluar cómo responden los
empleados.
o Herramientas: KnowBe4, Cofense.
 Encuestas y cuestionarios:
o Evalúa el conocimiento sobre políticas internas de ciberseguridad.
 Capacitaciones:
o Desarrolla programas educativos basados en los resultados de las
simulaciones.

Entregables esperados:

 Reporte de efectividad de los empleados en simulaciones.

 Plan de capacitación enfocado en áreas de mejora.

6. Evaluación de proveedores externos

Analiza los riesgos asociados con terceros que manejan datos o servicios críticos para NTI.

Acciones recomendadas:

 Auditorías a terceros:
o Solicita información sobre sus controles de seguridad.
o Verifica que cumplan con normativas relevantes (ej., ISO 27001).
 Contratos con SLA:
o Asegúrate de incluir cláusulas de ciberseguridad y responsabilidad en caso
de incidentes.

Entregables esperados:

 Lista de proveedores evaluados y su nivel de cumplimiento.

 Recomendaciones para mitigar riesgos asociados.

7. Simulaciones y pruebas de incidentes

Evalúa la capacidad de respuesta de la organización frente a incidentes de ciberseguridad.

Acciones recomendadas:

 Simulación de ransomware:
o Desarrolla escenarios donde se comprometen sistemas clave para medir la
efectividad de backups y planes de recuperación.
 Pruebas de respuesta de CSIRT:
 o Evalúa los tiempos de detección, contención y recuperación.

Entregables esperados:

 Reporte de tiempos de respuesta y brechas detectadas.

 Propuesta de mejora del plan de respuesta a incidentes.

Resumen complementario

Con estos estudios adicionales, NTI podrá:

1. Tener una visión más detallada de su postura de ciberseguridad.

2. Priorizar riesgos basándose en análisis técnico y cuantitativo.
3. Implementar controles específicos para mitigar las amenazas más críticas.

Desarrollo de un ejemplo presentado por la IA

Vamos a desarrollar un ejemplo detallado basado en un riesgo crítico del caso de NTI:
Ransomware en Suplex.

Ejemplo completo: Gestión del riesgo: Ransomware en Suplex

1. Identificación del contexto

Riesgo identificado:

 Suplex, empresa adquirida por NTI, sufrió un ataque de ransomware que afectó endpoints,
servidores de almacenamiento y varias redes internas.

Contexto relevante:

 El ransomware podría afectar operaciones críticas de NTI y exponer el código fuente de su

interfaz VOD en GitHub, afectando gravemente su ventaja competitiva.
 Suplex sigue operando desde sus propias instalaciones, lo que implica una integración
parcial con NTI.

Activo afectado:
  Servidores y endpoints de Suplex: Contienen el código fuente y datos sensibles
relacionados con sus desarrollos tecnológicos.

Amenazas:

 Ataques dirigidos: Activistas han amenazado con liberar el código en GitHub.

 Vulnerabilidades internas: Falta de controles de seguridad robustos en Suplex
(segregación de redes, backups).

Impacto potencial:

 Económico: Pérdida de millones de dólares debido a la publicación del código fuente y

pérdida de clientes.
 Reputacional: Pérdida de confianza en NTI como proveedor seguro de servicios.

2. Evaluación del riesgo

Probabilidad: Alta

 La adquisición reciente de Suplex ha aumentado la exposición a ataques debido a la

transición e integración de sistemas.

Impacto: Muy alto

 Afecta directamente la ventaja competitiva de NTI y su posición en el mercado.

Nivel de riesgo: Crítico

 Según la matriz de riesgo, este evento combina alta probabilidad con un impacto severo.

3. Tratamiento del riesgo

Objetivo:
Mitigar la probabilidad de infección por ransomware y reducir el impacto en caso de que
ocurra.

Acciones específicas:

A. Prevención:

1. Segregación de redes:
o Aislar las redes de Suplex de las redes principales de NTI hasta completar la
integración segura.
 o Implementar firewalls y sistemas de detección de intrusiones (IDS/IPS).
o Herramientas: Palo Alto, Snort.

2. Actualización y parches:
o Garantizar que todos los sistemas operativos y aplicaciones de Suplex estén
actualizados.
o Establecer un plan de mantenimiento regular para aplicar parches de seguridad.

3. Control de acceso:
o Implementar autenticación multifactor (MFA) para todos los usuarios con acceso a
los sistemas críticos.
o Revisar y limitar los privilegios administrativos en endpoints y servidores.

4. Concienciación del personal:

o Capacitar a los empleados de Suplex en la identificación de correos phishing y
simulaciones de ataques de ransomware.
o Herramienta: KnowBe4.

B. Mitigación:

1. Backups seguros:
o Configurar copias de seguridad automáticas y cifradas del código fuente y datos
críticos.
o Asegurar que las copias estén almacenadas fuera de la red principal (offline o en la
nube con acceso restringido).
o Herramientas: Veeam, Acronis.

