SlideShare uma empresa Scribd logo

Incidentes en Seguridad de la Información por Francisco Villegas Landin

Asociación
Asociación

Día de la seguridad 8va edición. • Casos basados en hechos reales • Por confidencialidad los hechos y datos han sido alterados • Se asumen conocimientos técnicos de la audiencia

Educação
1 de 22
Baixar para ler offline
Incidentes en Seguridad de la Información ¿Qué hemos aprendido? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE
Agenda • Casos basados en hechos reales • Por confidencialidad los hechos y datos han sido alterados • Se asumen conocimientos técnicos de la audiencia
INCIDENTES
Ataque de Anonymous • Dia 3, notificación en el Underground #Operacion del ataque • A marchas forzadas, el día 5 del mes se arranca una operación de contención y erradicación con el cliente • Un fenómeno natural detiene el ataque • Anonymous ataco en 4 ocasiones • El incidente DDoS a las 12:00 por 3 horas, el segundo por 2 horas y los otros dos siguientes por una hora • Se declaro por terminado el incidente el tercer día a las 12:00 horas
Estrategia de la Operación Obtener la mayor cantidad de información posible sobre la naturaleza del incidente. En la medida de lo posible, contener o prevenir la propagación del daño causado por el incidente. Reparar o coordinar la reparación del daño causado por el incidente. Restaurar los servicios tan pronto sea posible. Preservar la evidencia del incidente. Asegurar que el incidente fuera apropiadamente reportado y escalado. Tomar las medidas proactivas necesarias para mitigar incidentes futuros.
Oportunidades en la preparación… • No conocíamos a todos los involucrados (no había directorio) • No contamos con el inventario de infraestructura de TI • No contamos con el análisis de vulnerabilidades de toda la infraestructura de Internet • No pudimos hacer un cruce de infraestructura contra vulnerabilidades – estuvimos prácticamente a “ciegas” • En prácticamente 12 horas se estableció un “war room”
Factores Críticos de Exito… • Establecimos un pequeño laboratorio y probamos los vectores de ataque • Nuestro equipo de especialistas mediante “spoof” en el “underground” encontramos los patrones de los principales vectores de ataque • Tomamos la decisión de pedir al carrier que bloquearan las redes de países con los que el cliente no tiene negocio y que eran posibles fuentes de ataque • Bajamos el umbral de peticiones aceptadas por el firewall. • En línea estuvimos bloqueando fuentes de ataque con el IPS
¿que aprendimos? Liderazgo / Coordinación / Colaboración y Trabajo en equipo Involucrar y que participen de todas las áreas de la Organización Conocer la infraestructura de IT (Inventario Actualizado) No responder, ni lanzar ataques Establecer un equipo y proceso de respuesta a incidentes Establecer un proceso de administración de la seguridad (vulnerabilidades) Monitoreo Continuo de la operación 7x24
Caso – Robo de Identidad • Origen: Crimen Organizado y personal interno • Destino: Javier, empresario • Incidente: Robo de 200 mil pesos por clonación de tarjeta de crédito • Impacto: Banco X determino que el incidente fue en la empresa de Javier, el perdió su dinero, no denuncio a las autoridades, despidió a las personas relacionadas. • El Banco lanzo una investigación interna sobre el proceso de impresión de tarjetas de crédito
Caso – Robo de Identidad (2) • • • • Marzo 2012 - Denuncia del Banco y solicitud de apoyo Análisis en computadoras del usuario (3 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado»
Caso – Robo de Identidad (3) • Hallazgos del Caso - Evidencia – Correos Electrónicos de personal interno con comunicación relacionada hacia cuentas de correo externo – Cache del Explorador con URL’s de Google y Hotmail con direcciones de correo – Conversaciones de MSN relacionadas – Direcciones IP de Origen y Destino – Imágenes de Credencial de Elector de la victima – Archivos PDF con comprobantes de domicilio
