Práctica 3.5: Supuesto de contención
P3.5 - Supuesto práctico: contención de un acceso remoto comprometido¶
En esta práctica vais a trabajar un caso muy próximo a un incidente real. El objetivo no es "adivinar la respuesta correcta", sino tomar decisiones de contención justificadas a partir de los datos disponibles.
Tendréis que decidir qué hacer primero, qué evidencia mínima preservar, qué capa contener antes y qué medidas dejar para una contención más estratégica.
Contexto
Esta práctica está alineada con el contenido de 3.5.1. Contención de incidentes: medidas y estrategias.
1. Objetivos¶
- Aplicar el flujo de decisión de contención visto en teoría.
- Diferenciar entre contención táctica y contención estratégica.
- Priorizar medidas por capas: identidad, red, endpoint y servicios.
- Valorar cuándo conviene preservar evidencia volátil antes de aislar.
- Justificar técnicamente cada decisión sin perder de vista el impacto en el negocio.
2. Escenario del supuesto¶
La empresa TransIberia Logística gestiona envíos para varias cadenas de distribución. A las 08:17 del lunes, el SOC recibe varias alertas casi al mismo tiempo:
- El usuario
m.sotoinicia sesión por VPN desde una IP de otro país no habitual para su perfil. - Desde la IP asignada por la VPN se observan conexiones SMB contra varios
equipos del segmento
10.30.20.0/24, donde están los servidores internos. - El EDR del servidor
FS-02detecta ejecución de7z.exedesde una carpeta temporal y, dos minutos después, tráfico HTTPS saliente hacia un dominio no categorizado. - Un técnico de sistemas avisa de que el servidor de archivos
FS-02empieza a responder con lentitud y algunos directorios de proyectos muestran archivos comprimidos recientes que no estaban previstos. - El controlador de dominio no presenta, de momento, alertas de cifrado ni caída de servicio.
El responsable del área indica además que:
FS-02contiene documentación operativa importante para el turno de mañana.- La cuenta
m.sotopertenece a una jefa de proyecto que no está conectada en ese momento y afirma por teléfono que no ha accedido a la VPN. - Existe copia de seguridad nocturna, pero el repositorio de backup sigue accesible desde la red corporativa.
3. Evidencias iniciales¶
Trabajad con esta información como si fuera la disponible durante los primeros minutos del incidente:
| Hora | Fuente | Observación |
|---|---|---|
| 08:17 | VPN | Inicio de sesión válido del usuario m.soto |
| 08:18 | Firewall interno | Conexiones SMB desde la IP VPN 172.16.99.23 hacia FS-02 y APP-01 |
| 08:19 | EDR en FS-02 |
Proceso powershell.exe lanzando 7z.exe en C:\\Windows\\Temp |
| 08:20 | Proxy | Conexión HTTPS de FS-02 a sync-data-help[.]com |
| 08:21 | Monitorización | Pico de uso de CPU y disco en FS-02 |
| 08:23 | Usuario real | Niega haber iniciado sesión remotamente |
4. Trabajo a realizar¶
Responded al supuesto como si fuerais el equipo responsable de la contención inicial.
4.1. Análisis previo a la contención¶
Responded de forma breve:
- ¿Qué indicios apuntan a que el incidente sigue activo?
- ¿Qué activos parecen más críticos en este escenario?
- ¿Qué riesgo os preocupa más en los primeros minutos: cifrado, exfiltración, movimiento lateral, reentrada por identidad o caída de servicio? Justificadlo.
4.2. Decisión inicial¶
Indicad qué haríais en los primeros 10 minutos y en qué orden.
Debéis incluir:
- si capturáis evidencia volátil antes de aislar;
- si la primera medida se aplica sobre identidad, red, endpoint o servicio;
- qué acción concreta ejecutaríais sobre
m.soto, la sesión VPN yFS-02.
4.3. Medidas de contención táctica¶
Proponed al menos:
- 2 medidas en identidad;
- 2 medidas en red;
- 2 medidas en endpoint o servidores;
- 1 medida de protección de copias de seguridad.
No basta con enumerarlas: debéis explicar qué daño frenan.
4.4. Preservación de evidencia¶
Explicad:
- Qué evidencia mínima intentaríais preservar.
- Qué evidencia sería especialmente volátil en este caso.
- Qué acción evitaríais hacer demasiado pronto para no perder información útil.
4.5. Contención estratégica¶
Pensando ya en las siguientes horas o días, proponed 4 medidas de contención a largo plazo para evitar reentrada o repetición del incidente.
4.6. Comunicación y registro¶
Redactad un registro operativo mínimo con este formato:
| Hora | Acción | Responsable | Justificación |
|---|---|---|---|
Incluid al menos 5 entradas.
5. Criterios de finalización¶
Se considerará completada la práctica cuando vuestra respuesta:
- distinga con claridad entre contención táctica y estratégica;
- priorice correctamente las capas más urgentes;
- justifique la preservación de evidencia sin frenar una contención necesaria;
- proteja identidad, red, servidores y copias de seguridad;
- y documente las acciones con orden y sentido técnico.
6. Entrega¶
Entregad un documento breve, claro y estructurado con los apartados 4.1 a
4.6.
Extensión orientativa:
- entre 1 y 2 páginas si respondéis de forma muy sintética;
- hasta 3 páginas si justificáis con más detalle.
7. Ayuda para orientar la respuesta¶
Pista
No penséis la contención como una sola acción. En este caso es probable que necesitéis combinar varias capas casi en paralelo.
Pista
Preguntaos qué pasaría si aisláis FS-02 pero dejáis activa la identidad
comprometida, o si deshabilitáis la cuenta pero mantenéis abiertas las rutas
de red hacia los servidores críticos.
8. Variante autocorregible tipo CTF¶
Si queréis trabajar esta práctica en una plataforma autocorregible, tenéis una versión específica basada en banderas y evidencias simuladas: