“Asume compromiso”: guía práctica de IR (Parte 1)
La pregunta no es si tendrás un incidente, sino qué tan preparado estás para
detectarlo, contenerlo y
aprender. En esta primera parte nos enfocamos en los fundamentos
operativos de Respuesta a
Incidentes (IR): roles, flujo de trabajo, runbooks mínimos y métricas que importan para
pasar de la teoría a la acción.
El objetivo es reducir MTTD y MTTR con un modelo claro de
gobernanza,
telemetría correlacionada (correo, identidad, endpoint, red, nube) y
playbooks
accionables en tu SIEM/SOAR o servicio MDR.
Pilares de un programa de IR
- Gobernanza y roles: quién decide, quién ejecuta, quién comunica.
- Telemetría útil: EDR/MDR, logs de identidad, correo y SaaS listos para
búsqueda.
- Flujo de escalamiento: criterios de severidad y ventanas de respuesta
definidas.
- Runbooks versionados: por tipo de incidente (phishing, BEC, ransomware,
exfiltración).
- Post-mortem sin culpas: acciones correctivas y verificación de
eficacia.
“IR efectivo = roles claros + señales accionables
+
playbooks probados. Todo lo demás es improvisación cara.”
Modelo RACI para incidentes
- Responsible (R): Equipo SOC/MDR ejecuta contención/erradicación.
- Accountable (A): CISO/Resp. de Seguridad aprueba decisiones clave.
- Consulted (C): Legal, RR.HH., TI de negocio, PR.
- Informed (I): Directivos y dueños de proceso impactados.
Runbooks esenciales (Parte 1)
- Phishing/BEC: retirar mensajes similares, invalidar sesiones, revisar
reglas de reenvío,
forzar reset de credenciales, campaña de conciencia post-incidente.
- Ransomware: aislar hosts, activar plan de respaldo/restauración,
bloqueo de C2, análisis de
alcance y verificación de exfiltración.
- Exfiltración en SaaS: revocar tokens, bloquear enlaces públicos,
inventario de archivos
afectados y notificación si aplica.
- Compromiso de identidad: MFA FIDO, cierre de sesiones, rotación de
llaves y revisión de
accesos privilegiados.
Flujo de trabajo recomendado
- Detección y triage: correlación en SIEM/MDR y asignación de severidad.
- Contención: aislamiento de endpoints, bloqueo de dominios/hashes,
revocación de sesiones.
- Erradicación y recuperación: limpieza de persistencia, restauración
verificada, parches.
- Lecciones aprendidas: post-mortem, mejoras de control y actualización
de runbooks.
Métricas que importan
- MTTD/MTTR por tipo de incidente.
- Porcentaje de cobertura EDR/MDR y fuentes en SIEM con
retención útil.
- Tiempo a revocación de sesiones comprometidas y eliminación de reglas
de reenvío.
- Índice de restauraciones exitosas (ransomware/borra-y-restaura).
- Tasa de falsos positivos y efectividad de reglas automáticas en SOAR.
Checklist de preparación (72 horas)
- Definir severidades y ventanas de respuesta por criticidad.
- Añadir fuentes clave al SIEM (correo, identidad, EDR, SaaS críticos).
- Mapear contactos y escalamiento (RACI) y probar un simulacro corto.
- Versionar 2 runbooks mínimos y publicarlos en un repositorio interno.
- Verificar respaldos restaurables y MFA para cuentas privilegiadas.
En DOS.CINCO te ayudamos a operacionalizar IR: cobertura de telemetría,
modelado de severidades,
playbooks listos en SIEM/SOAR y simulacros que reducen minutos críticos en
cada fase.