Caso – Robo de Identidad (4) • Lección aprendida – En un proceso de cómputo forense debe buscarse por evidencia electrónica contundente e irrefutable que indique al menos que y como sucedió, cuando sucedió y quién lo hizo
Caso – Acceso no autorizado • Origen: Personal Interno • Destino: Miguel, Director General de área • Incidente: Acceso no autorizado a 5 equipos de colaboradores e inclusive a su máquina y extracción de documento crítico • Impacto: Acceso a documentos confidenciales y a información personal para toma de decisiones sobre compra de empresas • La organización despidió a la persona involucrada que ejecuto el incidente, y también a los autores intelectuales (otro Director)
Caso – Acceso no autorizado (2) • • • • Agosto 2012 - Denuncia del Cliente y solicitud de apoyo Análisis en computadoras del usuario (5 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado» Revisión del Filtrado Web
Caso – Acceso no autorizado (2) • Hallazgos del Caso - Evidencia – Windows no deja evidencia de copias – Evidencia de logons Exitosos «Anonymous Logon» – Dirección IP de Origen y «Hostname» que realizo los accesos – No se encontró nada más en la computadora • No había forma de relacionar los «anonymous logon» con la evidencia en el equipo ni con la copia del archivo. • Pensé en buscar por evidencia en el sistema de Filtrado URL – Se encontró evidencia de navegación del «Hostname» en el filtrado con direcciones IP y se – Se relaciono los horarios de acceso con el log del Sistema de filtrado, donde el proxy requería autenticación. – La persona que lo ejecuto dio su user y su password para salir a internet.
Caso – Acceso no autorizado (3) • Lección aprendida – No necesariamente la evidencia hallada en un sistema de computo nos llevará a la resolución de un caso, habrá que buscar en el «Ecosistema» en su totalidad
Caso – Robo de Efectivo • • • • • Origen: Personal Interno y Hacker Destino: Banco Y, Sucursal Z Incidente: Robo de dinero Impacto: Pérdida de 500,000 mil pesos La organización despidió a la persona involucrada y demando penalmente a los involucrados (el hacker y el ex empleado), a la fecha el proceso sigue, uno esta en la cárcel sin sentencia y el otro esta en proceso pero en su casa, no se logro identificar al tercero.
Caso – Robo de Efectivo (2) • Oct 2010 – Llamada del Cliente y solicitud de apoyo • Alerta del Sistema Antifraudes del Banco por extracción de efectivo • Se asistió al sitio • Revisión en vivo (GSI Encase Portable) • Búsqueda – – – – Análisis de Bitácoras de Windows Código Malicioso Ejecución de Procesos Revisión de Memoria
Caso – Robo de Efectivo (3) • Hallazgos del Caso - Evidencia – Archivos Abiertos y ejecutados – Montaje de USB y Lectura de DVD – Horarios Ejecución de Programas • Observe el «ambiente» había una cámara de videograbación • Solicite revisar videos (de las 14:00 a las 14:30) – En el video aparecía el Gerente de la Sucursal, hablando por teléfono celular, fumando y montando el CD-ROM en el dispensador – Con la evidencia electrónica y el video se «presiono» al ex-empleado – Se observa como saca el dinero y lo guarda – Se observa a un tercero que recoge el dinero (no se logra identificar)
Caso – Robo de Efectivo (4) • Lección aprendida – Hay que relacionar hechos del entorno «físico» con los del entorno «digital» como son horarios y controles de seguridad física, ejemplo, controles de acceso «tarjetas, registros bitácoras manuales, cámaras de vídeo» – En este caso la evidencia contundente fue la videograbación y el sustento fue la actividad de la persona en la computadora.
¿PREGUNTAS? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE

Recomendados

Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Alonso Caballero
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digitalFrancisco Medina
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTDaniel Sasia
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosinstitutoderechoinformatico
 
Mega resumen
Mega resumenMega resumen
Mega resumenMariela Pérez
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 

Recomendados

Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Curso Virtual Forense de Redes 2019
Curso Virtual Forense de Redes 2019Alonso Caballero
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digitalFrancisco Medina
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTDaniel Sasia
 
Jornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosJornada de derecho y delitos informáticos
Jornada de derecho y delitos informáticosinstitutoderechoinformatico
 
Mega resumen
Mega resumenMega resumen
Mega resumenMariela Pérez
 
Curso Virtual Informática Forense
Curso Virtual Informática ForenseCurso Virtual Informática Forense
Curso Virtual Informática ForenseAlonso Caballero
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjioncAlberto García Illera
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Internet Security Auditors
 
Forense Digital Ofensivo
Forense Digital OfensivoForense Digital Ofensivo
Forense Digital OfensivoAlonso Caballero
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Oscar Hdez
 
Curso Virtual de Informática Forense
Curso Virtual de Informática ForenseCurso Virtual de Informática Forense
Curso Virtual de Informática ForenseAlonso Caballero
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1VICTORIAZM
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital ForensicsRoger CARHUATOCTO
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Alonso Caballero
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseafgt26
 
Principios análisis Forense
Principios análisis Forense Principios análisis Forense
Principios análisis Forense Franklin Pazmiño
 
Computación Forense
Computación ForenseComputación Forense
Computación Forenseluismarlmg
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadConferencias FIST
 
Curso Virtual de Informática Forense
Curso Virtual de Informática ForenseCurso Virtual de Informática Forense
Curso Virtual de Informática ForenseAlonso Caballero
 
Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazCiberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggComunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggAsociación
 

Mais conteúdo relacionado

Semelhante a Incidentes en Seguridad de la Información por Francisco Villegas Landin

Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Internet Security Auditors
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Oscar Hdez
 
Curso Virtual de Informática Forense
Curso Virtual de Informática ForenseCurso Virtual de Informática Forense
Curso Virtual de Informática ForenseAlonso Caballero
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1VICTORIAZM
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Internet Security Auditors
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Luis Fernando Aguas Bucheli
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Alonso Caballero
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseafgt26
 
Principios análisis Forense
Principios análisis Forense Principios análisis Forense
Principios análisis Forense Franklin Pazmiño
 
Computación Forense
Computación ForenseComputación Forense
Computación Forenseluismarlmg
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una IntrusionChema Alonso
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadConferencias FIST
 
Curso Virtual de Informática Forense
Curso Virtual de Informática ForenseCurso Virtual de Informática Forense
Curso Virtual de Informática ForenseAlonso Caballero
 

Semelhante a Incidentes en Seguridad de la Información por Francisco Villegas Landin (20)

jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.
 
Forense Digital Ofensivo
Forense Digital OfensivoForense Digital Ofensivo
Forense Digital Ofensivo
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 
Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.Análisis forense de redes y bitácora. Forensia en redes.
Análisis forense de redes y bitácora. Forensia en redes.
 
Curso Virtual de Informática Forense
Curso Virtual de Informática ForenseCurso Virtual de Informática Forense
Curso Virtual de Informática Forense
 
Presentacionppt1
Presentacionppt1Presentacionppt1
Presentacionppt1
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digital
 
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
Curso de Práctica Operativa en Investigación. Módulo 5. Internet Security Aud...
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Principios análisis Forense
Principios análisis Forense Principios análisis Forense
Principios análisis Forense
 
Computación Forense
Computación ForenseComputación Forense
Computación Forense
 
Autopsia De Una Intrusion
Autopsia De Una IntrusionAutopsia De Una Intrusion
Autopsia De Una Intrusion
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de Seguridad
 
Curso Virtual de Informática Forense
Curso Virtual de Informática ForenseCurso Virtual de Informática Forense
Curso Virtual de Informática Forense
 

Mais de Asociación

Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazCiberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggComunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando ZuñigaComunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando ZuñigaAsociación
 
Metamétricas por Gabriel ÁlvarezSolis
Metamétricas por Gabriel ÁlvarezSolisMetamétricas por Gabriel ÁlvarezSolis
Metamétricas por Gabriel ÁlvarezSolisAsociación
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínSeguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínAsociación
 
