← Volver al inicio

Playbook: Infección de Malware en Endpoint

Objetivo del Módulo

Aprender que la defensa no es improvisación. Es una ejecución metódica militar basada en un manual pre-escrito.

Cuando un motor del avión explota en pleno vuelo, el piloto no se sienta a meditar creativamente sobre qué botón apretar. El piloto saca de su guantera una tarjeta plástica llamada Emergency Checklist (Playbook) y ejecuta los pasos mecánicamente. En ciberseguridad corporativa, cuando un Ransomware ataca a las 3:00 AM, el Analista del Blue Team abre este documento.

Fases de Respuesta a Incidentes (El Ciclo PICERL)

Todo Playbook profesional se basa en la metodología del Instituto SANS o NIST. Hoy ejecutaremos: Contención, Erradicación y Recuperación.

Escenario (La Alarma)

3:14 AM: El EDR (Fase 14) dispara una alerta crítica tipo "Ransomware.Crysis" en la computadora de la Directora de Finanzas.

Paso 1: Contención (Cortar la Hemorragia)

El objetivo inmediato no es borrar el virus. El objetivo es evitar que el virus salte de la computadora de Finanzas hacia el Servidor de Bases de Datos (Movimiento Lateral).

  1. Aislamiento de Red: Usar la consola del EDR para hacer clic en "Isolate Host". Esto desconecta la computadora de Finanzas del internet y de la red de la oficina, cerrando las "puertas estancas" del submarino (Fase 23).
  2. No Apagar el Equipo: ¡Error clásico de novato! Si apagas la computadora, borras la Memoria RAM. La Memoria RAM es donde están las pruebas forenses de cómo entró el hacker (Fase 12).
  3. Deshabilitar la Cuenta: Suspender la cuenta de Active Directory (Fase 15) de la Directora de Finanzas para bloquear su identidad temporalmente.

Paso 2: Erradicación (Extirpar el Cáncer)

Una vez que el paciente dejó de sangrar, procedemos a la cirugía.

  1. Kill Process: Terminar forzosamente el proceso malicioso (.exe) desde la consola central.
  2. Borrado Quirúrgico: Eliminar el archivo del disco duro y borrar las llaves de Registro de Windows (Fase 4) que el virus usó para intentar sobrevivir al reinicio de la computadora (Persistencia).
  3. Escaneo de la Empresa: Tomar el "Hash" (La huella dactilar matemática del virus - Fase 11) y buscarlo en las otras 5,000 computadoras de la empresa para asegurar que el cáncer no hizo metástasis.

Paso 3: Recuperación (Volver a Volar)

El virus ha muerto. Es hora de devolverle la computadora a la Directora.

  1. Restaurar desde Cero: Regla de oro militar. Nunca confíes en un sistema que fue hackeado. Se debe formatear el disco duro de la Directora de Finanzas y reinstalar Windows desde una imagen limpia corporativa.
  2. Restaurar Datos: Recuperar los archivos Excel de Finanzas utilizando el servidor de Backups (Fase 22). (Gracias al RPO, solo perdió el trabajo de 4 horas).
  3. Reconectar a la Red: Levantar el aislamiento del EDR y reactivar la cuenta de Active Directory.

4. Criterio de Dominio (Autoevaluación)

Revisa si puedes seguir el manual del piloto:

  1. A las 4:00 AM, el analista de seguridad entra en pánico al ver una alerta de Ransomware y decide "apagar la computadora" tirando del cable de electricidad. Explica por qué esta violación directa del Playbook de Contención destruye las esperanzas del equipo Forense (Fase 12) de descubrir qué vulnerabilidad usó el atacante.
  2. Explica la diferencia de objetivos entre la fase de Contención y la fase de Erradicación. ¿Por qué es un error fatal intentar erradicar un virus de la computadora antes de aislarla de la red corporativa?
  3. En la fase de Recuperación, el Playbook dicta formatear el disco duro en lugar de simplemente "borrar el virus detectado". Usando el concepto de "Confianza Cero" (Zero Trust - Fase 23), justifica por qué un Arquitecto de Seguridad jamás volvería a confiar en ese sistema operativo.
  4. ¿Por qué es fundamental que estos Playbooks se escriban, aprueben y practiquen (Simulacros de Mesa / Tabletop Exercises) meses antes de que ocurra un incidente real?
← Anterior

Playbook: Servidor Comprometido (Expuesto a Internet)

Siguiente →

Playbook: Fuga de Datos y Extorsión

En esta página