¿Qué es un incidente de seguridad?

"Cualquier evento adverso, real o potencial, vinculado a la seguridad de los sistemas de información y sus redes. Así como el acto de violar una política de seguridad de forma implícita o explícita".

¿Qué es un Equipo de Respuesta a Incidentes?

Un Equipo de Respuesta a Incidentes, provee servicios y da soporte para prevenir, gestionar y responder ante los incidentes de seguridad de la información.

El Equipo de Respuesta a Incidentes de TIC DEFENSE CERT da soporte a:

• Gobierno nacional y administraciones locales

• Fuerzas policiales

• Empresas de cualquier tamaño y giro

• Universidades y centros de investigación


Contenido abusivo: incidentes que muestren signos evidentes de spam, contengan comentarios ofensivos o inciten a la pederastia, violencia y/o delitos sexuales.

Contenido malicioso: problemas relacionados con virus, troyanos, gusanos, spyware, bots e inyección de código.

Obtención de información: los escaneos como reporte más común. También se consideran dentro de esta clasificación aquellos relacionados con los usos de sniffers, ingeniería social o ataques de fuerza bruta.

Acceso/Intrusión: incidentes en los que se manifieste el claro acceso a cuentas privilegiadas, no privilegiadas, compromiso de aplicaciones y ataques de 0-day.

Disponibilidad: ataques de denegación de servicio, tales como DoS, DDoS y sabotajes.

Seguridad/Confidencialidad de la información: problemas relacionados con el acceso a información y/o modificación no autorizada.

Fraude: reportes que tengan nexo con el uso no autorizado, derechos de autor, suplantación de identidad, phishing y robo de credenciales.

Helpdesk: aquellos incidentes que realicen consultas técnicas, mensajes informativos y peticiones judiciales.

Otros: reportes recibidos en el servicio gestionado por TIC DEFENSE CERT, pero que no se debe tomar acciones puesto que no pertenece a su ámbito de actuación. También se incluirán en esta clasificación aquellas quejas sobre las que no se reporten evidencias o éstas no sean contrastadas.

Emergencia: incidentes cuya resolución no admite demora. Los incidentes de este tipo se procesarán en paralelo de haber varios y, en su resolución, se emplearán todos los recursos disponibles. Ejemplos: aquellos que supongan peligro para vidas humanas, para la seguridad nacional, para la infraestructura de Internet. Hasta ahora también se consideran emergencias todos aquellos incidentes que requieran acción inmediata debido a su rapidez y ámbito de difusión.

Alta: aquellos cuyas características requieren que sea atendido antes que otros, aunque sea detectado posteriormente. Se mantienen en una cola independiente de incidentes de alta prioridad, y no se procesarán los de prioridad inferior mientras que estos no estén atendidos. Los incidentes de alta prioridad se procesan en serie.

Normal: por defecto, los incidentes se atienden en serie por orden de llegada, mientras no requiera atención uno de prioridad superior. Un incidente de prioridad normal puede adquirir la categoría de alta prioridad si no recibe atención por un tiempo prolongado. Ejemplos: todos los incidentes no clasificados como alta prioridad o emergencia donde el atacante haya ganado acceso a un sistema informático ajeno. También se incluyen escaneos insistentes de redes.

Baja: los incidentes de baja prioridad se atienden en serie por orden de llegada, mientras no requiera atención uno de prioridad superior. Un incidente de baja prioridad será cerrado automáticamente si no recibe atención por un tiempo prolongado. Ejemplos: incidentes aislados en grado de tentativa, donde el atacante no ha conseguido su propósito y no es probable que lo consiga.


Servicios Generales

• Resolución de consultas.

• Avisos y alertas.

• Gestión de vulnerabilidades críticas.

• Despliegue de sistemas de detección para ser más proactivos.

• Análisis y asesoramiento en la aplicación de contramedidas.

• Asesoramiento y coordinación en la gestión de un incidente.

• Despliegue de contingencias

• Adquisición de evidencias

• Análisis de artefactos

• Investigación de vulnerabilidades y de la seguridad de nuevas tecnologías

• Estudio de nuevas contramedidas.


La Agencia de Innovación en Seguridad Digital "TIC DEFENSE" ha recibido la certificación como un CSIRTs (Centro Nacional de Atención a Incidentes Cibernéticos), concedida por la Universidad Carnegie-Mellon.


Authorized to Use CERT(TM) CERT is a mark owned by Carnegie Mellon University

La Agencia de Innovación en Seguridad Digital "TIC DEFENSE" ha recibido la certificación como un CERT (Computer Emergency Response Team), concedida por la Universidad Carnegie-Mellon desde 1988 a los centros de operaciones de todo el mundo que se dedican a la respuesta ante incidentes de seguridad en Internet.