Estado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónEstado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónAsociación
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Prevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezPrevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezAsociación
 
Privacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoPrivacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoAsociación
 
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo EspinosaComunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo EspinosaAsociación
 
PyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric LaurantPyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric LaurantAsociación
 
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan Díaz Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan DíazAsociación
 
Conferencia war room por cristo leon
Conferencia war room por cristo leonConferencia war room por cristo leon
Conferencia war room por cristo leonAsociación
 
Social media council por cristo leon
Social media council por cristo leonSocial media council por cristo leon
Social media council por cristo leonAsociación
 
Programa tríptico ds8 alapsiac
Programa tríptico ds8 alapsiacPrograma tríptico ds8 alapsiac
Programa tríptico ds8 alapsiacAsociación
 

Mais de Asociación (15)

Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan DiazCiberdefensa y Monitoreo de Infraestructura por Juan Diaz
Ciberdefensa y Monitoreo de Infraestructura por Juan Diaz
 
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge HaggComunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
Comunidades de Seguridad y su Responsabilidad Social por Jorge Hagg
 
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando ZuñigaComunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
Comunidades de Seguridad y su Responsabilidad Social por Armando Zuñiga
 
Metamétricas por Gabriel ÁlvarezSolis
Metamétricas por Gabriel ÁlvarezSolisMetamétricas por Gabriel ÁlvarezSolis
Metamétricas por Gabriel ÁlvarezSolis
 
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno SavínSeguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
Seguridad Informática y Continuidad del Negocio por Erika Zenteno Savín
 
Estado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias CalderónEstado de Ciberseguridad por Juan Isaias Calderón
Estado de Ciberseguridad por Juan Isaias Calderón
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel Ballester
 
Prevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos RamírezPrevención de Fraudes por Carlos Ramírez
Prevención de Fraudes por Carlos Ramírez
 
Privacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel CanoPrivacidad de datos por Jorge Delgado José Manuel Cano
Privacidad de datos por Jorge Delgado José Manuel Cano
 
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo EspinosaComunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
Comunidades de Seguridad y su Responsabilidad Social por Gonzalo Espinosa
 
PyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric LaurantPyMEs Su reputación está en riezgo por Cedric Laurant
PyMEs Su reputación está en riezgo por Cedric Laurant
 
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan Díaz Conferencia Ciber defensa protegiendo la informacion Juan Díaz
Conferencia Ciber defensa protegiendo la informacion Juan Díaz
 
Conferencia war room por cristo leon
Conferencia war room por cristo leonConferencia war room por cristo leon
Conferencia war room por cristo leon
 
Social media council por cristo leon
Social media council por cristo leonSocial media council por cristo leon
Social media council por cristo leon
 
Programa tríptico ds8 alapsiac
Programa tríptico ds8 alapsiacPrograma tríptico ds8 alapsiac
Programa tríptico ds8 alapsiac
 

Último

AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIIsauraImbrondone
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Alejandrino Halire Ccahuana
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioELIASAURELIOCHAVEZCA1
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdfProgramacion Anual Matemática4 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...JonathanCovena1
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Imperialismo informal en Europa y el imperio
Imperialismo informal en Europa y el imperioImperialismo informal en Europa y el imperio
Imperialismo informal en Europa y el imperiomiralbaipiales2016
 
PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesYanirisBarcelDelaHoz
 

Último (20)

AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdfTema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdfProgramacion Anual Matemática4 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdf
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Imperialismo informal en Europa y el imperio
Imperialismo informal en Europa y el imperioImperialismo informal en Europa y el imperio
Imperialismo informal en Europa y el imperio
 
PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonables
 

Incidentes en Seguridad de la Información por Francisco Villegas Landin

  • 1.
  • 2. Incidentes en Seguridad de la Información ¿Qué hemos aprendido? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE
  • 3. Agenda • Casos basados en hechos reales • Por confidencialidad los hechos y datos han sido alterados • Se asumen conocimientos técnicos de la audiencia
  • 5. Ataque de Anonymous • Dia 3, notificación en el Underground #Operacion del ataque • A marchas forzadas, el día 5 del mes se arranca una operación de contención y erradicación con el cliente • Un fenómeno natural detiene el ataque • Anonymous ataco en 4 ocasiones • El incidente DDoS a las 12:00 por 3 horas, el segundo por 2 horas y los otros dos siguientes por una hora • Se declaro por terminado el incidente el tercer día a las 12:00 horas
  • 6. Estrategia de la Operación Obtener la mayor cantidad de información posible sobre la naturaleza del incidente. En la medida de lo posible, contener o prevenir la propagación del daño causado por el incidente. Reparar o coordinar la reparación del daño causado por el incidente. Restaurar los servicios tan pronto sea posible. Preservar la evidencia del incidente. Asegurar que el incidente fuera apropiadamente reportado y escalado. Tomar las medidas proactivas necesarias para mitigar incidentes futuros.
  • 7. Oportunidades en la preparación… • No conocíamos a todos los involucrados (no había directorio) • No contamos con el inventario de infraestructura de TI • No contamos con el análisis de vulnerabilidades de toda la infraestructura de Internet • No pudimos hacer un cruce de infraestructura contra vulnerabilidades – estuvimos prácticamente a “ciegas” • En prácticamente 12 horas se estableció un “war room”
  • 8. Factores Críticos de Exito… • Establecimos un pequeño laboratorio y probamos los vectores de ataque • Nuestro equipo de especialistas mediante “spoof” en el “underground” encontramos los patrones de los principales vectores de ataque • Tomamos la decisión de pedir al carrier que bloquearan las redes de países con los que el cliente no tiene negocio y que eran posibles fuentes de ataque • Bajamos el umbral de peticiones aceptadas por el firewall. • En línea estuvimos bloqueando fuentes de ataque con el IPS
  • 9. ¿que aprendimos? Liderazgo / Coordinación / Colaboración y Trabajo en equipo Involucrar y que participen de todas las áreas de la Organización Conocer la infraestructura de IT (Inventario Actualizado) No responder, ni lanzar ataques Establecer un equipo y proceso de respuesta a incidentes Establecer un proceso de administración de la seguridad (vulnerabilidades) Monitoreo Continuo de la operación 7x24
  • 10. Caso – Robo de Identidad • Origen: Crimen Organizado y personal interno • Destino: Javier, empresario • Incidente: Robo de 200 mil pesos por clonación de tarjeta de crédito • Impacto: Banco X determino que el incidente fue en la empresa de Javier, el perdió su dinero, no denuncio a las autoridades, despidió a las personas relacionadas. • El Banco lanzo una investigación interna sobre el proceso de impresión de tarjetas de crédito
  • 11. Caso – Robo de Identidad (2) • • • • Marzo 2012 - Denuncia del Banco y solicitud de apoyo Análisis en computadoras del usuario (3 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado»
  • 12. Caso – Robo de Identidad (3) • Hallazgos del Caso - Evidencia – Correos Electrónicos de personal interno con comunicación relacionada hacia cuentas de correo externo – Cache del Explorador con URL’s de Google y Hotmail con direcciones de correo – Conversaciones de MSN relacionadas – Direcciones IP de Origen y Destino – Imágenes de Credencial de Elector de la victima – Archivos PDF con comprobantes de domicilio
  • 13. Caso – Robo de Identidad (4) • Lección aprendida – En un proceso de cómputo forense debe buscarse por evidencia electrónica contundente e irrefutable que indique al menos que y como sucedió, cuando sucedió y quién lo hizo