2. Estrategia de respuesta rápida:

o Establecer un equipo CSIRT dedicado a responder ante incidentes relacionados
con Suplex.
o Simular escenarios de ataque para evaluar la efectividad del plan de respuesta.

C. Transferencia:

 Contratar un seguro cibernético que cubra las pérdidas relacionadas con ransomware y
recuperación de datos.

D. Aceptación:

 Riesgos menores, como interrupciones temporales durante la implementación de los

controles, serán aceptados por la organización.
4. Monitoreo y revisión

1. Indicadores clave de rendimiento (KPI):

o Número de intentos de ataque detectados por IDS.
o Tiempo promedio de detección y respuesta a incidentes.
o Porcentaje de empleados que completan capacitaciones de ciberseguridad.

2. Revisión periódica:
o Auditorías trimestrales de las redes de Suplex para garantizar el cumplimiento de
los controles implementados.
o Revisión de políticas y procedimientos del CSIRT.

5. Simulación de ransomware (prueba práctica)

Escenario:
Un archivo malicioso es enviado por correo a un empleado de Suplex. Al abrirlo, se inicia
el cifrado de archivos en un endpoint y comienza a propagarse en la red.

Protocolo de respuesta:

1. El CSIRT identifica el ataque y aísla el endpoint infectado.

2. Las copias de seguridad se restauran en servidores afectados.
3. Se identifican las credenciales comprometidas y se aplican políticas de cambio obligatorio.

Resultados esperados:

 Tiempo de respuesta: < 15 minutos.

 Porcentaje de datos recuperados: > 95%.
 Información para mejorar el plan de respuesta en futuras simulaciones.

Ejemplo resumido en matriz:

Paso Acción Herramienta/Solución Estado

Prevención Segregación de redes y firewalls Palo Alto, Snort En progreso

Mitigación Backups cifrados y fuera de la red Veeam, Acronis Configurado

Respuesta rápida Establecimiento del CSIRT Equipo interno Planificando

Concienciación Simulaciones de phishing KnowBe4 Programado

Seguro cibernético Cobertura de incidentes de ransomware Aseguradora externa Evaluando

Conclusión del ejemplo

Con esta estrategia:

1. Reducimos la probabilidad de infección por ransomware.

2. Mejoramos la capacidad de recuperación de NTI ante incidentes.
3. Fortalecemos la integración de Suplex dentro del ecosistema de NTI.

Ejemplo de mas alto riesgo

Gestión del Riesgo: Fraude por Redirección de Llamadas a Números

Premium

1. Identificación del contexto

Riesgo identificado:

 Los clientes de NTI que llaman al número gratuito del servicio técnico son redirigidos
automáticamente a números Premium, causando un consumo rápido de crédito y
numerosas quejas.

Contexto relevante:

 Los servidores de redirección de llamadas tienen vulnerabilidades conocidas en su sistema

operativo.
 No se ha encontrado rastro del atacante en los sistemas, pero se sospecha que las
configuraciones débiles en firewalls y redes son factores clave.

Impacto del incidente:

 Económico:
o Pérdida de ingresos debido a la migración de clientes a competidores.
o Costos adicionales por llamadas al servicio técnico y compensaciones.
 Reputacional:
o Pérdida de confianza en NTI como proveedor confiable.
o Publicidad negativa que podría impactar las campañas de marketing y adquisición
de nuevos clientes.
 Operativo:
 o Incremento en el tiempo y recursos dedicados a investigar y responder al
incidente.
o Sobrecarga en los equipos técnicos y de atención al cliente.

2. Evaluación del riesgo

1. Probabilidad: Media
o Aunque el ataque es específico, la falta de controles robustos y la exposición de
los servidores aumentan la probabilidad de explotación.

2. Impacto: Alto
o El incidente afecta directamente la confianza de los clientes y puede generar
pérdidas económicas significativas.

3. Nivel de riesgo: Alto

o La combinación de una probabilidad moderada con un impacto alto hace que este
riesgo requiera atención prioritaria.

3. Tratamiento del riesgo

Objetivo general:
Prevenir nuevas redirecciones fraudulentas, detectar rápidamente cualquier intento
malicioso y restaurar la confianza de los clientes.

A. Prevención

1. Actualización de los servidores afectados:

o Realizar un inventario detallado de los servidores de redirección de llamadas y
priorizar la instalación de parches de seguridad.
o Implementar un cronograma regular para aplicar actualizaciones y mitigar futuras
vulnerabilidades.
o Herramientas sugeridas:
 WSUS para entornos Windows.
 Ansible o Chef para actualizaciones automatizadas en servidores Linux.
o Detalles técnicos adicionales:
 Realizar una prueba en un entorno de laboratorio antes de aplicar
actualizaciones en producción para evitar interrupciones.

