Saltar al contenido principal
S.08
Reflejo Sec
S.08 · Reflejo Sec

Respuesta a incidentesReflejo Sec

Su
merece respuesta con criterio.

Scrollea para explorarDesliza para explorar

Cuando pase, va a querer tener a alguien listo.

Retainer activo. Cuando ocurre el incidente, respondemos dentro del SLA. Contención con criterio operacional — sabemos la diferencia entre aislar un servidor corporativo y aislar un PLC que controla un proceso físico. Forensics con Volatility (memoria RAM), Velociraptor (endpoints a escala) y análisis de PCAP capturado durante el evento. Recuperación desde backups verificados. Post-mortem con timeline, vector mapeado a MITRE ATT&CK (o ATT&CK for ICS cuando aplica) y notificación a la ANCI si la organización cae bajo Ley 21.663.

01 / 03

Ningún sistema es perfectamente seguro. Lo que diferencia a una organización preparada de una que no lo está es el tiempo entre detección y contención, y la calidad del análisis posterior. Cuando hay infraestructura OT en juego ese tiempo importa más: un incidente en la red OT puede seguir afectando el proceso físico mientras el equipo de IT todavía está evaluando el alcance.

02 / 03

El retainer significa que cuando el incidente ocurre, no se busca proveedor. Ya hay uno que conoce su arquitectura de red, sus sistemas críticos, sus contactos internos y —si hay OT— cómo están configurados los PLCs. La diferencia entre una respuesta de 4 horas y una de 4 días es si el equipo de respuesta llegó con contexto o sin él.

03 / 03

El post-mortem no es solo para el directorio. Es el documento que permite que el mismo vector no se explote dos veces, que sirve como evidencia de due diligence ante la ANCI, y que le da al equipo IT/OT las acciones concretas de hardening con el contexto exacto de cómo se explotó.

Capacidades

01+

Contención con criterio operacional

Lo primero que hacemos al llegar es no romper nada más. Preservar evidencia antes de tocar cualquier sistema. En IT corporativo la contención clásica es desconectar de la red, aislar el endpoint y apagar — y muchas veces eso basta. En OT no: un PLC que controla un proceso físico (reactor de síntesis, planta de tratamiento, línea de producción) no se apaga sin coordinar con operaciones, porque el shutdown puede generar un riesgo mayor que el incidente mismo. Evaluamos qué se puede aislar sin afectar el proceso, qué se puede aislar en próxima ventana de parada y qué requiere monitoreo activo mientras operaciones ejecuta un shutdown controlado. Coordinación en tiempo real con el jefe de turno cuando hay proceso en producción.

02+

Análisis forense técnico

Volatility 3 para análisis de memoria RAM: procesos en ejecución, conexiones de red abiertas, artefactos de malware en memoria (inyección de código, DLLs anómalas, credenciales en texto claro). Velociraptor para forensics a escala en múltiples endpoints simultáneamente: timeline de archivos, eventos del registro, persistencia, actividad de red. FTK Imager para imágenes forenses de disco con hashes verificables. En entornos OT: backup de lógica ladder desde PLCs afectados (Siemens TIA Portal, Rockwell Studio 5000), análisis del historian para identificar cambios anómalos en setpoints, revisión de configuración de HMI para modificaciones no autorizadas.

03+

Recuperación y verificación de integridad

Restauración desde backups verificados con hashes previos al incidente. Si el backup también fue comprometido — lo que ocurre en ataques que llevan semanas activos antes de activarse — lo identificamos antes de restaurar. Cada sistema que vuelve a producción pasa por verificación: hash del firmware en PLCs, integridad de lógica de control, logs de acceso desde la fecha estimada del compromiso. Nada vuelve a producción por defecto. Todo vuelve por confirmación explícita.

04+

Post-mortem, hardening y notificación ANCI

Timeline completo del incidente con cada acción documentada y timestamps verificables — cadena de custodia para eventual acción legal. Vector de ataque mapeado a MITRE ATT&CK (o ATT&CK for ICS cuando hay OT involucrado): táctica, técnica, subtécnica. Alcance del compromiso: qué sistemas, qué datos, qué ventana de tiempo. Hardening específico al vector que se explotó, no una lista genérica de buenas prácticas. Si la organización es operador de servicios esenciales bajo Ley 21.663, preparamos la notificación a la ANCI (plazo 72 horas para incidentes graves) y la documentación que el regulador va a requerir.

Entregables

  • Contención y preservación de evidencia dentro del SLA
  • Análisis forense con Volatility, Velociraptor y PCAP
  • Recuperación con verificación de integridad por sistema
  • Post-mortem completo + hardening + soporte notificación ANCI

Normativa de referencia

IEC 62443NIST 800-82Ley 21.663MITRE ATT&CK for ICS

Cada proyecto se cotiza por alcance. Conversemos sobre su operación

El primer paso es una conversación.

Hablemos de

su

o escríbanos — [email protected]

Otros servicios

S.04Evaluación de superficieS.05ReconocimientoS.06Monitoreo continuoS.01AutomatizaciónS.02Agentes conversacionalesS.03Mantenimiento predictivoS.07Visión artificial