Caso de éxito 004_
Asunto
Una compañía multinacional de telecomunicaciones sufrió varios ataques de seguridad graves y el regulador amenazó con retirarle la licencia. La compañía hacía pocos meses que acababa de adquirir una operadora de comunicaciones local y los incidentes estaban afectado gravemente a sus clientes y organismos oficiales.
En estas condiciones, la operadora sufre un nuevo incidente de seguridad. Un hacker descubre y hace pública una vulnerabilidad en uno de los servidores de la compañía que posibilita la extracción de información personal de sus clientes. La compañía no conoce ni la vulnerabilidad, ni cuales son los sistemas afectados, ni que información es accesible, por lo que no puede medir el riesgo. Tras solicitar los servicios del equipo de Hacking Ético y Análisis Forense viajamos al país afectado para intentar identificar el problema y delimitar su alcance. Tras un análisis express de toda su infraestructura de TI se localiza el fallo, se contiene la amenaza y se lleva a cabo un análisis forense.
Acciones
- Computer forensics
El responsable del incidente había comprometido varios servidores mediante la explotación de una vulnerabilidad en una de sus aplicaciones Web. Para delimitar el alcance se llevó a cabo un análisis forense de los sistemas afectados. Durante el análisis se detectaron nuevos fallos de seguridad y surgieron nuevos rastros de intrusiones anteriores en múltiples servidores y equipamiento de red. Todos los casos fueron analizados en detalle.
- Network forensics
Se analizó el tráfico de red y se recogieron los registros de los equipos de seguridad perimetral del cliente en busca de patrones que pudieran estar relacionados con intrusiones. Se detectaron varios accesos remotos persistentes no autorizados y múltiples casos de malware en equipos y servidores internos. Durante el incidente se comprobó que los sistemas de protección perimetrales no estaban configurados. Se tomó el control y se ejecutó una puesta a punto express.
Resultados
- Se identificó y cerró la brecha principal de seguridad, así como múltiples vulnerabilidades graves adicionales.
- Se identificó y ayudó a detener al responsable del incidente.
- Además del incidente principal, se detectaron intrusiones anteriores, activas desde hacía varios meses.
- Se detectaron graves carencias en la configuración de los sistemas de control perimetral.
Acciones de Remediación
Tras el incidente sufrido, el cliente solicitó un diagnóstico de seguridad de redes y TI completo. Como resultado, se creó un plan de mejora completo que implicaba, entre otras muchas cosas la sustitución de todo el equipo de seguridad interno y la creación de un centro de operaciones de seguridad (SOC).