  • 14. Caso – Acceso no autorizado • Origen: Personal Interno • Destino: Miguel, Director General de área • Incidente: Acceso no autorizado a 5 equipos de colaboradores e inclusive a su máquina y extracción de documento crítico • Impacto: Acceso a documentos confidenciales y a información personal para toma de decisiones sobre compra de empresas • La organización despidió a la persona involucrada que ejecuto el incidente, y también a los autores intelectuales (otro Director)
  • 15. Caso – Acceso no autorizado (2) • • • • Agosto 2012 - Denuncia del Cliente y solicitud de apoyo Análisis en computadoras del usuario (5 Laptops) GSI Encase Forensics (Imagen Forense) Búsqueda – – – – – – – Análisis de Bitácoras de Windows Código Malicioso Archivos Ocultos Usuarios, Correo, Navegación Web, Chat Revisión de los sistemas perimetrales (Firewall, Router) Revisión del servicio de correo electrónico «hosteado» Revisión del Filtrado Web
  • 16. Caso – Acceso no autorizado (2) • Hallazgos del Caso - Evidencia – Windows no deja evidencia de copias – Evidencia de logons Exitosos «Anonymous Logon» – Dirección IP de Origen y «Hostname» que realizo los accesos – No se encontró nada más en la computadora • No había forma de relacionar los «anonymous logon» con la evidencia en el equipo ni con la copia del archivo. • Pensé en buscar por evidencia en el sistema de Filtrado URL – Se encontró evidencia de navegación del «Hostname» en el filtrado con direcciones IP y se – Se relaciono los horarios de acceso con el log del Sistema de filtrado, donde el proxy requería autenticación. – La persona que lo ejecuto dio su user y su password para salir a internet.
  • 17. Caso – Acceso no autorizado (3) • Lección aprendida – No necesariamente la evidencia hallada en un sistema de computo nos llevará a la resolución de un caso, habrá que buscar en el «Ecosistema» en su totalidad
  • 18. Caso – Robo de Efectivo • • • • • Origen: Personal Interno y Hacker Destino: Banco Y, Sucursal Z Incidente: Robo de dinero Impacto: Pérdida de 500,000 mil pesos La organización despidió a la persona involucrada y demando penalmente a los involucrados (el hacker y el ex empleado), a la fecha el proceso sigue, uno esta en la cárcel sin sentencia y el otro esta en proceso pero en su casa, no se logro identificar al tercero.
  • 19. Caso – Robo de Efectivo (2) • Oct 2010 – Llamada del Cliente y solicitud de apoyo • Alerta del Sistema Antifraudes del Banco por extracción de efectivo • Se asistió al sitio • Revisión en vivo (GSI Encase Portable) • Búsqueda – – – – Análisis de Bitácoras de Windows Código Malicioso Ejecución de Procesos Revisión de Memoria
  • 20. Caso – Robo de Efectivo (3) • Hallazgos del Caso - Evidencia – Archivos Abiertos y ejecutados – Montaje de USB y Lectura de DVD – Horarios Ejecución de Programas • Observe el «ambiente» había una cámara de videograbación • Solicite revisar videos (de las 14:00 a las 14:30) – En el video aparecía el Gerente de la Sucursal, hablando por teléfono celular, fumando y montando el CD-ROM en el dispensador – Con la evidencia electrónica y el video se «presiono» al ex-empleado – Se observa como saca el dinero y lo guarda – Se observa a un tercero que recoge el dinero (no se logra identificar)
  • 21. Caso – Robo de Efectivo (4) • Lección aprendida – Hay que relacionar hechos del entorno «físico» con los del entorno «digital» como son horarios y controles de seguridad física, ejemplo, controles de acceso «tarjetas, registros bitácoras manuales, cámaras de vídeo» – En este caso la evidencia contundente fue la videograbación y el sustento fue la actividad de la persona en la computadora.
  • 22. ¿PREGUNTAS? Lic. Francisco Villegas Landin, Jefe de Oficina de Seguridad de la Información (CSO) Director Servicios de Seguridad, redIT (Metro Net) CISSP, ISSAP, CISA, CISM, CRISC, BS7799-LA, ITIL, IAM, IEM, enCE