2. Auditorías de configuración del firewall:

o Revisar y actualizar las reglas de acceso al sistema de redirección.
o Asegurar que solo las direcciones IP autorizadas puedan acceder al sistema.
o Medidas específicas:
  Implementar firewalls de nueva generación (NGFW) con capacidades de
inspección profunda de paquetes (DPI).
 Configurar alertas para intentos de acceso no autorizado.

3. Segmentación de red:
o Aislar los servidores de redirección en una subred protegida.
o Limitar las conexiones entrantes y salientes a las estrictamente necesarias.
o Herramientas sugeridas:
 Configuración de VLANs para segmentar el tráfico.
 Firewalls internos como Palo Alto Networks o Fortinet.

4. Implementación de autenticación robusta:

o Activar autenticación multifactor (MFA) para todos los usuarios que gestionan el
sistema de redirección.
o Cambiar todas las contraseñas administrativas y asegurarse de que cumplan con
políticas de complejidad.

5. Capacitación del personal:

o Entrenar a los administradores de sistemas en la detección de patrones de fraude
y configuraciones seguras.
o Realizar talleres de seguridad específicos para empleados que manejan sistemas
críticos.

B. Mitigación

1. Monitoreo y análisis de logs:

o Implementar una herramienta centralizada para recopilar y analizar registros de
actividades sospechosas en los servidores de redirección.
o Herramientas sugeridas:
 Splunk o ELK Stack (Elasticsearch, Logstash, Kibana) para monitoreo en
tiempo real.
o Configuración avanzada:
 Establecer reglas para identificar patrones de comportamiento malicioso,
como intentos de acceso desde ubicaciones no autorizadas.

2. Restricciones geográficas:
o Configurar los sistemas de redirección para bloquear automáticamente las
llamadas a números Premium fuera de regiones autorizadas.
o Medida adicional: Crear una lista blanca de números aprobados y bloquear
cualquier número no incluido.

3. Implementación de backups:
o Realizar copias de seguridad diarias de las configuraciones de los servidores y
almacenarlas en un entorno seguro y desconectado.
o Herramientas sugeridas: Veeam, Acronis o soluciones nativas en la nube.
C. Comunicación y confianza

1. Notificación a los clientes afectados:

o Informar de manera transparente sobre el incidente, las medidas tomadas y las
compensaciones disponibles (por ejemplo, recargas gratuitas).
o Ejemplo de mensaje:
 "Estimado cliente, detectamos un problema técnico que pudo afectar su
crédito telefónico. Hemos tomado medidas inmediatas para resolverlo y
asegurarnos de que no vuelva a ocurrir. Como compensación, hemos
añadido $10 de crédito a su cuenta."

2. Campaña de concienciación:
o Educar a los clientes sobre cómo identificar fraudes relacionados con
redirecciones de llamadas y cómo proteger sus dispositivos.

D. Transferencia

 Contratar un seguro de ciberseguridad que cubra:

o Pérdidas financieras asociadas con fraudes.
o Costos relacionados con investigaciones y compensaciones.

4. Monitoreo y revisión

1. Indicadores clave (KPI):

o Número de intentos de redirección maliciosa detectados y bloqueados.
o Tiempo promedio de detección y respuesta a incidentes (objetivo: < 10 minutos).
o Porcentaje de clientes que aceptan compensaciones como recargas.

2. Pruebas regulares:
o Realizar simulaciones de ataques para verificar la eficacia de los controles
implementados.
o Ejemplo: Probar si las nuevas reglas del firewall bloquean redirecciones a números
Premium no autorizados.

3. Revisión trimestral:
o Auditar configuraciones de red y políticas de seguridad para garantizar su
cumplimiento continuo.

5. Simulación de ataque y respuesta

Escenario de simulación:

 Un atacante intenta modificar las reglas de redirección en los servidores para redirigir
llamadas al número Premium "555-9999".

Acciones del equipo:

1. El IDS detecta un intento de acceso no autorizado y envía una alerta al equipo CSIRT.
2. El equipo revisa los logs y confirma que la IP del atacante es externa.
3. Se bloquea la IP del atacante en el firewall y se actualizan las reglas para reforzar la
seguridad.

Resultados esperados:

 Tiempo de contención: < 10 minutos.

 Identificación y bloqueo del origen del ataque.
 Informe completo para ajustar controles adicionales.

Resumen detallado en matriz

Paso Acción Herramienta/Solución Estado

Actualización Aplicar parches en servidores afectados WSUS, Ansible En progreso

Monitoreo Logs centralizados y análisis de patrones Splunk, ELK Stack Planificado

Restricciones Configurar reglas de bloqueo geográfico Firewalls NGFW En progreso

Notificación Informar a clientes y ofrecer compensaciones Marketing interno Planificado

Simulación Probar ataques de redirección de llamadas Herramientas internas En progreso

Conclusión

Con estas acciones detalladas:

1. Se reducirá significativamente la probabilidad de que ocurran fraudes similares.

2. Se mejorará la confianza del cliente mediante comunicación y transparencia.
3. NTI fortalecerá su postura de seguridad frente a ataques de redirección.