7 Unidad 7: Monitoreo y Respuesta ante Incidentes
7.1 Introducción
El monitoreo y la respuesta ante incidentes no se basan únicamente en tener un firewall o un SIEM. Requieren una infraestructura de equipos, software y políticas de análisis capaces de identificar amenazas de manera temprana, contenerlas y responder adecuadamente.
Los equipos de seguridad como EDR, XDR, HIDS, NIDS o SIEM son esenciales, pero tienen limitaciones:
No pueden detectar todo tipo de ataques si los logs están incompletos.
Pueden generar falsos positivos si no hay correlación adecuada.
Requieren reglas y políticas definidas según la realidad de la institución financiera.
Por ello, antes de configurar cualquier herramienta, es necesario definir qué eventos son relevantes y qué parámetros de operación normal deben ser registrados y monitoreados.
7.2 Definición de Logs y Parámetros de Monitoreo
El valor del monitoreo depende de qué se recolecta. En servidores financieros y críticos, deben definirse como base:
Uso de CPU: mantener en promedio por debajo del 80%. Valores superiores sostenidos pueden indicar ataques DoS, procesos maliciosos o sobrecarga.
Uso de Disco: espacio libre mínimo del 20%. Un disco lleno puede detener aplicaciones críticas y es un síntoma común en ransomware.
Memoria RAM: alerta cuando supere el 85-90% de uso. Puede ser indicio de fuga de memoria en aplicaciones, ejecución de malware o denegación de servicio.
Estado de red: monitoreo de conexiones concurrentes, tráfico inusual, uso de puertos no autorizados.
Integridad de archivos críticos: cambios en
/etc/passwden Linux o en el registro de Windows.Estado de servicios financieros: disponibilidad de servicios como core bancario, bases de datos, ERP o APIs de clientes.
Accesos de usuarios privilegiados: registros de conexiones SSH, RDP, cuentas de administrador y accesos fuera de horario laboral, registro de acceso fallidos a endpoints y servidores.
Accesos fallidos a endpoints y servidores: intentos repetidos de login fallidos deben generar alertas, ya que pueden indicar ataques de fuerza bruta o credenciales comprometidas.
La ausencia de esta definición genera alertas irrelevantes o, peor aún, incidentes no detectados.
7.3 Herramientas y Equipos de Monitoreo
EDR (Endpoint Detection and Response): protege y monitorea equipos de usuario y servidores. Detecta malware, anomalías en procesos y accesos indebidos.
XDR (Extended Detection and Response): amplía la visión correlacionando datos de endpoints, red, servidores, nube y dispositivos OT.
HIDS (Host Intrusion Detection System): analiza actividad en un host específico (logs del sistema, cambios de archivos). Ejemplo: OSSEC, Wazuh.
NIDS (Network Intrusion Detection System): monitorea el tráfico de red en tiempo real. Ejemplo: Snort, Suricata.
SIEM (Security Information and Event Management): centraliza logs, correlaciona eventos y genera alertas para el SOC.
UEBA (User and Entity Behavior Analytics): aplica analítica avanzada e IA para detectar comportamientos anómalos de usuarios o sistemas.
Cada herramienta debe verse como parte de un ecosistema de monitoreo, no como una solución aislada.
7.4 Comparativa de Tecnologías de Monitoreo y Respuesta
| Tecnología | Ventajas | Limitaciones | Casos de uso en sector financiero |
|---|---|---|---|
| EDR (Endpoint Detection & Response) | - Protección directa en endpoints. - Aísla equipos infectados. - Detecta ransomware y malware en tiempo real. |
- Visión limitada al endpoint. - Requiere agentes en cada dispositivo. - Genera muchos eventos si no está bien afinado. |
Cajeros, PCs de empleados, laptops de gerentes, servidores Windows/Linux críticos. Detectar malware antes de que se propague. |
| XDR (Extended Detection & Response) | - Visión unificada de endpoints, red, nube y OT. - Correlación automática entre distintos vectores de ataque. - Mejor contexto para SOC. |
- Costos altos en versiones comerciales. - Implementación compleja. - Open source requiere mucha integración. |
Detectar campañas coordinadas (phishing + explotación en servidor + movimiento lateral). Especialmente útil en fraudes bancarios. |
| HIDS (Host Intrusion Detection System) | - Monitorea cambios en archivos y configuraciones. - Detecta intrusiones locales y modificaciones sospechosas. - Ligero y rápido de implementar. |
- Solo protege al host donde está instalado. - No detecta tráfico de red. - No responde automáticamente, solo alerta. |
Servidores de bases de datos, core bancario, sistemas críticos. Detectar alteraciones en configuraciones y accesos indebidos. |
| NIDS (Network Intrusion Detection System) | - Inspecciona tráfico de red en tiempo real. - Detecta ataques conocidos (SQLi, XSS, fuerza bruta, escaneos). - Puede cubrir múltiples hosts. |
- No ve actividad dentro del host. - Requiere reglas actualizadas. - Puede generar falsos positivos. |
Monitoreo de tráfico en DMZ, core bancario y conexiones de proveedores externos. Identificar ataques a portales de banca online. |
| SIEM (Security Information and Event Management) | - Centraliza todos los logs. - Permite correlación avanzada. - Visibilidad completa para auditorías (LOPDP, PCI DSS). |
- Costoso y complejo de mantener. - Genera alertas masivas si no está bien configurado. - Requiere un SOC capacitado. |
Obligatorio en instituciones financieras con PCI DSS. Usado para detectar patrones de fraude y ataques internos coordinados. |
| UEBA (User and Entity Behavior Analytics) | - Detecta comportamientos anómalos con IA/ML. - Identifica amenazas internas. - Reduce falsos positivos respecto a reglas estáticas. |
- Alto costo. - Requiere grandes volúmenes de datos. - Aún puede dar falsos positivos en contextos nuevos. |
Detección de accesos indebidos por usuarios internos o cuentas comprometidas. Ejemplo: empleado accediendo a base de datos fuera de horario. |
7.5 Tabla de Software y Equipos de Monitoreo y Respuesta
| Categoría | ¿Qué es? | Ejemplos Open Source | Ejemplos Comerciales | Observación en sector financiero | Links |
|---|---|---|---|---|---|
| EDR (Endpoint Detection & Response) | Solución para proteger, detectar y responder en endpoints (PCs, laptops, servidores). | Wazuh Agent, Velociraptor | CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint | Ideal para cajeros, PCs de usuarios y servidores críticos. Aíslan un endpoint infectado antes de que se propague el ataque. | |
| XDR (Extended Detection & Response) | Evolución del EDR: correlaciona datos de endpoints, redes, nubes y OT. | Wazuh + Elastic Stack (con integraciones) | Palo Alto Cortex XDR, Trend Micro Vision One, Microsoft 365 Defender | Permite ver campañas de ataque completas (phishing + red + base de datos). Muy útil contra ataques coordinados. | |
| HIDS (Host Intrusion Detection System) | Sistema que analiza la actividad y logs de un host específico para detectar cambios sospechosos. | OSSEC, Wazuh HIDS, Samhain | McAfee HIDS, Tripwire Enterprise | Detecta modificaciones en archivos críticos (ej. /etc/passwd) o configuraciones de servidores financieros. | |
| NIDS (Network Intrusion Detection System) | Analiza el tráfico de red en tiempo real para detectar intrusiones. | Snort, Suricata, Zeek | Cisco Firepower, Palo Alto NGFW con IDS integrado | Indispensable en DMZ y core bancario. Detecta ataques como SQLi, XSS, fuerza bruta en RDP/SSH o anomalías de red. | |
| SIEM (Security Information and Event Management) | Centraliza, correlaciona y analiza logs de sistemas, redes, usuarios y aplicaciones. | Wazuh, ELK Stack, Graylog | Splunk, IBM QRadar, ArcSight | Obligatorio en PCI DSS. Permite tener visibilidad total y correlación de incidentes en toda la infraestructura. | |
| UEBA (User and Entity Behavior Analytics) | Analiza patrones de comportamiento de usuarios y entidades con IA para detectar anomalías. | Apache Spot, OpenUBA (limitado) | Exabeam, Securonix, Microsoft Sentinel UEBA | Detecta accesos anómalos, movimientos laterales y uso indebido de cuentas internas en bancos. |
7.6 Checklist de Monitoreo y Respuesta
| Elemento a Revisar | Detalle / Revisión | Área Responsable | Qué ocurre si no se cumple / Por qué es importante |
|---|---|---|---|
| Definición de parámetros de servidores | CPU < 80%, RAM < 85%, disco libre > 20%, tráfico de red permitido | TI / Seguridad | Sin parámetros, no hay línea base para detectar anomalías |
| Integridad de archivos críticos | Monitoreo de cambios en configuraciones y sistemas sensibles | Seguridad / SOC | Alteraciones maliciosas pasan inadvertidas |
| Registro de accesos privilegiados | Logs de SSH, RDP, VPN con horarios y MFA | Seguridad | Accesos indebidos no detectados → persistencia de atacantes |
| Registro de accesos fallidos a endpoints y servidores | Intentos fallidos de login deben generar alertas y correlación en SIEM | Seguridad / SOC | Ataques de fuerza bruta no detectados → compromiso de credenciales |
| EDR desplegado en endpoints y servidores | Monitoreo y respuesta local | TI | Ransomware y malware no detectados |
| XDR implementado | Correlación multicanal de incidentes | Seguridad / SOC | Ataques coordinados no detectados |
| HIDS/NIDS configurados | Monitoreo de hosts y tráfico de red | Seguridad | Intrusiones sin detección temprana |
| SIEM centraliza logs | Eventos de red, servidores, aplicaciones, usuarios | SOC | Incidentes sin correlación ni trazabilidad |
| Alertas de comportamiento | Reglas y umbrales ajustados | SOC | Eventos críticos pasan desapercibidos |
| Procedimiento de respuesta a incidentes | Playbooks de ransomware, fraude, phishing | Seguridad / Cumplimiento | Respuesta improvisada, aumento del impacto |
| Integración de IA/UEBA | Analítica de patrones y anomalías | SOC | APTs y ataques avanzados no detectados |